Раздел 1. Теория информационной безопасности и методология защиты информации.
1.12 Организационные методы защиты информации.
1.13 Объекты защиты информации.
1.14 Классификация видов, методов и средств защиты информации.
Раздел 2. Правовая защита информации.
2.1 Информация как объект права: понятия, признаки, виды.
2.2 Информационные технологии как объект правовой охраны.
2.3 Правовое регулирование защиты информации в Российской Федерации.
2.4 Общедоступная информация: понятие, виды, правовое регулирование и защита.
2.6 Правовой режим коммерческой тайны.
2.7 Правовой режим служебной и профессиональной тайны.
2.8 Правовой режим банковской тайны и кредитных историй.
2.9 Правовой режим государственной тайны.
2.10 Правовой режим персональных данных.
2.11 Интеллектуальная собственность как объект правовой охраны.
2.12 Правовая охрана программ для ЭВМ и баз данных.
2.17 Правовое регулирование лицензирования деятельности в сфере защиты информации.
2.18 Правовое регулирование аттестации и сертификации в сфере защиты информации.
Раздел 3. Организационная защита информации и конфиденциальное делопроизводство
Раздел 4. Инженерно-техническая защита информации
4.1 Виды защищаемой информации, ее свойства, источники и носители.
Раздел 5. Программно-аппаратная и криптографическая защита информации в компьютерных сетях.
5.1 Простейшие шифры. Шифры с симметричным и асимметричным ключом.
5.2 Алгоритмы гаммирования, блочные шифры. ГОСТ 28147-89
5.3 Стандарты ЭЦП. ГОСТ 34.10-2001
5.4 Системы шифрования с открытым ключом. Алгоритм RSA.
5.5 Разграничение доступа в операционных системах.
5.6 Штатные средства идентификации/аутентификации в операционных системах.
5.7 Антивирусные программы и методика их использования.
Раздел 6. Комплексная система защиты информации на предприятии
Раздел 1. Теория информационной безопасности и методология защиты информации.
Информация — сведения, сообщения, данные, независимо от формы представления.
Информационные ресурсы – отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учёту и защите.
Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
С точки зрения защиты информации информация обладает следующими свойствами:
- Объектом защиты является материальный носитель информации.
Типы носителей информации:
- носители источники информации;
- носители получатели информации;
- носители (передачи) переносчики информации.
- Ценность информации оценивается степенью полезности для пользователя.
Объекты информационной безопасности:
Защищаемая информация:
- любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу;
- информация, являющаяся "предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;
- сведения, на использование и распространение которых введены ограничения их собственником.
Структура информационной безопасности.
Первой составляющей является удовлетворение информационных потребностей субъектов, включенных в информационную среду. Информация должна быть полной, достоверной, своевременной, доступной и целостной.
Вторая составляющая – обеспечение безопасности информации. Требования полноты, достоверности и своевременности информации относятся не только к ее первоначальному статусу. Эти требования имеют силу на все время циркулирования информации
Третья составляющая информационной безопасности – обеспечение защиты субъектов информационных отношений от негативного информационного воздействия.
В законе РФ «О безопасности» безопасность определена как состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Жизненно важные интересы – это совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
В «Доктрине информационной безопасности Российской Федерации» (2000 год) дано следующее определение:
Информационная безопасность Российской Федерации – это состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Интересы личности в информационной сфере заключаются:
- в реализации конституционных прав человека и гражданина на доступ к информации;
- в защите информации, обеспечивающей личную безопасность;
- в защите права интеллектуальной собственности;
- в обеспечении права граждан на защиту своего здоровья от неосознаваемой человеком вредной информации.
Интересы общества в информационной сфере заключаются:
- в обеспечении интересов личности в этой сфере;
- в упрочении демократии, создании правового социального государства;
- в достижении и поддержании общественного согласия, в духовном обновлении России;
- в сохранение нравственных ценностей, утверждение в обществе идеалов высокой нравственности, патриотизма и гуманизма;
- в предотвращении манипулирования массовым сознанием;
- в приоритетном развитии современных телекоммуникационных технологий, сохранение и развитие отечественного научного и производственного потенциала.
Интересы государства в информационной сфере заключаются:
- в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности;
- в безусловном обеспечении законности и правопорядка;
- в развитии равноправного и взаимовыгодного международного сотрудничества.
На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.
Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.
Первая составляющая - соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею.
Вторая составляющая - информационное обеспечение государственной политики РФ.
Третья составляющая - развитие современных информационных технологий
Четвертая составляющая - защита информационных ресурсов от несанкционированного доступа.
Место защиты информации в системе национальной и информационной безопасности
Защита информации является одной из составляющих системы национальной и информационной безопасности.
В Концепции названы важнейшие задачи обеспечения информационной безопасности РФ:
- реализация конституционных прав и свобод граждан РФ в сфере информационной деятельности;
- совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;
- противодействие угрозе развязывания противоборства в информационной сфере.
Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.
Доктрина служит основой для:
- формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
- подготовки предложений по совершенствованию правового и организационного обеспечения информационной безопасности Российской Федерации;
Настоящая Доктрина развивает Концепцию национальной безопасности Российской
Федерации применительно к информационной сфере.
Структура доктрины ИБ:
- Информационная безопасность РФ:
- Национальные интересы РФ в информационной сфере и их обеспечение.
- Виды угроз ИБ РФ
- Источники угроз ИБ РФ
- Состояние ИБ РФ и основные задачи по её обеспечению.
- Методы обеспечения ИБ РФ.
- Общие методы обеспечения ИБ РФ
- Особенности обеспечения ИБ РФ в различных сферах общественной жизни.
- Международное сотрудничество РФ в области обеспечения ИБ.
- Основные положения государственной политики обеспечения ИБ РФ и первоочередные мероприятия по её реализации.
- Основные положения государственной политики обеспечения ИБ РФ.
- Первоочередные мероприятия по реализации государственной политики обеспечения ИБ РФ.
- Организационная основа системы обеспечения ИБ РФ.
- Основные функции системы обеспечения ИБ РФ.
- Основные элементы организационной основы системы обеспечения ИБ РФ.
Жизненно-важные интересы личности:
- Реализация конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещённой законом деятельности, а также физического, духовного и интеллектуального развития.
- Защита информации, обеспечивающей личную безопасность.
- Защита права интеллектуальной собственности.
- Обеспечение права граждан на защиту своего здоровья от неосознаваемой человеком вредной информации.
Интересы общества:
- Обеспечение интересов личности.
- Упрочение демократии, создание правового государства.
- Достижение и поддержание общественного согласия.
- Духовное обновление России (сохранение нравственных ценностей, утверждённого в обществе гуманизма, развитие многовековых духовных традиций России).
- Предотвращение манипулирования массовым сознанием.
- Приоритетное развитие современных телекоммуникационных технологий, сохранение и развитие отечественного научного и производственного потенциала.
Интересы государства:
- Создание условий для гармоничного развития информационной инфраструктуры для реализации конституционных прав и свобод человека и гражданина в области информации.
- Безусловное обеспечение законности и правопорядка.
Национальные интересы РФ (и пути их достижения):
- Соблюдение конституционных прав и свобод человека и гражданина в области получения информации, пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества:
- повысить эффективность использования информационной инфраструктуры в интересах общественного развития;
- усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов;
- обеспечить конституционные права и свободы;
- обеспечить тайну переписки, телефонных переговоров, почтовых и иных сообщений;
- не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
- обеспечить запрет на сбор информации о частной жизни лица без его..
- Информационное обеспечение государственной политики РФ, связанное с доведением до российской и международной общественности достоверной информации о государственной политике РФ, её официальной позиции по социально значимым вопросам и связанные с обеспечением доступа граждан к открытым ресурсам.
- укреплять государственные средства массовой информации, расширять их возможности.
- Развитие современных информационных технологий, отечественной индустрии информации.
- развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации;
- обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований и разработок.
- Защита информационных ресурсов от НСД. Обеспечение безопасности информационных систем.
- повысить безопасность информационных систем;
- интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации;
- расширять международное сотрудничество.
Виды и состав угроз ИБ РФ и их характеристика:
- Угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России.
- Угрозы информационному обеспечению государственной политики РФ.
- Угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в её продукции.
- Угрозы безопасности информации и телекоммуникационных средств и систем.
Методы обеспечения ИБ РФ.
Правовые:
- дополнение законодательства
- разработка правовых актов
- законодательное закрепление приоритета развития национальных сетей связи
- определение статуса организаций, предоставляющих услуги сетей на территории РФ и правовое регулирование их деятельности.
Организационно-технические:
- создание и совершенствование системы обеспечения ИБ.
- усиление правоприменительной деятельности
- разработка, использование и совершенствование средств защиты информации.
- создание систем и средств предотвращения НСД к информации.
- выявление технических устройств и программ, которые могут нанести вред.
- сертификация средств защиты, лицензирование деятельности в области защиты, стандартизация способов и средств защиты.
- контроль деятельности персонала в защищённых информационных системах, подготовка кадров.
Экономические:
- разработка программ обеспечения ИБ и определение порядка их финансирования.
- совершенствование системы финансирования, создание системы страхования информационных рисков.
Организационная основа:
- президент
- правительство
- совет федерации
- государственная дума
- совет безопасности
- федеральные органы исполнительной власти
- межведомственные и государственные комиссии
- органы исполнительной власти
- органы местного самоуправления
- органы судебной власти
- общественные объединения
- граждане
Ст.16 Федерального закона «Об информации, информационных технологиях и о защите информации» (2006 г.) гласит:
«Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения,
- модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа;
- реализацию права на доступ к информации».
ГОСТ Р509-22-96: Цель защиты информации – желаемый результат защиты информации. Целью может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на неё.
Р516-24-2000:
Общие цели:
Предотвращение/снижение величины ущерба, наносимого владельцу или пользователю этой системы вследствие реализации угроз безопасности информации.
Частные цели:
- Предотвращение утечки по техническим каналам.
- Предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации.
- Соблюдение правового режима использования массивов, программ обработки информации, обеспечения полноты, целостности, достоверности в системах обработки.
- Сохранение возможности управления процессом обработки и использовании информации в условиях несанкционированного воздействия на защищаемую информацию.
Непосредственные цели – которые должны быть привязаны непосредственно к самой информации.
Конечные цели должны быть привязаны не к информации. А это – достижение безопасности интересов в информационной сфере субъектов информационных отношений (личности, общества, государства).
Задачи обеспечения защиты информации - предупреждение, выявление, обнаружение, локализация, ликвидация угроз.
Защищаемая информация – сведения, на использование и распространение которых введены ограничения их собственником.
Отличительные признаки:
- Ограничивать доступ может только собственник/владелец
- Чем важнее информация, тем тщательнее защищается. Собственник определяет различные степени секретности/конфиденциальности.
- Защищаемая информация должна приносить пользу собственнику.
- Защищаемая информация должна оправдывать силы и средства, затрачивающиеся на её защиту.
Общей основой для отнесения информации к защищаемой является ценность информации, возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам.
Можно отнести к конфиденциальной, если:
- Если информация не является общедоступной на законном основании, т.е. не содержит сведений, которые запрещено относить к конфиденциальным.
- Если имеются технические возможности для защиты носителей информации. Речь идет об объектах, которые практически невозможно скрыть от технических средств обнаружения и фиксации, особенно спутниковых.
- Если затраты на защиту информации не превысят количественных и качественных показателей преимуществ, получаемых при ее защите.
Конфиденциальная информация - информация, требующая защиты, доступ к которой ограничивается в соответствии с действующим законодательством РФ
Секретная информация - это информация, которая содержит сведения, составляющие государственную тайну.
Личная тайна (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
Виды тайн:
Объективная: законы природы…
Субъективная: сведения о событиях, явлениях, предметах скрываются собственником от посторонних лиц.
Классификация по видам:
- Коммерческая
- Профессиональная
- Производственная
- Банковская
- Личная
- Деловая
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ (из закона о гостайне 93 г.)
Перечень сведений, составляющих гостайну:
- Сведения в военной области:
- О содержании планов
- Документы по проведению операций
- …
- О планах строительства вооружённых сил. О целевых программах.
- О разработке ядерных боеприпасов
- О дислокации режимных объектов
- О силах и средства гражданской обороны
- О достижениях науки и техники в области безопасности, внешней политики и экономики, разведдеятельности.
Важный признак гостайны – степень секретности: особой важности, совсекретно, секретно.
Коммерческая тайна – конфиденциальная информация, позволяющая её обладателю при обстоятельствах увеличить доходы, избежать расходов, сохранить положение на рынке товаров, услуг или получить другую выгоду.
Информация, составляющая коммерческую тайну, имеет действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам. К ней нет доступа на законном основании. Обладатель охраняет её конфиденциальность (введён режим коммерческой тайны).
Режим коммерческой тайны – правовые, организационные, технические и иные принимаемые меры по охране её конфиденциальности.
Охрана коммерческой тайны:
- Определение перечня информации, составляющей коммерческую тайну.
- Ограничение доступа к информации, составляющей коммерческую тайну, путём установления порядка обращения.
- Учёт лиц, получивших доступ к информации, и лиц, которым информация была передана.
- Регулирование отношений по использованию информации работниками на основании трудовых договоров и контрагентами.
- Нанесение на материальные носители, содержащие информацию, грифа «ком.тайна».
Служебная тайна – защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей. Также – служебная информация о деятельности государственных органов.
Носители защищаемой информации можно классифицировать следующим образом:
- документы;
- изделия (предметы);
- вещества и материалы;
- электромагнитные, тепловые, радиационные и другие излучения;
- гидроакустические, сейсмические и другие поля;
- геометрические формы строений, их размеры и т.п.
В качестве носителя защищаемой информации выступает также человек, мозг которого представляет исключительно сложную систему, хранящую и перерабатывающую информацию, поступающую из внешнего мира.
Носитель информации – физическое лицо или материальный объект, в т.ч. физическое поле, в котором информация находит своё отображение в виде символов, образов, сигналов, технических решений и процессов.
Угроза — потенциальная возможность неправомерного преднамеренного или случайного воздействия, приводящая к овладению, хищению, искажению, изменению или уничтожению информации.
- По объекту(на что направлены):
- персонал
- ресурсы
- По величине ущерба
- незначительные
- значительные
- предельные
- по вероятности возникновения
- весьма вероятно
- вероятно
- мало вероятно
- по причинам возникновения
- естественные
- Искусственные
- по направлению ущерба
- материальные
- моральные
- по направлению к объему
- внутренние
- внешние
- по характеру воздействия
- активные
- пассивные
- по умыслу
- умышленные
- неумышленные
Результатом реализации угроз информации может быть:
- утрата (разрушение, уничтожение);
- утечка (извлечение, копирование, подслушивание);
- искажение (модификация, подделка);
- блокирование.
Компоненты угроз информационной безопасности:
- источник деструктивного воздействия (люди, средства обработки, передачи и хранения информации)
- виды и способы дестабилизирующего воздействия.
- виды и формы уязвимости информации.
Одним из компонентов угрозы являются каналы и методы НСД к конфиденциальной информации. Они используются для оказания дестабилизирующего воздействия на информацию со стороны людей, не имеющих санкционированного доступа к носителям информации.
Утечка конфиденциальной информации происходит от носителя (источника) информации к лицам, не имеющим доступа к информации, НСД осуществляется от лиц, не имеющих доступа к конфиденциальной информации, к носителям информации.
Утечка ограничивается тремя формами проявления уязвимости информации, к ней приводит разглашение, потеря и хищение носителя. НСД может привести к пяти формам проявления уязвимости информации: хищению, уничтожению, искажению, блокированию и разглашению информации.
Вербовка и (или) внедрение агентов является вторым по степени опасности каналом. Отличие агентов от лиц, осуществляющих разовые продажи конфиденциальной информации, состоит в том, что агенты работают на постоянной основе, занимаются систематическим сбором конфиденциальной информации и могут оказывать на нее другое дестабилизирующее воздействие.
Структура разведывательных органов стала формироваться в основном после 2-ой мировой войны, и в настоящее время практически каждое государство имеет систему разведывательных органов двух видов:
- самостоятельных, т.е. не входящих ни в какую структуру, а подчиненных непосредственно главе государства или правительству;
- в составе министерств и ведомств.
Разведорганы США.
Руководство деятельностью разведорганов осуществляет президент страны, являющийся главой исполнительной власти.
Управление органами осуществляется через Совет Национальной Безопасности (СНБ) - определяет политику в области национальной безопасности и основные направления деятельности разведывательных и контрразведывательных орагнов.
ЦРУ является координатором деятельности других разведывательных органов США.
Разведывательное Управление министерства обороны (РУМО):
- разведывательное управление сухопутных сил G4
- разведывательное управление военно-морских сил ONI
- разведывательное управление военно-воздушных сил А2.
Агентство Национальной Безопасности (АНБ) Занимается перехватом и обработкой информации с помощью радиотехнических средств. Кроме перехвата и расшифровки сообщений АНБ разрабатывает шифры и шифровальные средства.
Национальное управление воздушно-космической разведки - запуск и управление спутников-шпионов, съем с них информации, ее расшифровка и представление ее руководству.
Кроме того, к другим разведывательным органам США относятся:
- бюро разведки и исследования ГосДепартамента США, которое занимается сбором информации об иностранных государствах главным образом через свои посольства в других странах;
- управление разведывательного обеспечения (обслуживания) министерства финансов,
Разведывательные органы Англии.
Общее руководство - объединенный разведывательный комитет.
Комитет безопасности – осуществляет организацию взаимодействия разведывательных и контрразведывательных органов со службами безопасности министерств, ведомств и предприятий.
Национальным разведывательным органом является Секрет (секрет интелиджес сервис). В составе министерства обороны имеется:
- объединенное разведывательное бюро, которое руководит деятельностью военно-морской и военно-воздушной разведок;
- управление военной разведки, которое занимается практически тем же.
Основными органами разведки являются:
- сухопутная;
- морская;
- военная (воздушная).
Разведывательные службы частных объединений.
По структуре можно разделить на 3 категории:
- разведслужбы в составе подразделений безопасности предприятий;
- самостоятельные разведывательные подразделения в составе предприятий (на наиболее крупных предприятиях);
- специализированные разведывательные службы, являющиеся самостоятельными предприятиями.
1.12 Организационные методы защиты информации.
Организационная защита информации - регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет организационных мероприятий
Комплексный и системный подход к организации защиты информации предполагает, с одной стороны, выявление и анализ возможных каналов утечки защищаемой информации с учетом объемов такой информации и носителей, на которых она накапливается, и ее важности. С другой стороны, изучаются и анализируются возможности конкурента по собиранию и добыванию защищаемой информации.
Системный подход позволяет создать органически взаимосвязанную совокупность сил, средств и специальных методов по оптимальному ограничению сферы обращения засекреченной информации, предупреждению ее утечки.
- Максимальное ограничение числа лиц, допускаемых к защищаемой информации.
- Дробление технологической цепочки производства какого-либо изделия, продукта на отдельные операции, знание одной из которых не дает возможность восстановить всю технологию.
- Персональная ответственность за сохранность доверенных секретов.
- Обучение правилам защиты засекреченной информации и правилам обращения с конфиденциальными документами.
- Единство в решении производственных, коммерческих, финансовых и режимных вопросов.
- Непрерывность защиты информации.
Организационные локальные методы включают в себя и общие и специфические. К общим относятся:
- разработка и внедрение технологии защиты всех категорий информации;
- фиксированный учёт издания (изготовления), получения, обработки, движения и местонахождения носителей защищаемой информации;
- подбор, проверка и обучение персонала, допускаемого к работе с защищаемой информацией; воспитательно-профилактическая работа с ним;
- распределение и регламентация обязанностей по защите информации между лицами, допускаемыми к защищаемой информации;
- установление персональной ответственности за сохранность носителей информации и неразглашении содержащихся в них сведений;
- материальные и моральные поощрения за обеспечение защиты информации;
- установление контроля за открытой информацией с целью недопущения, включения в неё защищаемых сведений.
Специфические методы организационной защиты относятся к конкретным объектам защиты:
- конфиденциальным документам;
- защищаемой продукции;
- допущенному к защищаемой информации персоналу.
1.13 Объекты защиты информации.
Объектом защиты информации являются материальные носители информации.
Носители информации бывают:
- носители - источники информации (чертёж - это источник, а бумага, на которой он нарисован, - носитель, однако, бумага, без нанесённого на ней текста или рисунка является источником информации о её физических и химических характеристиках)
- носители - переносчики информации
- носители - получатели информации
1.14 Классификация видов, методов и средств защиты информации.
Под видом ЗИ понимается относительно обособленная область ЗИ, включающая присущие в основном ей методы, средства и мероприятия по обеспечению безопасности информации.
Правовая защита – вид защиты, включающий совокупность установленных и охраняемых государством правил, регламентирующих защиту информации.
Организационная защита информации – это вид защиты, включающий совокупность организационно-распорядительных документов, организационных методов и мероприятий, регламентирующих и обеспечивающих организацию, технологию и контроль защиты информации.
Методы защиты информации – это способы (приёмы) защиты, которые самостоятельно или в совокупности со средствами защиты обеспечивают один или несколько видов защиты. Методы защиты информации можно подразделить:
- на универсальные, которые используются не в одном, а в нескольких видах защиты;
- на локальные.
Существует шесть универсальных методов защиты информации:
- Регламентация – должны быть установлены правила, регулирующие защиту информации.
- Скрытие – сделать незаметным для противника сам факт существования объекта.
- Маскировка – скрыть от противника истинное назначение объекта.
- Дезинформация – введение в заблуждение ложной информацией.
- Дробление (расчленение) – информация делится на определённые части, размещаемые на разных носителях.
- Препятствие состоит в создании различных барьеров на пути НСД.
Локальные методы защиты – присущи определенному виду защиты и могут быть общими, относящими к ЗИ в целом и специфическими привязанными к объектам защиты или каналам несанкционированного доступа к информации.
Правовые методы являются общими и включают в себя:
- принятие правовых актов, устанавливающих основные нормы защиты, что вписывается в универсальный метод регламентации;
- привлечение к ответственности лиц, нарушающих правила защиты информации.
Организационные локальные методы включают в себя и общие и специфические. К общим относятся:
- разработка и внедрение технологии защиты всех категорий информации;
- фиксированный учёт издания (изготовления), получения, обработки, движения и местонахождения носителей защищаемой информации;
- подбор, проверка и обучение персонала, допускаемого к работе с защищаемой информацией; воспитательно-профилактическая работа с ним;
- распределение и регламентация обязанностей по защите информации между лицами, допускаемыми к защищаемой информации;
- установление персональной ответственности за сохранность носителей информации и неразглашении содержащихся в них сведений;
- материальные и моральные поощрения за обеспечение защиты информации;
- установление контроля за открытой информацией с целью недопущения, включения в неё защищаемых сведений.
Специфические методы организационной защиты относятся к конкретным объектам защиты:
- конфиденциальным документам;
- защищаемой продукции;
- допущенному к защищаемой информации персоналу.
Криптографические методы защиты информации являются общими, относящимися к защите информации в целом и включают в себя шифрование, кодирование, сжатие и рассечение (разнесение) информации.
Программно-аппаратных методов защиты не существует, есть только средства.
Инженерно-технические локальные методы состоят из общих и специфических. Однако общие методы, в отличие от организационных, относятся не только к защите информации в целом, но и привязаны к конкретным методам несанкционированного доступа к информации.
Общие методы обеспечивают защиту информации:
От несанкционированного физического проникновения к ней. Здесь методами защиты являются устройства ограждений: телевизионных систем наблюдения, технических пропускных систем, технически защищённых хранилищ носителей информации, специальных транспортных средств для перевозки носителей информации.
То есть такие технические меры защиты, которые препятствуют несанкционированному физическому доступу к объектам защиты. Эти меры вписываются в универсальный метод препятствие.
От визуального наблюдения. Здесь методами защиты являются:
- выбор оптимального размещения средств изготовления, размножения и отображения информации с целью исключения прямого или дистанционного наблюдения, либо фотографирования информации;
- использование светонепроницаемых стекол, занавесок, драпировок, ставней, решёток и других защитных материалов.
От подслушивания. Здесь методами защиты являются:
- применение звукопоглощающих облицовок, специальных дополнительных тамбуров и дверных проёмов, двойных оконных рам, то есть того, что защищает информацию;
- использование средств акустического зашумления объёмов и поверхностей помещений;
- закрытие вентиляционных каналов, мест ввода в помещения отопления, электропитания, телефонных и радиокоммуникаций.
От перехвата электромагнитных излучений. Здесь методами защиты являются:
- экранирование зданий, отдельных помещений, средств кабельных коммуникаций, то есть защита их от радиоперехвата с помощью такого устройства, которое поглощает или отражает различные излучения. Для этого применяется различные изолирующие материалы, при этом комбинированные излучающую аппаратуру помещают в коробки из поглощающих материалов, а для защиты линий связи применяются кабели в специальной оболочке;
- зашумление (глушение) сигналов с помощью генераторов активных помех, подавляющих фильтров в информационных цепях, цепях питания и заземления. Системы виброакустического и акустического зашумления активно используются для защиты помещений. Они предназначены для защиты речевой информации, циркулирующей в помещении, от прослушивания с использованием различных видов акустических микрофонов, стетоскопов, лазерных и инфракрасных систем съёма информации. Принцип действия этих систем основан на создании маскировки спектра речи широкополосным нефильтруемым акустическим шумом в ограждающих конструкциях, системах вентиляции, водоснабжения и отопления;
- использование эквивалентных антенн, естественных и индустриальных помех для снижения и изменения различных излучений и создание таких помех с помощью дополнительного звукового или шумового фона;
- использование локальных систем, не имеющих выхода за пределы охраняемой зоны (телефонные системы внутреннего пользования, автономное электропитание).
Средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты информации, средства, в которых они реализованы, а также средства контроля эффективности защиты. Таким образом, средства защиты информации подразделяются на три категории:
- Средства, осуществляющие защиту автономно;
- Средства, вмонтированные в средства обработки информации; последние в этом случае называются защищёнными средствами защиты информации;
- Средства, с помощью которых осуществляется контроль эффективности защиты.
Правовых и организационных средств защиты не существует, эти виды реализуются только методами и мероприятиями.
Программно-аппаратные средства ЗИ.
К программным средствам защиты относятся программы защиты и документы по их эксплуатации.
Программно-аппаратные средства защиты подразделяются на:
- программы, действующие автономно, предназначенные как для защиты информации, так и для контроля эффективности этой защиты;
- программы защиты информации, реализованные в программах обработки данных;
- программы защиты информации, реализованные в технических устройствах защиты информации.
По способам применения технические средства подразделяются на:
- средства, предназначенные для непосредственной защиты информации;
- средства и системы в защищённом исполнении;
- средства контроля эффективности принятых мер защиты.
В систему кадрового обеспечения защиты гостайны, входят:
- руководители предприятий и структурных подразделений;
- специальные комиссии по защите информации;
- специализированные подразделения, входящие в состав единой службы безопасности, или существующие отдельно:
- первый (секретный) отдел;
- отдел режима;
- сектор анализа;
- третий отдел;
- подразделение ВОХР (военизированной охраны);
- подразделение ПД ИТР (противодействия иностранным техническим разведкам).
В систему кадрового обеспечения защиты других видов тайн, входят:
- руководители предприятий и структурных подразделений.
- специальные комиссии по защите информации.
- служба безопасности.
Полномочия руководства предприятия в области защиты информации
Руководители предприятий и структурных подразделений, администрация организаций, ведущих работы по защите государственной (коммерческой, служебной, профессиональной) тайны, персональных данных:
- несут ответственность за обеспечение надлежащего режима секретности (конфиденциальности) проводимых работ, за своевременную разработку и осуществление необходимых мероприятий по сохранению тайн;
- издают приказы, распоряжения и другие документы, регламентирующие режим секретности проводимых работ;
- осуществляют качественный подбор и специальную подготовку кадров;
- постоянно контролируют соблюдение работниками требований действующего законодательства и руководящих документов предприятия по обеспечению режима секретности (конфиденциальности);
- организуют воспитательно-профилактическую работу среди сотрудников по разъяснению им требований режима секретности (конфиденциальности);
- организуют и проводят работы по предупреждению утечки секретных (конфиденциальных) сведений в прессе, научной, производственной и административно-хозяйственной деятельности предприятия на основе аналитических исследований, главной задачей которых является выявление и локализация слабых мест в защите секретов.
Полномочия специальных комиссий по защите информации
В федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ, в организациях независимо от их организационно-правовой формы, допущенных в установленном порядке к выполнению работ, связанных с использованием сведений, составляющих государственную тайну, создаются постоянно действующие технические комиссии (ПДТК).
ПДТК изучает все стороны деятельности организации и вырабатывает рекомендации по управлению системой защиты гостайны в организации; выявлению и закрытию возможных каналов неправомерного распространения защищаемой информации, организации и координации работ по ПД ИТР и технической защите информации, физической защите объекта и др.
В состав ПДТК включаются специалисты по защите гостайны, ПД ИТР и технической защите информации, специалисты профильных структурных подразделений организации.
Возглавляет ПДТК один из заместителей руководителя организации.
Для защиты коммерческой и других видов тайны в организации создается подобная комиссия, но она может иметь другое наименование, например – постоянно действующая экспертная комиссия (ПДЭК). ПДЭК создается приказом руководителя предприятия и должна работать на постоянной основе.
Задачами такой комиссии должны быть:
- разработка перечней сведений, составляющих коммерческую и служебную тайну;
- разработка перечней издаваемых предприятием конфиденциальных документов;
- разработка Положения о системе доступа к конфиденциальным документам;
- экспертиза ценности конфиденциальных документов с целью установления сроков их хранения;
- проведение аналитической работы по предотвращению утечки и утраты конфиденциальной информации.
Учитывая важность задач ПДЭК, в ее состав следует включать высококвалифицированных сотрудников, в первую очередь руководителей подразделений, имеющих доступ к конфиденциальной информации.
Кроме того, в состав комиссии должны входить руководитель службы безопасности предприятия и руководитель подразделения конфиденциального делопроизводства, а также руководитель архива предприятия (при наличии архива).
Председателем комиссии необходимо назначать одного из заместителей руководителя предприятия, допущенного ко всем конфиденциальным документам.
Специализированные подразделения входят в состав службы безопасности или существуют отдельно:
- первый (секретный) отдел;
- отдел режима;
- сектор анализа;
- подразделение ВОХР (военизированной охраны);
- подразделение ПД ИТР;
- третий отдел.
Первый отдел предприятия реализует функцию управления секретным делопроизводством.
Его задачами являются:
- обеспечение режима секретности проводимых работ на предприятии, сохранности секретных (конфиденциальных) документов и контроля за их наличием;
- ведение секретного (конфиденциального) делопроизводства;
- организация приема, учета, хранения и размножения секретных (конфиденциальных) документов;
- осуществление постоянного контроля за соблюдением правил обращения с секретными (конфиденциальными) документами, установленного порядка их размножения, движения и своевременного возвращения в первый отдел;
- контроль за правильным присвоением документам грифа секретности (конфиденциальности);
- осуществление мероприятий по максимальному ограничению лиц, допускаемых к секретным (конфиденциальным) работам и документам;
- изучение всех сторон деятельности предприятия с целью выявления и закрытия возможных каналов утечки секретных (конфиденциальных) сведений;
- разработка и осуществление мероприятий, обеспечивающих режим секретности (конфиденциальности) при работе с документами, содержащих защищаемую информацию.
Отдел режима выполняет следующие задачи:
- обеспечение режима секретности при проведении испытаний систем военного применения, выполнении НИР и ОКР, при работе со специзделиями;
- координация действий по указанию руководителя Службы безопасности и других режимно-секретных органов, находящихся на полигонах Министерства обороны РФ, предприятиях-разработчиках, с целью обеспечения сохранности государственных секретов при проведении НИОКР и испытаний систем военного применения;
- обеспечение соблюдения установленных требований допускной и разрешительной систем к работникам, имеющим допуск к секретным работам и документам;
- обеспечение режима секретности (конфиденциальности) при эксплуатации незащищенных каналов связи, электронно-вычислительной и другой техники;
- осуществление контроля при ведении сотрудниками предприятия служебных междугородных переговоров и разработка мер по профилактике нарушений;
- обеспечение соблюдения установленных требований при направлении за границу работников, осведомленных в секретах предприятия;
- организация внутриобъектового режима, контроль пропускной системы;
- проведение воспитательно-разъяснительной и профилактической работы по вопросам сохранения государственной и коммерческой тайны на предприятии.
Сектор анализа выполняет следующие задачи:
- выявление каналов возможной утечки защищаемой информации путем проведения анализа научно-производственной, административной и коммерческой деятельности предприятия;
- разработка мер по закрытию каналов возможной утечки защищаемой информации и контроль за их реализацией.
Аналитическое подразделение должно разрабатывать рекомендации для руководителей НИР, всех структурных подразделений по защите информации. Для решения этих задач нужны высококвалифицированные специалисты, хорошо знающие тематические направления (специфику) деятельности предприятия, работу службы безопасности и других специализированных подразделений.
Подразделение противодействия иностранным техническим разведкам реализует функции выявления и предупреждения возможной утечки защищаемой информации по техническим каналам, организации контроля ПД ИТР при проведении НИР и ОКР, испытаний на предприятии и его полигонах. На предприятиях имеются отделы, группы, сектора, лаборатории ПД ИТР. На подразделения ПД ИТР могут быть возложены следующие задачи:
- обеспечение и организация защиты от ИТР НИОКР и испытаний образцов вооружения и военной техники;
- проведение контроля мер ПД ИТР при организации испытаний на предприятиях и полигонах;
- проведение контроля мер ПД ИТР предприятий и их полигонов с верхней полусферы;
- научно-методическое и техническое обеспечение работы по ПД ИТР;
- контроль организации и состояния ПД ИТР на предприятии;
- аттестация служебных помещений;
- инструментальные проверки мероприятий по ПД ИТР с помощью технических средств;
- контроль эффективности экранированных сооружений;
- проведение специальных проверок помещений, в которых проходят совещания и другие мероприятия на соответствие требованиям руководящих документов.
Для реализации возложенных задач подразделениям ПД ИТР предоставлены права требовать от руководителей проверяемых подразделений и полигонов о немедленном прекращении работ, выполняемых с нарушением норм ПД ИТР; согласовывать планы, технические задания, отчеты, договоры, инструкции по ПД ИТР, программы, методики и другие документы, имеющие отношение к проблеме ПД ИТР.
Военизированная охрана (ВОХР):
- осуществляет охрану предприятия от проникновения на его территорию посторонних лиц, а также охрану материальных ценностей, принадлежащих предприятию;
- обеспечивает установленный на охраняемых объектах пропускной и внутриобъектовый режим;
- осуществляет контроль за состоянием инженерно-технических средств охраны и пожарной безопасности предприятия, охрану спецгрузов при их перевозке.
Третьи отделы занимаются вопросами обеспечения предприятий засекреченной автоматической и шифровальной связью.
Полномочия пользователей защищаемой информации:
- знать и строго соблюдать требования информационной безопасности;
- дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;
- бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.
Раздел 2. Правовая защита информации.
2.1 Информация как объект права: понятия, признаки, виды.
ФЗ-149 –об информации информационных технологиях и о ЗИ (14 июля 2006г.)
Информация - сведения (сообщение, данные) не зависимо от формы представления.
Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети.
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Свойства информации (качественные признаки):
- объективность
- достоверность
- полнота
- точность
- актуальность
- полезность
- ценность
- своевременность
- понятность
- доступность
- краткость и т. д.
Виды классификаций информации:
- По способам восприятия
- Визуальная
- Аудиальная
- Тактильная
- Обонятельная
- Вкусовая
- По форме представления
- Текстовая
- Числовая
- Графическая
- Музыкальная
- Комбинированная
- По общественному значению
- Массовая:
- Обыденная
- Общественно-политическая
- Эстетическая
- Специальная:
- Научная
- Производственная
- Техническая
- Управленческая
- Личная:
- Знания, Умения, Интуиция
- Массовая:
2.2 Информационные технологии как объект правовой охраны.
Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:
- свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
- установление ограничений доступа к информации только федеральными законами;
- открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
- равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
- обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
- достоверность информации и своевременность ее предоставления;
- неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
- недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
2.3 Правовое регулирование защиты информации в Российской Федерации.
Правовой режим защиты информации - совокупность норм российского и международного права, реализация которых (соблюдение, исполнение, использование и применение) направлена на исключение противоправного доступа к защищаемой информации (тайне), ее искажение или уничтожение, а также распространение этой информации в нарушение установленного порядка либо вопреки воле ее законного правообладателя.
ФЗ «Об информации, информационных технологиях и защите информации»
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Доступ к информации – возможность получения информации и ее использования.
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа;
- реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
- предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
- своевременное обнаружение фактов несанкционированного доступа к информации;
- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
- постоянный контроль за обеспечением уровня защищенности информации.
5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
Перечень сведений, отнесенных к государственной тайне (30 ноября 1995)
ФЗ о государственной тайне (21 июля 1993 года)
Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации сзи - гт)( от 13 ноября 1999 г.)
Настоящее Положение устанавливает основные принципы, организационную структуру системы сертификации СЗИ - ГТ, порядок проведения сертификации этих средств, порядок регистрации сертифицированных средств, а также порядок проведения инспекционного контроля за сертифицированными средствами. Государственный контроль и надзор за соблюдением заявителями, испытательными центрами (лабораториями) и органами по сертификации правил обязательной сертификации осуществляет ФСБ России в порядке, установленном законодательством Российской Федерации.
Положение о сертификации средств защиты информации (26 июня 1995)
Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.
Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации.
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется - система сертификации).
Системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации
Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации (31 августа 2006)
Настоящее Положение определяет порядок лицензирования деятельности по разработке и (или) производству средств защиты конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями.
Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю, а в части разработки и (или) производства средств защиты конфиденциальной информации.
И др. нормативные документы.
2.4 Общедоступная информация: понятие, виды, правовое регулирование и защита.
Закон РФ от 27 декабря 1991 г. N 2124-I "О средствах массовой информации"
Статья 38. Право на получение информации
Граждане имеют право на оперативное получение через средства массовой информации достоверных сведений о деятельности государственных органов и организаций, общественных объединений, их должностных лиц.
Государственные органы и организации, общественные объединения, их должностные лица предоставляют сведения о своей деятельности средствам массовой информации по запросам редакций, а также путем проведения пресс-конференций, рассылки справочных и статистических материалов и в иных формах.
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Статья 7. Общедоступная информация
- К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
- Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
- Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.
Статья 8. Право на доступ к информации
- Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.
- Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.
- Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.
- Не может быть ограничен доступ к:
- нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
- информации о состоянии окружающей среды;
- информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
- информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
- иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
- Государственные органы и органы местного самоуправления обязаны обеспечивать доступ к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения.
- Решения и действия (бездействие) государственных органов и органов местного самоуправления, общественных объединений, должностных лиц, нарушающие право на доступ к информации, могут быть обжалованы в вышестоящий орган или вышестоящему должностному лицу либо в суд.
- В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.
- Предоставляется бесплатно информация:
- о деятельности государственных органов и органов местного самоуправления, размещенная такими органами в информационно-телекоммуникационных сетях;
- затрагивающая права и установленные законодательством Российской Федерации обязанности заинтересованного лица;
- иная установленная законом информация.
- Установление платы за предоставление государственным органом или органом местного самоуправления информации о своей деятельности возможно только в случаях и на условиях, которые установлены федеральными законами.
Статья 10. Распространение информации или предоставление информации
- В Российской Федерации распространение информации осуществляется свободно при соблюдении требований, установленных законодательством Российской Федерации.
- Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица.
- При использовании для распространения информации средств, позволяющих определять получателей информации, в том числе почтовых отправлений и электронных сообщений, лицо, распространяющее информацию, обязано обеспечить получателю информации возможность отказа от такой информации.
- Предоставление информации осуществляется в порядке, который устанавливается соглашением лиц, участвующих в обмене информацией.
- Случаи и условия обязательного распространения информации или предоставления информации, в том числе предоставление обязательных экземпляров документов, устанавливаются федеральными законами.
- Запрещается распространение информации, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иной информации, за распространение которой предусмотрена уголовная или административная ответственность.
Правовой режим защиты информации - совокупность норм российского и международного права, реализация которых (соблюдение, исполнение, использование и применение) направлена на исключение противоправного доступа к защищаемой информации (тайне), ее искажение или уничтожение, а также распространение этой информации в нарушение установленного порядка либо вопреки воле ее законного правообладателя.
Федеральный закон от 27 июля 2006 г. N 149-ФЗ
"Об информации, информационных технологиях и о защите информации"
Статья 5. Информация как объект правовых отношений
1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.
2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
- информацию, свободно распространяемую;
- информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
- информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
- информацию, распространение которой в Российской Федерации ограничивается или запрещается.
4. Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.
Статья 6. Обладатель информации
1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.
2. От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами.
3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
- разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
- использовать информацию, в том числе распространять ее, по своему усмотрению;
- передавать информацию другим лицам по договору или на ином установленном законом основании;
- защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
- осуществлять иные действия с информацией или разрешать осуществление таких действий.
4. Обладатель информации при осуществлении своих прав обязан:
- соблюдать права и законные интересы иных лиц;
- принимать меры по защите информации;
- ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
Статья 9. Ограничение доступа к информации
1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.
7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.
8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.
9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.
Статья 16.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа,
3) реализацию права на доступ к информации.
2.6 Правовой режим коммерческой тайны.
Правовой режим защиты информации - совокупность норм российского и международного права, реализация которых (соблюдение, исполнение, использование и применение) направлена на исключение противоправного доступа к защищаемой информации (тайне), ее искажение или уничтожение, а также распространение этой информации в нарушение установленного порядка либо вопреки воле ее законного правообладателя.
Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
Информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
Перечни информации, которая не может быть отнесена к коммерческой тайне.
- содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
- содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
- о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
- о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
- о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
- о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
- о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
- об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
- о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
- о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
- обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Установление режима коммерческой тайны
Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер:
- определение перечня информации, составляющей коммерческую тайну;
- ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
- учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
- регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Охрана конфиденциальности информации в рамках трудовых отношений
1. В целях охраны конфиденциальности информации работодатель обязан:
- ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
- ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
- создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.
3. В целях охраны конфиденциальности информации работник обязан:
- выполнять установленный работодателем режим коммерческой тайны;
- не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;
- не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось;
- возместить причиненный работодателю ущерб, если работник виновен в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей;
- передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.
4. Работодатель вправе потребовать возмещения причиненных убытков лицом, прекратившим с ним трудовые отношения, в случае, если это лицо виновно в разглашении информации, составляющей коммерческую тайну, доступ к которой это лицо получило в связи с исполнением им трудовых обязанностей, если разглашение такой информации последовало в течение срока, установленного в соответствии с пунктом 3 части 3 настоящей статьи.
5. Причиненные ущерб либо убытки не возмещаются работником или прекратившим трудовые отношения лицом, если разглашение информации, составляющей коммерческую тайну, явилось следствием непреодолимой силы, крайней необходимости или неисполнения работодателем обязанности по обеспечению режима коммерческой тайны.
6. Трудовым договором с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности.
7. Руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства Российской Федерации о коммерческой тайне. При этом убытки определяются в соответствии с гражданским законодательством.
8. Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением им трудовых обязанностей.
Охрана конфиденциальности информации в рамках гражданско-правовых отношений.
1. Отношения между обладателем информации, составляющей коммерческую тайну, и его контрагентом в части, касающейся охраны конфиденциальности информации, регулируются законом и договором.
2. В договоре должны быть определены условия охраны конфиденциальности информации, в том числе в случае реорганизации или ликвидации одной из сторон договора в соответствии с гражданским законодательством, а также обязанность контрагента по возмещению убытков при разглашении им этой информации вопреки договору.
3. В случае, если иное не установлено договором между обладателем информации, составляющей коммерческую тайну, и контрагентом, контрагент в соответствии с законодательством Российской Федерации самостоятельно определяет способы защиты информации, составляющей коммерческую тайну, переданной ему по договору.
4. Контрагент обязан незамедлительно сообщить обладателю информации, составляющей коммерческую тайну, о допущенном контрагентом либо ставшем ему известном факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании информации, составляющей коммерческую тайну, третьими лицами.
5. Обладатель информации, составляющей коммерческую тайну, переданной им контрагенту, до окончания срока действия договора не может разглашать информацию, составляющую коммерческую тайну, а также в одностороннем порядке прекращать охрану ее конфиденциальности, если иное не установлено договором.
6. Сторона, не обеспечившая в соответствии с условиями договора охраны конфиденциальности информации, переданной по договору, обязана возместить другой стороне убытки, если иное не предусмотрено договором.
Охрана конфиденциальности информации при ее предоставлении
- Органы государственной власти, иные государственные органы, органы местного самоуправления в соответствии с настоящим Федеральным законом и иными федеральными законами обязаны создать условия, обеспечивающие охрану конфиденциальности информации, предоставленной им юридическими лицами или индивидуальными предпринимателями.
- Должностные лица органов государственной власти, иных государственных органов, органов местного самоуправления, государственные или муниципальные служащие указанных органов без согласия обладателя информации, составляющей коммерческую тайну, не вправе разглашать или передавать другим лицам, органам государственной власти, иным государственным органам, органам местного самоуправления ставшую известной им в силу выполнения должностных (служебных) обязанностей информацию, составляющую коммерческую тайну, за исключением случаев, предусмотренных настоящим Федеральным законом, а также не вправе использовать эту информацию в корыстных или иных личных целях.
- В случае нарушения конфиденциальности информации должностными лицами органов государственной власти, иных государственных органов, органов местного самоуправления, государственными и муниципальными служащими указанных органов эти лица несут ответственность в соответствии с законодательством Российской Федерации.
Гражданско-правовая, уголовно-правовая и административная ответственность за нарушение законодательства о коммерческой тайне
- Влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
- Работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации.
- Органы государственной власти, иные государственные органы, органы местного самоуправления, получившие доступ к информации, составляющей коммерческую тайну, несут перед обладателем информации, составляющей коммерческую тайну, гражданско-правовую ответственность за разглашение или незаконное использование этой информации их должностными лицами, государственными или муниципальными служащими указанных органов, которым она стала известна в связи с выполнением ими должностных (служебных) обязанностей.
- Лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с настоящим Федеральным законом быть привлечено к ответственности.
- По требованию обладателя информации, составляющей коммерческую тайну, лицо, указанное в части 4 настоящей статьи, обязано принять меры по охране конфиденциальности информации. При отказе такого лица принять указанные меры обладатель информации, составляющей коммерческую тайну, вправе требовать в судебном порядке защиты своих прав.
2.7 Правовой режим служебной и профессиональной тайны.
Профессиональная тайна является видом конфиденциальной информации и выступает самостоятельным объектом права. Для осуществления ее правовой охраны и защиты необходим специальный федеральный закон «О профессиональной тайне».
Профессиональная тайна – защищаемая по закону информация, доверенная или ставшая известной лицу исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной и муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица, доверившего эти сведения (доверителя), и не являющаяся государственной или коммерческой тайной.
Нормы федеральных законов:
- ГК РФ (ст. 964);
- ГПК РСФСР (ст.9 );
- УК РФ (ст.155);
- УПК РСФСР (ст.51);
- Семейный кодекс РФ (ст.15, 139);
- ФЗ от 16.02.1995г. «О связи» (ст.32);
- «Основы законодательства РФ об охране здоровья граждан» от 22.07.1993г. (ст.30,31,35,49,61);
- закон РФ от 02.07.1992г. «О психиатрической помощи и гарантиях прав граждан при ее оказании» (ст.9,46);
- ФЗ от 26.09.1997г. «О свободе совести и религиозных объединениях» (п. 7 ст.3);
- закон РСФСР от 20.11.1980г. «Об утверждении положения об адвокатуре РСФСР» (ст. 16);
- «Основы законодательства РФ о нотариате» от 10.02.1993г. (ст.5, 14,16,17,28,34);
- закон РФ от 22.12.1992г. «О трансплантации органов и (или) тканей человека» (ст.14);
- ФЗ «О социальном обслуживании граждан пожилого возраста и инвалидов» от 17.05.1995г. №122 – ФЗ (ст.11).
первым признаком отбора информации для отнесения к этому виду тайны выступает профессия, в силу которой лицу доверяется или становится известной конфиденциальная информация;
второй признак профессиональной тайны – конфиденциальная информация, как правило, затрагивает частную жизнь ее владельца;
третий признак лицо, которому в силу его профессии была доверена такая информация, обязано по закону обеспечить ее сохранность как профессиональную тайну под страхом наступления ответственности в соответствии с действующим законодательством.
В соответствии с этими признаками можно выделить следующие объекты профессиональной тайны:
Врачебная тайна - информация содержащая:
- результаты обследования лица, вступающего в брак;
- сведения о факте обращения за медицинской помощью, о состоянии здоровья, диагнозе заболевания и иные сведения, полученные при обследовании и лечении гражданина;
- иные сведения в медицинских документах гражданина.
Тайна связи - тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Нотариальная тайна – сведения, доверенные нотариусу в связи с совершением нотариальных действий.
Адвокатская тайна – сведения, сообщенные адвокату гражданином в связи с оказанием юридической помощи.
Тайна усыновления – сведения об усыновлении ребенка усыновителем, доверенные на законном основании иным лицам, кроме судей вынесших решение об усыновлении, и должностных лиц, осуществляющих государственную регистрацию этого усыновления.
Тайна страхования - сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении всех этих лиц, полученные страховщиком в результате своей профессиональной деятельности.
Тайна исповеди - сведения, доверенные священнослужителю гражданином на исповеди.
Должностная служебная тайна связана с интересами государственной службы и службы в органах местного самоуправления. Правовая охрана служебная тайна носит опосредованный характер, так как прямого указания в статьях УК РФ (гл. 30) на пределы охраны должностной тайны нет.
Доступ к профессиональным сведениям закрытого характера связан с должностным статусом лица, которому эти сведения стали известны по службе. Поэтому при утечки этой секретной информации страдают интересы службы (в отличии от интересов клиентов в случае профессиональной тайны).
Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
Нормативно-правовыми документами в отношении защиты служебной тайны являются:
- Закон РФ от 31.07.95 №119-ФЗ “Об основах государственной службы российской федерации”.
- Закон РФ от 17.01.92 №2202-1 (ред. от 10.02.99) “О прокуратуре российской федерации ”.
- Закон РФ от 02.12.90 №395-1 (ред. от 31.07.98 №151) “О банках и банковской деятельности ”.
- Закон РФ от 18.04.91.№1026-1 (ред. от 15.06.96 № 73-ФЗ) “О милиции ”.
- Закон РФ от 12.08.95г. №144-ФЗ “Об оперативно-розыскной деятельности ”.
- Закон РФ от 16.02.95 №15-ФЗ (ред. от 06.01.99) “О связи ”.
- Закон РФ от 29.07.2004г. №98-ФЗ “О коммерческой тайне ”.
- Налоговый кодекс РФ (ЧАСТЬ ПЕРВАЯ) от 31.07.98 №146-ФЗ.
- Гражданский кодекс РФ (ЧАСТЬ ПЕРВАЯ) от 30.11.94 №51-ФЗ (ред. от 12.08.96).
- Уголовный кодекс РФ от 13.06.96 №63-ФЗ (ред. от 09.02.99).
- Таможенный кодекс РФ утв. ВС РФ 18.06.93 №5221-1 (ред. от 10.02.99).
2.8 Правовой режим банковской тайны и кредитных историй.
Банковская тайна - защищаемые банками и иными кредитными организациями сведения о банковских операциях по счетам и сделкам в интересах клиентов, счетах и вкладах своих клиентов и корреспондентов, а также сведения о клиентах и корреспондентах, разглашение которых может нарушить их право на неприкосновенность частной жизни.
Согласно п. 1 ст. 857 ГК РФ
- Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.
- Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям, а также представлены в бюро кредитных историй на основаниях и в порядке, которые предусмотрены законом. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и порядке, которые предусмотрены законом.
- В случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков.
Одновременно с этим ст. 26 Закона о банках предоставляет право кредитной организации включать в состав банковской тайны иные сведения, если это не противоречит федеральному закону.
Статья 26. Банковская тайна
Кредитная организация, Банк России гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
Объекты банковской тайны:
1. Тайна банковского счёта.
2. Тайна операций по банковскому счёту.
3. Тайна банковского вклада.
4. Тайна частной жизни клиента или корреспондента.
Субъекты банковской тайны:
1. Владельцы – те, кто доверяют банку сведения.
2. Пользователи – те, кому доверяют сведения (т.е. банки).
Правовое регулирование кредитных историй
Российская федерация федеральный закон «О кредитных историях»
Кредитная история - информация, состав которой определен настоящим Федеральным законом и которая характеризует исполнение заемщиком принятых на себя обязательств по договорам займа (кредита) и хранится в бюро кредитных историй;
Бюро кредитных историй - юридическое лицо, зарегистрированное в соответствии с законодательством Российской Федерации, являющееся коммерческой организацией и оказывающее в соответствии с настоящим Федеральным законом услуги по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг.
Кредитная история субъекта кредитной истории - физического лица состоит из:
- титульной части;
- основной части;
- дополнительной (закрытой) части.
2. В титульной части кредитной истории физического лица содержится следующая информация о субъекте кредитной истории:
- фамилия, имя, отчество
- данные паспорта
- идентификационный номер налогоплательщика (если лицо его указало);
- страховой номер индивидуального лицевого счета, указанный в страховом свидетельстве обязательного пенсионного страхования (если лицо его указало).
3. В основной части кредитной истории физического лица содержатся следующие
сведения (если таковые имеются):
1) в отношении субъекта кредитной истории:
- а) указание места регистрации и фактического места жительства;
- б) сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя;
2) в отношении обязательства заемщика
- а) указание суммы обязательства;
- б) указание срока исполнения обязательства;
- в) указание срока уплаты процентов;
- г) о внесении изменений и (или) дополнений к договору;
- д) о дате и сумме фактического исполнения обязательств
- е) о погашении займа (кредита) за счет обеспечения в случае неисполнения
- заемщиком своих обязательств по договору;
- ж) о фактах рассмотрения судом, арбитражным и (или) третейским судом споров по договору займа (кредита) и содержании резолютивных частей судебных актов, вступивших в законную силу;
- з) иная информация, официально полученная из государственных органов.
Статья 7. Хранение и защита информации
- Бюро кредитных историй обеспечивает хранение кредитной истории в течение 15 лет со дня последнего изменения информации.
- Бюро кредитных историй обеспечивает защиту информации при ее обработке, хранении и передаче сертифицированными средствами защиты.
- Бюро кредитных историй, его должностные лица несут ответственность за неправомерное разглашение и незаконное использование получаемой.
- Предоставление информации в порядке, предусмотренном настоящим Федеральным законом, не является нарушением служебной, банковской, налоговой или коммерческой тайны.
2.9 Правовой режим государственной тайны.
Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;
Нормативные акты:
- Закон «О безопасности»
- Закон «О государственной тайне»
- Указ президента «Об утверждении перечня сведений отнесенных к государственной тайне»
- Положение о сертификации средств защиты
- ФЗ «О лицензировании отдельных видов деятельности»
- Положение о государственной системе защиты информации в РФ от иностранных технических разведок и от ее утечки по техническим каналам
- Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»
- О предоставлении социальных гарантий гражданам, допущенным к государственной тайне на постоянной основе, и сотрудникам структурных подразделений по защите государственной тайны (Постановление правительства РФ).
Закон РФ «О государственной тайне»
Этот закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
Сведения отнесенные к гос.тайне:
Перечень сведений, составляющих государственную тайну- совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.
Отнесение сведений к государственной тайне и их засекречивание - введение в предусмотренном настоящим Законом порядке для сведений составляющих государственную тайну, ограничений на их распространение и на доступ к их носителям.
Отнесение сведений к государственной тайне и их засекречивание осуществляется в соответствии с принципами законности, обоснованности и своевременности.
Не подлежат отнесению к государственной тайне и засекречиванию сведения:
- о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;
- о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
- о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
- о фактах нарушения прав и свобод человека и гражданина;
- о размерах золотого запаса и государственных валютных резервах Российской Федерации;
- о состоянии здоровья высших должностных лиц Российской Федерации;
- о фактах нарушения законности органами государственной власти и их должностными лицами.
К органам защиты государственной тайны относятся:
- межведомственная комиссия по защите государственной тайны;
- федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности;
- федеральный орган исполнительной власти, уполномоченный в области обороны;
- федеральный орган исполнительной власти, уполномоченный в области внешней разведки;
- федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации;
- их территориальные органы.
- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны
Устанавливается три формы допуска к государственной тайне должностных лиц и граждан, соответствующие трем степеням секретности сведений, составляющих государственную тайну: к сведениям особой важности, совершенно секретным или секретным. Наличие у должностных лиц и граждан допуска к сведениям более высокой степени секретности является основанием для доступа их к сведениям более низкой степени секретности.
- первая форма - для граждан, допускаемых к сведениям особой важности;
- вторая форма - для граждан, допускаемых к совершенно секретным сведениям;
- третья форма - для граждан, допускаемых к секретным сведениям.
Организация доступа должностного лица или гражданина к сведениям, составляющим государственную тайну, возлагается на руководителя соответствующего органа государственной власти, предприятия, учреждения или организации, а также на их структурные подразделения по защите государственной тайны.
Допуск граждан к сведениям особой важности, совершенно секретным и секретным в организациях, куда они командируются по служебным делам, осуществляется после предъявления ими документов, удостоверяющих личность, справок о допуске и предписаний на выполнение заданий
2.10 Правовой режим персональных данных.
Закон «О персональных данных»
Настоящий Закон определяет операции с персональными данными и их правовой режим с учетом общепризнанных норм международного права и обязательств по международным договорам.
Целью закона является защита прав человека в отношении его персональных данных и операций с ними, определение правового режима использования персональных данных и функций их держателей.
Персональные данные — информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.
Субъект персональных данных (субъект) — человек, к которому относятся соответствующие персональные данные.
Держатель персональных данных (держатель) — органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие действия с персональными данными на законных основаниях.
Принципы правового регулирования персональных данных
- Персональные данные должны быть получены и обработаны законным образом на основании действующего законодательства.
- Персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме.
- Персональные данные должны накапливаться для точно определенных и законных целей.
- Персональные данные должны быть точными и в случае необходимости обновляться.
- Персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежать уничтожению по достижении этой цели.
- Должны приниматься меры для охраны персональных данных.
- Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации.
- Для лиц, занимающих высшие государственные должности, и кандидатов на эти должности национальным законодательством может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных.
Статья 4. Правовой режим персональных данных
- Правовой режим персональных данных — нормативно установленные правила, определяющие условия доступа, хранения, уточнения, передачи, блокирования, обезличивания и уничтожения персональных данных.
- Персональные данные, находящиеся в ведении держателя, относятся к конфиденциальной информации, кроме случаев, определенных настоящим Законом.
- Режим конфиденциальности персональных данных снимается в случаях обезличивания персональных данных; требований субъекта в отношении своих персональных данных; включения персональных данных в общедоступные базы данных.
- По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (био-, библиографические справочники, телефонные книги, адресные книги, частные объявления и т.д.).
Статья 12. Права субъекта персональных данных
- Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо своих персональных данных за исключением случаев, предусмотренных частью 7 настоящей статьи.
- В целях реализации своих прав и свобод субъект предоставляет необходимые персональные данные, а также сведения об их изменениях в соответствующие органы государственной власти в объемах, определяемых законодательством.
- Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и иметь к ним доступ. Право па доступ может быть ограничено только в случаях, предусмотренных пунктом 7 настоящей статьи. Указанная информация должна быть выдана субъекту персональных данных в доступной документированной форме, четко и ясно выраженной, и не должна содержать персональные данные, относящиеся к другим субъектам.
- При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения изменений в свои персональные данные.
- В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя блокирования этих данных.
- Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обжаловать эти действия в административном, судебном или ином порядке в соответствии с национальным законодательством. В случае установления неправомерности действий при работе с персональными данными субъект данных имеет право на возмещение убытков и на иные формы обеспечения прав в соответствии с национальным законодательством.
- Ограничение прав субъекта на свои персональные данные возможно в отношении:
- а) права предоставления субъектом своих персональных данных для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, — в пределах, установленных национальным законодательством о государственной тайне;
- б) прав доступа к своим персональным данным, внесения в них изменений и их блокирования в отношении персональных данных, полученных в результате оперативно-розыскной деятельности, иных персональных данных в случаях, предусмотренных национальным законодательством.
2.11 Интеллектуальная собственность как объект правовой охраны.
В понятие «интеллектуальная собственность» входят в качестве ее составляющих промышленная собственность и произведения, охраныемые авторском правом.
Права на изобретения, оформленные патентами, принято называть промышленными, а сам патент - промышленной собственностью (к ней относятся и другие объекты творческой деятельности в сфере производства).
С собственностью патент сближают такие признаки:
- принадлежащее патентовладельцу, как собственнику, право распоряжения и пользования патентом;
- наличие у патента, как и у любого товара, меновой стоимости;
- защита патента, как и всякого имущества собственника, от посягательств со стороны третьих лиц («всех и каждого»).
Термин «промышленный» указывает на область применения охраняемого патентом изобретения. Однако этот термин не вполне точен, так как в законе прямо говориться, что изобретением является объект используемый не только в промышленности, но и в сельском хозяйстве, торговле, медицине.
Объектами охраны промышленной собственности являются:
- изобретения и полезные модели, являющиеся решением технических задач;
- промышленные образцы, относящиеся к творениям технической эстетики, которые определяют внешний вид промышленной продукции;
- товарные знаки, знаки обслуживания и наименования мест происхождения, предназначенные для выделения продукции данного предприятия (фирмы) в массе однородных товаров и услуг, гарантирования качества и рекламы;
- фирменные наименования, позволяющие идентифицировать предприятие определенного физического или юридического лица;
Суть действия системы охраны промышленной собственности заключается в предоставлении (обычно на ограниченный срок) исключительного права на использование перечисленных выше объектов.
Авторское право относится к произведениям науки, литературы и искусства. Они являются результатами творческой деятельности. Механизм охраны авторских прав выработан в основных многосторонних международных конвенциях - Бернской (1886 г.) и Женевской (1952 г.), к которым Россия присоединилась.
В последнее время к объектам авторского права относят программы для ЭВМ, базы данных и топологии интегральных микросхем. Вопросы авторского права обостряются и представляют интерес обычно тогда, когда объекты интеллектуальной собственности создаются или используются в нарушение норм авторского права. Для получения авторских прав практически никакой регистрации не требуется. Срок действия авторского права по нашему законодательству составляет всю жизнь автора и еще 50 лет после его смерти. При нарушении авторских прав в результате судебных санкций обычно осуществляется возмещение ущерба правовладельцу.
Обладатель исключительных авторских прав на произведения науки, литературы и искусства для оповещения о своих правах вправе, использовать знак охраны авторского права, который помещается, как правило, на оборте титиульного листа или на первой странице внизу каждого экземпляра произведения. Он состоит из трех элементов: латинской буквы «С» - первая буква слова «Copyright», в окружности - ©; имени (наименования) обладателя исключительных авторских прав и года первого опубликования произведения.
Различие патентного и авторского права заключается в том, что предоставляемые патентовладельцу исключительные права распространяются на сущность изобретения или иного объекта промышленной собственности. При этом, способствуя коммерческому использованию патента, права не препятствуют доступу кого-либо к опубликованной патентной информации.
В отличие от этого исключительные авторские права приобретает только создатель формы выражения, а не идеи или информация о ней.
2.12 Правовая охрана программ для ЭВМ и баз данных.
Особенность правовой охраны программ для ЭВМ определяется возможностью применения для этого как авторского, так и патентного права. Это связано с тем, что их можно трактовать как охраняемые литературные работы по способу и форме выражения. Как правило, стараются защитить структуру и организацию программы от ее копирования, а также воспроизведения основных элементов программы с целью копирования и продажи.
Помимо того, некоторая часть программы может иметь вполне конкретное техническое значение. Это определяет ее патентоспособность с учетом ее применения для решения технических задач или в комплексе с другими элементами, привносящими в объект отличительные признаки изобретения.
В Российской Федерации охрана программ для ЭВМ обеспечивается двумя актами: специальным законом для ЭВМ и баз данных и общим законом, распространяющимся на авторское право.
По договору Всемирной организации интеллектуальной собственности (ВОИС) по авторскому праву от 1996 г. определяется охрана баз данных или других материалов, которые по своему отбору и организации их содержания представляют собой оригинальное произведение.
Под базой данных понимается объективная форма представления и организации, совокупности данных (например, статей, расчетов и пр.), систематизированных так, чтобы они могли быть найдены и обработаны с помощью ЭВМ. Отношения, связанные с созданием правовой охраны и использованием баз данных, регулируются Законом Российской Федерации «О правовой охране программ для ЭВМ и баз данных». Правообладатель может зарегистрировать по своему желанию базу данных, как и программу для ЭВМ, путем подачи заявки в Патентное ведомство. Там же регистрируются договоры о передаче имущественных прав на базы данных.
Для признания и осуществления авторского права на программу ЭВМ правообладатель может, начиная с первого выпуска в свет программы для ЭВМ или базы данных, использовать знак ©.
Регистрация
- Правообладатель непосредственно или через своего представителя в течение срока действия авторского права может по своему желанию зарегистрировать программу для ЭВМ или базу данных в федеральном органе исполнительной власти по интеллектуальной собственности, за исключением программ для ЭВМ и баз данных, содержащих сведения, составляющие государственную тайну.2. Заявка на официальную регистрацию программы для ЭВМ или базы данных (далее - заявка на регистрацию) должна относиться к одной программе для ЭВМ или одной базе данных.
- Заявка на регистрацию должна содержать:
- заявление на официальную регистрацию программы для ЭВМ или базы данных с указанием правообладателя, а также автора, если он не отказался быть упомянутым в качестве такового, и их местонахождения (местожительства);
- депонируемые материалы, идентифицирующие программу для ЭВМ или базу данных, включая реферат;
- документ, подтверждающий уплату государственной пошлины в установленном размере или основания для освобождения от уплаты государственной пошлины.
Правила оформления заявки на регистрацию определяет федеральный орган исполнительной власти по интеллектуальной собственности.
6. Сведения, внесенные в Реестр программ для ЭВМ или Реестр баз данных, считаются достоверными до тех пор, пока не доказано обратное.
Ответственность за достоверность указанных сведений несет заявитель.
Контрафактными признаются экземпляры программы для ЭВМ или базы данных, изготовление или использование которых влечет за собой нарушение авторских прав.
Автор программы для ЭВМ или базы данных и иные правообладатели вправе требовать:
- признания прав;
- восстановления положения, существовавшего до нарушения права, и прекращения действий, нарушающих право или создающих угрозу его нарушения;
- возмещения лицом, нарушившим исключительное право, причиненных убытков в соответствии с гражданским законодательством;
- принятия иных предусмотренных законодательными актами мер, связанных с защитой их прав.
Лицензионный договор – соглашение о передаче правообладателем на ОИС права на использование объекта интеллектуальной собственности в объеме, предусмотренном договором, другому лицу, причем последний принимает на себя обязанность вносить правообладателю обусловленные договором платежи и осуществлять другие действия, предусмотренные договором.
2.13 Административно-правовая ответственность за правонарушения в информационной сфере.
Преступление в сфере компьютерной информации - это предусмотренное уголовным законом виновное нарушение чужих прав и интересов в отношении автоматизированных систем обработки данных, совершенное во вред подлежащим правовой охране правам и интересам физических и юридических лиц, общества и государства
Преступлениями в сфере компьютерной информации являются:
- Неправомерный доступ к компьютерной информации (ст.272 УК РФ);
- Создание, использование и распространение вредоносных программ для ЭВМ (ст.273 УК РФ);
- Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК РФ);
Глава 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, -наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, -наказывается лишением свободы на срок до четырех лет.
2.15 Уголовно-правовая ответственность за незаконное разглашение информации ограниченного доступа.
УК РФ:
Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений
Статья 147. Нарушение изобретательских и патентных прав
1. Незаконное использование изобретения, полезной модели или промышленного образца, разглашение без согласия автора или заявителя сущности изобретения, полезной модели или промышленного образца до официальной публикации сведений о них, присвоение авторства или принуждение к соавторству, если эти деяния причинили крупный ущерб
Статья 155. Разглашение тайны усыновления (удочерения)
Разглашение тайны усыновления (удочерения) вопреки воле усыновителя, совершенное лицом, обязанным хранить факт усыновления (удочерения) как служебную или профессиональную тайну, либо иным лицом из корыстных или иных низменных побуждений.
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом -наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев либо лишением свободы на срок до двух лет.
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, -наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до трех лет.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, -наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до пяти лет.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, -наказываются лишением свободы на срок до десяти лет.
Статья 275. Государственная измена
Государственная измена, то есть шпионаж, выдача государственной тайны либо иное оказание помощи иностранному государству, иностранной организации или их представителям в проведении враждебной деятельности в ущерб внешней безопасности Российской Федерации, совершенная гражданином Российской Федерации, -наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового.
Статья 276. Шпионаж
Передача, а равно собирание, похищение или хранение в целях передачи иностранному государству, иностранной организации или их представителям сведений, составляющих государственную тайну, а также передача или собирание по заданию иностранной разведки иных сведений для использования их в ущерб внешней безопасности Российской Федерации, если эти деяния совершены иностранным гражданином или лицом без гражданства, -наказываются лишением свободы на срок от десяти до двадцати лет.
Статья 283. Разглашение государственной тайны
1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены - наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, -наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 284. Утрата документов, содержащих государственную тайну
Нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют государственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий, -наказывается ограничением свободы на срок до трех лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Статья 310. Разглашение данных предварительного расследования
Разглашение данных предварительного расследования лицом, предупрежденным в установленном законом порядке о недопустимости их разглашения, если оно совершено без согласия следователя или лица, производящего дознание.
Статья 311. Разглашение сведений о мерах безопасности, применяемых в отношении судьи и участников уголовного процесса
Статья 320. Разглашение сведений о мерах безопасности, применяемых в отношении должностного лица правоохранительного или контролирующего органа
2.16 Гражданско-правовая ответственность за правонарушения в информационной сфере.
КоАП:
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Статья 13.12. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от двух тысяч до трех тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
Статья 13.13. Незаконная деятельность в области защиты информации
1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.
2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии - влечет наложение административного штрафа на должностных лиц в размере от четырех тысяч до пяти тысяч рублей; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.
Статья 13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.
2.17 Правовое регулирование лицензирования деятельности в сфере защиты информации.
Законодательной и нормативной базой лицензирования и сертификации в области 3И являются следующие документы.
Законы РФ:
· "О государственной тайне";
· "О сертификации продукции и услуг";
· "О защите прав потребителей";
· "Об информации, информатизации и защите информации;
· "О стандартизации;
· "О федеральных органах правительственной связи и информации".
Постановления Правительства РФ:
· "О лицензировании отдельных видов деятельности;
· "О лицензировании деятельности предприятий;
· "О сертификации средств ЗИ".
А также Указы Президента РФ и ряд подзаконных актов.
Полный перечень видов деятельности в области защиты информации, подлежащих обязательному государственному лицензированию, определён в Законе РФ "О государственной тайне" и Федеральном законе "О лицензировании отдельных видов деятельности".
Лицензирование деятельности по защите информации.
Общие нормы, устанавливающие порядок организации и осуществления этой деятельности, содержатся в статье 27 Закона РФ "О государственной тайне".
Органами, уполномоченными на ведение лицензионной деятельности, являются:
1. По допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, – ФСБ РФ (на территории Российской Федерации), СВР РФ (за рубежом).
2. На право проведения работ, связанных с созданием средств защиты информации – ФСТЭК(Федеральная служба по техническому и экспертному контролю), ФСБ.
3. На право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны – ФСБ РФ, ФСО (Федеральная служба охраны) и СВР РФ(за рубежом).
Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет. Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия.
Основанием для отказа в выдаче лицензии является:
· наличие в документах, представленных заявителем, недостоверной или искаженной информации;
· отрицательное заключение экспертизы, установившей несоответствие необходимым для осуществления заявленного вида деятельности условиям;
· отрицательное заключение по результатам государственной аттестации руководителя предприятия.
Специальные экспертизы предприятий выполняются по следующим направлениям:
· режим секретности;
· противодействие иностранной технической разведке;
· защита информации от утечки по техническим каналам.
Экспертные комиссии формируются при ФСБ РФ, ФСТЭК, в их территориальных органах и аттестационных центрах.
К заявлению на получение лицензии необходимо приложить следующие документы:
· копия свидетельства о государственной регистрации предприятия;
· копии учредительных документов, заверенных нотариусом;
· копии документов на право собственности или аренды имущества, необходимого для ведения заявленной деятельности;
· справка налогового органа о постановке на учет;
· представление органов государственной власти РФ с ходатайством о выдаче лицензии;
· документ, подтверждающий оплату рассмотрения заявления.
Оформление лицензии и ее выдача (уведомление об отказе в выдаче) производится в тридцатидневный срок со дня подачи заявления со всеми необходимыми документами.
Для рассмотрения спорных вопросов, возникающих при экспертизе предприятия-заявителя, может проводиться дополнительная независимая экспертиза. Состав экспертной комиссии формируется ФСБ согласованию с предприятием-заявителем.
Органы, уполномоченные на ведение лицензионной деятельности, приостанавливают действие лицензии или аннулируют ее в случаях:
· по личной просьбе лицензиата;
· ликвидации юридического лица или прекращения действия свидетельства о государственной регистрации физического лица в качестве предпринимателя;
· обнаружения недостоверных данных в документах, представленных для получения лицензии;
· нарушения лицензиатом условий действия лицензии;
Учет лицензиатов ведется государственными органами по лицензированию на основании сведений, поступающих от лицензионных центров.
2.18 Правовое регулирование аттестации и сертификации в сфере защиты информации.
Нормы и требования российского законодательства в области лицензирования и сертификации включают в себя положения ряда нормативных актов Российской Федерации различного уровня.
Постановление Верховного Совета СССР № 2195-1 “О видах деятельности, которыми предприятия вправе заниматься только на основании специальных разрешений (лицензий)”. Этим документом был утвержден перечень отдельных видов деятельности, которыми предприятия на территории страны вправе заниматься только при наличии у них специального разрешения или лицензии. В частности, к таким видам деятельности данное постановление относит и производство, ремонт, реализацию и эксплуатацию шифровальной техники.
Указом Президента РФ от 5 января 1992 года № 9 для выполнения работ по руководству разработкой, производством, реализацией, внедрением и эксплуатацией в государственных организациях технических и программных средств защиты информации была образована Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России).
Указом Президента РФ от 24 декабря 1991 года № 313 и Постановлением Верховного Совета Российской Федерации от 19 февраля 1993 года № 4524-1 был принят Закон РФ “О федеральных органах правительственной связи и информации” в соответствии с которым образовано Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).
Статья 11 данного закона предоставила Федеральному агентству права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Одновременно Федеральному агентству этой статьей дано право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг.
Полномочия государственных органов по лицензированию деятельности в области защиты информации, содержащей сведения, составляющие государственную тайну, а также по сертификации средств защиты такой информации определены Законом РФ от 21 июля 1993 года № 5485-1 «О государственной тайне»
Статья 27 этого закона предписывает осуществлять допуск предприятий, учреждений и организаций к работам по созданию средств защиты секретной информации и оказанию услуг по защите сведений, составляющих государственную тайну, путем получения ими лицензий на данную деятельность. Статья 28 устанавливает обязательность сертификации технических средств, предназначенных для защиты секретных сведений, и определяет государственные органы, ответственные за проведение сертификации указанных средств (Гостехкомиссия России, ФАПСИ, Министерство обороны, и Министерство безопасности РФ, правопреемником которого является Федеральная служба безопасности России).
Распоряжение президента РФ “О контроле за экспортом из Российской Федерации отдельных видов сырья, материалов, оборудования, технологий и научно-технической информации, которые могут быть применены при создании вооружения и военной техники”. Данным распоряжением утвержден соответствующий перечень, в котором, в частности, указывается, что аппаратура, узлы, компоненты, программное обеспечение и технология производства, специально разработанные или модифицированные для использования в криптографии или выполнения криптографических функций, подлежат экспортному контролю.
Предоставленные Гостехкомиссии России и ФАПСИ права по определению порядка осуществления и лицензирования деятельности в области защиты информации нашли свое отражение в “Положение о государственном лицензировании деятельности в области защиты информации”,
Обязательное государственное лицензирование деятельности в области защиты информации криптографическими методами, а также в области выявления электронных устройств перехвата информации в технических средствах и помещениях государственных структур введено постановлением правительства от 24.12.94 № 1418 “О лицензировании отдельных видов деятельности”, а также одноименным Федеральным законом от 25.09.98 N 158-ФЗ. Федеральный закон “О лицензировании отдельных видов деятельности” распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации, независимо от ее характера и степени секретности, на все субъекты этой деятельности любых организационно-правовых форм, включая и физических лиц.
Ф3 “Об информации, информатизации и защите информации”. Данный закон впервые официально вводит понятие “конфиденциальной информации”, которая рассматривается как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и устанавливает общие правовые требования к организации защиты такой информации в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.
Кроме того, закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения или подмены (имитозащиты) и подтверждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со статьей 5 “юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью”. При этом “юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования”. Далее закон раскрывает требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронною цифровую подпись, и порядку их использования в информационно-телекоммуникационных системах.
“О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации” запрещает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации, без лицензии ФАПСИ. Пункты 2, 3 данного документа устанавливают обязательное использование исключительно сертифицированных средств защиты информации во всех государственных структурах, в том числе и в государственных банках Российской Федерации, на предприятиях, работающих по государственному заказу, а также на предприятиях и в организация при их информационном взаимодействии с центральным банком России и его структурными подразделениями. Таким образом, обязательность сертификации распространяется не только на средства защиты информации, содержащей сведения, составляющие государственную тайну, но и на средства защиты любой государственно значимой информации независимо от грифа ее секретности. Кроме того, Указ формирует механизм реализации перечисленных выше законодательных актов, возлагая ответственность за их выполнение на ФАПСИ, а также правоохранительные, таможенные и налоговые органы страны.
Федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи является Федеральная служба по надзору в сфере связи при Министерстве информационных технологий и связи Российской Федерации
Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
ФЗ «Об информации, инфотехе и ЗИ»
Статья 12. Государственное регулирование в сфере применения информационных технологий
1. Государственное регулирование в сфере применения информационных технологий предусматривает:
3) создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети "Интернет" и иных подобных информационно-телекоммуникационных сетей.
Статья 15. Использование информационно-телекоммуникационных сетей
1. На территории Российской Федерации использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства Российской Федерации в области связи, настоящего Федерального закона и иных нормативных правовых актов Российской Федерации.
2. Регулирование использования информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, осуществляется в Российской Федерации с учетом общепринятой международной практики деятельности саморегулируемых организаций в этой области. Порядок использования иных информационно-телекоммуникационных сетей определяется владельцами таких сетей с учетом требований, установленных настоящим Федеральным законом.
3. Использование на территории Российской Федерации информационно-телекоммуникационных сетей в хозяйственной или иной деятельности не может служить основанием для установления дополнительных требований или ограничений, касающихся регулирования указанной деятельности, осуществляемой без использования таких сетей, а также для несоблюдения требований, установленных федеральными законами.
4. Федеральными законами может быть предусмотрена обязательная идентификация личности, организаций, использующих информационно-телекоммуникационную сеть при осуществлении предпринимательской деятельности. При этом получатель электронного сообщения, находящийся на территории Российской Федерации, вправе провести проверку, позволяющую установить отправителя электронного сообщения, а в установленных федеральными законами или соглашением сторон случаях обязан провести такую проверку.
5. Передача информации посредством использования информационно-телекоммуникационных сетей осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации и охране объектов интеллектуальной собственности. Передача информации может быть ограничена только в порядке и на условиях, которые установлены федеральными законами.
6. Особенности подключения государственных информационных систем к информационно-телекоммуникационным сетям могут быть установлены нормативным правовым актом Президента Российской Федерации или нормативным правовым актом Правительства Российской Федерации.
Раздел 3. Организационная защита информации и конфиденциальное делопроизводство
Известно, что в основе деятельности по защите информации лежат всевозможные законодательные документы, регламентирующие эту деятельность. Однако, законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, в ведомствах, учреждениях и организациях. При рассмотрении вопросов безопасности информации такая деятельность относится к организационным методам защиты информации.
Организационные методы защиты информации включают меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе работы с информацией для обеспечения заданного уровня её безопасности.
Организационные методы защиты информации тесно связаны с правовым регулированием в области безопасности информации. В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях для защиты информации создаются специальные службы безопасности.
На организационном уровне должны решаться следующие задачи обеспечения безопасности информации:
· организация работ по разработке системы защиты информации;
· ограничение доступа на объект и к ресурсам информации;
· разграничение доступа к ресурсам информации;
· планирование мероприятий;
· разработка документации;
· воспитание и обучение обслуживающего персонала и пользователей;
· сертификация средств защиты информации;
· лицензирование деятельности по защите информации;
· аттестация объектов защиты;
· совершенствование системы защиты информации;
· оценка эффективности функционирования системы защиты информации;
· контроль выполнения установленных правил работы в компьютерных системах.
Обеспечение безопасности – непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных форм, методов, способов и путей создания, совершенствования и развития системы безопасности, непрерывном управлении ею, контроле, выявлению её узких мест и потенциальных угроз предприятию.
Безопасность может быть обеспечена только при комплексном использовании всего арсенала средств защиты и противодействия.
Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый целостный механизм - "система безопасности предприятия". Однако, никакая система безопасности предприятия не может обеспечить требуемый уровень безопасности без надлежащей подготовки персонала предприятия и пользователей, соблюдения ими всех установленных правил, направленных на обеспечение безопасности.
Под системой безопасности следует понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно-важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Организация и функционирование системы безопасности должны осуществляться на основе следующих принципов:
1. Комплексность
2. Своевременность.
3. Непрерывность
4. Активность
5. Законность
6. Обоснованность
7. Экономическая целесообразность
8. Специализация
9. Взаимодействие и координация
10. Совершенствование
11. Централизация управления.
К системе безопасности предприятия предъявляются следующие требования:
- Чёткость определения полномочий и прав пользователей на доступ к определённым видам информации.
- Предоставление пользователям минимальных полномочий, необходимых для работы.
- Сведение к минимуму числа общих для нескольких пользователей средств защиты.
- Учёт случаев и попыток НСД к конфиденциальной информации.
- Обеспечение степени оценки конфиденциальности информации
- Обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.
Целями системы безопасности являются:
- Защита прав фирмы, её структурных подразделений и сотрудников.
- Сохранение и эффективное использование финансовых, материальных и информационных ресурсов.
- Повышение имиджа и роста прибыли (качества продукции) за счёт обеспечения качественных услуг и безопасности клиентов.
Задачи системы безопасности:
- Своевременное выявление и устранение угроз персоналу и ресурсам, причин и условий, способствующих финансовому, материальному и моральному ущербу предприятия.
- Отнесение информации к категории ограниченного доступа.
- Создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций функционирования предприятия.
- Эффективное пресечение посягательств на ресурсы и персонал.
- Создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, для ослабления негативного влияния последствий нарушения безопасности на достижение стратегических целей предприятия.
Угроза – единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей, внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных.
Виды угроз:
- Единичные или комплексные
- Объективные или субъективные
- Внутренние или внешние
- Реальные или потенциальные
- НСД на: уничтожение, искажение, подмену, ознакомление.
Виды каналов утечки информации:
- Переход к третьему лицу
- Переход к злоумышленнику
- Через сотрудников
- Через посторонних лиц
i. В результате разглашения
ii. В результате утечки по техническим каналам
- По каналам НСД
i. Организационные
ii. Технические
1. Вибороакустический
2. Визуально-оптический
3. Электромагнитный
4. Радиоканал
iii. Легальные (аналитическая обработка)
iv. Нелегальные
1. Воровство
2. Обман
3. Подслушивание
4. Подделка документов
5. Взяточничество
6. Шантаж
7. Перехват
8. Визуальное наблюдение
9. Анализ отходов
Система защиты госсекретов РФ основывается на законе «О гостайне».
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной. Контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности государства.
Система защиты гостайны – совокупность органов защиты гостайны, используемых ими средств и методов защиты сведений, составляющих гостайну и их носителей, а также мероприятий, проводимых в этих целях.
Допуск к гостайне – процедура оформления права граждан на доступ к сведениям, составляющим гостайну, а предприятиям, учреждениям, организациям – право на проведение работ с использованием таких сведений.
Доступ к гостайне – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими гостайну.
Гриф секретности – обязательный реквизит каждого материального носителя информации, отнесённой к гостайне.
Засекречивание сведений и их носителей – введение в предусмотренном порядке для гостайны ограничение на её распространение.
Степень секретности – категория, характеризующая важность информации, возможный ущерб вследствие её разглашения, степень ограничения доступа к ней и уровень её охраны государством.
Перечень сведений, отнесённых к гостайне утверждается указом президента РФ. Согласно перечню к сведениям, представляющим гостайну, относят:
1. Информацию в военной области
2. О внешнеполитической и внешнеэкономической деятельности.
3. В области экономики, науки и техники.
4. В области разведывательной, контрразведывательной и оперативно-розыскной деятельности.
Законом о гостайне запрещается отнесение к гостайне каких-либо сведений, нарушающих конституционные права или наносящих вред здоровью и безопасности населения.
Отнесение информации к гостайне осуществляется мотивированным решением государственного эксперта в области тайн в соответствии с законом РФ о гостайне и другими документами, утверждёнными в соответствии с этим законом.
Информация считается гостайной со времени её включения в свод сведений о гостайнах. Снижение степени секретности информации и рассекречивание осуществляется на основании решения государственного эксперта по вопросам тайн или без такого заключения в связи с истечением сроков секретности.
Засекречивание информации осуществляется путём предоставления соответствующему документу, изделию или другому носителю информации грифа секретности, содержащего сведения о степени секретности, сроке засекречивания и должностном лице, ставившем гриф.
Засекречивание сведений следует осуществлять в соответствии с принципами законности, обоснованности и своевременности.
Основанием для засекречивания сведений, полученных органами гос.власти, предприятиями и организациями является соответствующий перечню сведений для засекречивания.
При засекречивании сведений носителям присваивается соответствующий гриф секретности. На носители гостайны наносятся реквизиты, включающие степень секретности, информацию об учреждении, присвоившем степень, регистрационный номер, дату или условия рассекречивания.
Защита гостайны:
Органы государственной власти и др. обеспечивают защиту сведений, составляющих гостайну в соответствии с возложенными на них задачами и в пределах своей компетенции. Ответственность за организацию защиты гостайны возлагается на их руководителя. Допуск должностных лиц и граждан осуществляется в добровольном порядке и предусматривает:
1. Принятие на себя обязательств перед государством о нераспространении доверенных сведений.
2. Согласие на частичные и временные ограничения их в соответствии с законом.
3. Принятие решения руководителем о допуске оформляемого лица к сведениям.
Организация доступа возлагается на руководителя соответствующего органа государственной власти и др. на их структурные подразделения по защите государственной тайны.
Организация режима секретности:
Режим секретности – установленный нормами права единый порядок в стране обращения со сведениями, составляющими государственную и служебную тайны.
Назначение режимов секретности – предотвращение утечки закрытой информации по агентурным каналам.
Режим секретности имеет ряд особенностей:
- Единый для всех организаций порядок обращения с гостайной, который определяется высшими органами государственной власти и управления.
- Обязательный для всех порядок.
- Персональная ответственность руководителей всех рангов за организацию режима секретности в их организациях, за проведение необходимого комплекса мероприятий, предотвращающих утечку закрытой информации.
- Контроль за деятельностью по обеспечению сохранности госсекретов, соблюдение требований установленного режима секретности, который осуществляется органами государственной безопасности.
- Уголовная ответственность лиц, виновных в разглашении секретных сведений, утрате секретных документов и изделий.
- Порядок обеспечения секретности при осуществлении контактов с зарубежными фирмами.
- Порядок проведения служебных расследований по фактам разглашения секретных сведений.
Деятельность по обеспечению сохранности гостайны осуществляется через подразделение по охране гостайны. Его функции:
- Вопросы допуска сотрудников к закрытым работам и документам.
- Организация пропускного режима на объекте.
- Контроль за соблюдением установленных требований режима секретности.
В основу работы подразделений по защите положены следующие документы:
- Инструкция по обеспечению режима секретности в министерствах.
- Перечень сведений, составляющих гостайну.
- Ведомственный перечень сведений, подлежащих засекречиванию.
- Положение о порядке установления степени секретности сведений, содержащихся в работах, документах и изделиях.
На всех предприятиях, где ведутся закрытые работы, создаются постояннодействующие технические комиссии (ПДТК). ПДТК являются консультативным органом при руководителе предприятия по вопросам режима секретности и противодействия иностранным техническим разведкам.
Основными задачами ПДТК являются:
1. Выявление возможных каналов утечки информации, присущей для данного предприятия.
2. Разработка и реализация мероприятий по своевременному закрытию выявленных каналов утечки закрытой информации.
3. Планирование всех работ по вопросам режима секретности и защиты от технических разведок на предприятии.
4. Организация и ведение общей профилактической работы по защите закрытой информации от технических разведок.
Учёт секретных документов – регистрация и контроль за их сохранностью. Две формы учёта: журнальная и карточная.
При учёте фиксируются:
- Гриф
- Количество листов
- Количество экземпляров
- Источник поступления
- Краткое содержание
- Дата поступления
Учёту подлежат секретные документы, специальные блокноты, рабочие тетради сотрудников, отдельные листы бумаги.
Порядок обращения с секретными документами:
- Только под роспись
- Только в спец.помещениях
- Запрещается держать вместе секретные и несекретные доки
- Необходимо убирать секретдоки при временном выходе из помещения
- Запрещается выносить секретдоки за пределы охраняемой территории
- После окончания работы проверить наличие всех секретдоков.
Разрабатываются секретдоки только в спецблокнотах, рабочих тетрадях и спецкомпах.
Запрещается снимать копии без разрешения и уничтожать их самостоятельно.
В секретдоке должен быть представлен минимально возможный объём секретных сведений.
Секретдоки пересылаются только спецсвязью.
Уничтожение секретдоков:
Секретдоки, потерявшие ценность, подлежат уничтожению. Для этого приказом руководителя предприятия назначается комиссия (не менее 3 человек). Порядок работы комиссии:
- Оценка ценности секретной документации
- Написание акта на уничтожение секретной документации
- Проведение сверки представленного на уничтожение документа с записями в карточках и журналах.
- Проставление росписей в акте и представление его на утверждение руководителю предприятия.
- Уничтожение в присутствии членов комиссии. Акт на уничтожение хранится в первом отделе.
Секретные изделия хранятся в упакованном виде или под опломбированными чехлами в секретных лабораториях.
Коммерческая тайна и порядок её определения.
Правовое регулирование определяется законом о комм.тайне (2004).
Комм.тайна – не являющиеся государственными сведения, связанные с производством, технологиями, финансами, процессами управления и другой деятельностью организации или предприятия, разглашение которых может нанести ущерб их интересам.
Гриф «комтайна» не является секретным, а лишь показывает, что право собственности на данную информацию охраняется законом.
Комтайну могут составлять сведения, относящиеся к широкому кругу вопросов предпринимательской деятельности.
Предприниматель, производящий или приобретающий конфиденциальную информацию самостоятельно устанавливает объем и состав сведений, относящихся к комтайне, сроки, порядок защиты и доступа к ней, правила её использования и условия передачи другим лицам.
Необходимость защиты тех или иных сведений определяется конкуренцией. Именно поэтому к КИ целесообразно относить те сведения, которые могут дать преимущества в конкурентной борьбе, а разглашение может нанести ущерб вследствие снижения конкурентоспособности товаров и услуг предприятия.
Для определения перечня сведений, составляющих коммерческую тайну предприятия, приказом гендиректора создаётся комиссия из специалистов по существующим на фирме направлениям деятельности. Она готовит перечень, который утверждает директор.
Организация работ с комтайной
Допуск сотрудников к КТ осуществляется директором, его заместителями по направлениям и руководителями структурных подразделений.
Командированные и частные лица допускаются к ознакомлению и работе с документами и изданиями с письменного разрешения руководителей и подразделений, при наличии письменного запроса.
Выписки из документов с КТ производятся в тетрадях, имеющих такой же гриф и после окончания работы представителя высылаются в адрес той организации.
Документы с КТ размножаются в типографиях и т.д. с разрешения службы безопасности и под контролем канцелярии по заказам, подписанным руководителем подразделения и утверждённым заместителем по направлению.
Учёт – поэкземплярно.
При пользовании открытой радиосвязью запрещается передавать КТ. Только по закрытым каналам.
Контроль за обеспечением режима КТ осуществляет служба безопасности и руководители структурных подразделений.
В случае утраты КТ ставятся в известность директор, его заместитель и начальник службы безопасности. Для расследования приказом директора или распоряжением структурного подразделения назначается комиссия. Составляется акт, вносятся отметки. Акты передаются в архив.
Организационная структура, численность и состав службы безопасности (СБ) может быть самой разнообразной и зависит от вида конкретного предприятия, его масштабов и форм собственности.
Служба безопасности предприятия – самостоятельное структурное подразделение, которое решает задачи по непосредственному обеспечению защиты жизненно важных интересов предприятия в условиях коммерческого и производственного риска, конкурентной борьбы. Примерная организационная структура СБ предприятия приведена на рис.
Служба безопасности должна быть всегда готова к возникновению кризисных ситуаций, проявляющихся в результате столкновения интересов бизнеса и преступного мира.
Кризисная ситуация – это проявление фактов угроз со стороны отдельных лиц или групп.
При оценке и анализе кризисной ситуации очень важно как можно быстрее определиться с ответом на вопрос, способна ли СБ справиться с ситуацией своими силами, либо для ее разрешения необходимо привлечение правоохранительных органов.
Однако в любом случае, учитывая возможность возникновения кризисных ситуаций, любое предприятие должно стремиться создавать в составе СБ отдельное формирование, именуемое антикризисная группа. В её состав входят ключевые фигуры предприятия: директор, начальник СБ, руководители линейных подразделений, филиалов, служб, юрист, главный бухгалтер и др.
Антикризисная группа решает следующие задачи:
· оценку обстановки;
· принятие неотложных мер по безопасности;
· управление деятельностью предприятия в экстренных условиях;
· обеспечение оперативного взаимодействия с органами правопорядка.
Главная цель создания антикризисной группы – противодействие внешним угрозам безопасности предприятия. Деятельность антикризисной группы регламентируется типовым планом действий руководства и персонала предприятия.
Основными задачами СБ являются:
· обеспечение безопасности производственно-торговой деятельности и защиты информации и сведений, являющихся коммерческой тайной;
· организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;
· предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;
· выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных ситуациях;
· обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;
· обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;
· оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов.
СБ предприятия выполняет следующие общие функции:
· организует и обеспечивает пропускной и внутриобъектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями;
· руководит работами по правовому и организационному регулированию отношений по защите коммерческой тайны;
· участвует в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны;
· изучает все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки информации;
· ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций;
· организует и проводит служебные расследования по фактам утечки коммерческой информации;
· разрабатывает, ведет, обновляет и пополняет перечень сведений, составляющих коммерческую тайну;
· обеспечивает строгое выполнение нормативных документов по ЗИ;
· организует и регулярно проводит учебу сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны, добиваясь, чтобы к охране коммерческих секретов был глубоко осознанный подход;
· ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;
· поддерживает контакты с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе расположения.
В своей деятельности СБ руководствуется следующими нормативными документами:
· Инструкция по организации режима и охраны;
· Инструкция по защите коммерческой тайны;
· Перечень сведений, составляющих коммерческую тайну;
· Инструкция по работе с конфиденциальной информацией;
· Инструкция по организации хранения дел, содержащих конфиденциальную информацию, в архиве;
· Инструкции по ИТЗИ и ПАЗИ;
· о порядке работы с иностранными представителями и представительствами.
Основной задачей службы безопасности по обеспечению охраны и внутриобъектового режима является организация и осуществление мер по обеспечению безопасности деятельности и защите информации всеми возможными в конкретных условиях способами и средствами.
С целью обеспечения надежной охраны материальных ценностей, конфиденциальных документов и информации, содержащей сведения коммерческого характера, а также своевременного предупреждения попыток несанкционированного доступа к ним устанавливается определенный режим деятельности, соблюдение которого обязательно для всех сотрудников, посетителей и клиентов. Руководители и сотрудники фирмы, обеспечивающие режим и охрану, должны руководствоваться в своей деятельности соответствующим законодательством и нормативными документами.
Основными задачами организации внутриобъектового режима являются:
· предупреждение проникновения в служебные помещения, в охраняемые зоны и на территорию объекта посторонних лиц;
· обеспечение порядка вноса (выноса), ввоза (вывоза) материальных ценностей и входа (выхода) сотрудников и клиентов.
Все помещения предприятия категорируются в зависимости от степени важности циркулирующих в них сведений.
Для обеспечения внутриобъектового режима на предприятии проводят пропускной режим. Для организации пропускного режима устанавливаются следующие виды пропускных документов.
Организация охраны объектов предприятия.
Обеспечение безопасности стационарных объектов предприятия представляет собой многогранный процесс реализации охранных мероприятий, по большей части предупреждающего характера.
В основе разработки системы защиты объекта и организации ее функционирования лежит принцип создания последовательных рубежей безопасности, на которых угрозы должны быть своевременно обнаружены. Такие рубежи должны располагаться последовательно, от забора вокруг территории объекта до главного, особо важного помещения, такого, например, как хранилище ценностей и коммерческой информации.
Эффективность системы защиты оценивается как время с момента возникновения угрозы до начала ее ликвидации. Чем более сложна и разветвлена система защиты, тем больше времени требуется на ее преодоление и тем больше вероятность того, что угроза будет обнаружена, определена, отражена и ликвидирована.
К числу факторов, влияющих на выбор приемов и средств охраны, относятся:
· возможные способы преступных посягательств на охраняемый объект;
· степень технической укрепленности охраняемого объекта;
· условия местности, на которой расположен охраняемый объект;
· режим и характер работы охраняемого объекта;
· режим охраны объекта;
Режим охраны объекта по времени может иметь круглосуточный, частичный (определенные часы суток) или выборочный характер. В зависимости от количества используемых сил и средств, плотности контроля территории и объекта режим охраны может быть простой или усиленный.
Существует несколько видов охраны:
· охрана с помощью технических средств – с подключением на пульт централизованного наблюдения и с установкой автоматической сигнализации;
· охрана путем выставления постов;
· комбинированная охрана.
Для охраны помещений используется многорубежная защита, включающая в себя 3 рубежа:
· Защита периметра (окон, дверей, вентиляции)
· Защита помещений внутри здания
· Охраняемые хранилища.
Организация и обеспечение защиты коммерческой тайны на предприятии.
Одними из важных источников конфиденциальной информации являются люди, документы и публикации. Целям предотвращения нанесения экономического, финансового и материального ущерба предприятию вызванного неправомерными или неосторожными действиями, а также неквалифицированным обращением или разглашением коммерческой тайны, служат следующие предложения.
Коммерческая тайна является собственностью предприятия. К сведениям, составляющим коммерческую тайну, относятся не секретные сведения, предусмотренные перечнем конкретных сведений, составляющих коммерческую тайну, утвержденным и введенным в действие приказом директора предприятия.
На документах содержащих сведения конфиденциального характера ставится гриф (КТ, ТП (тайна предприятия), и т.п.)
При открытом опубликовании сведений относящихся к деятельности предприятия необходимо получить заключение экспертной комиссии, которая разрешает данный вид общественного опубликования.
Передача КИ предприятия другим организациям должна осуществляться на договорной основе предусматривающей порядок обеспечения целостности КИ и возмещения материальных затрат в случае их утраты.
Для защиты КИ на предприятии должна быть организована система допуска сотрудников к данной информации.
С целью обеспечения защиты КИ на предприятии должен быть утверждён порядок работы с такими документами.
На предприятии должны быть разработаны и внедрены принципы организации и проведения контроля за обеспечением режима при работе с конфиденциальными сведениями.
На предприятии должна быть определена мера ответственности сотрудников за разглашение, утерю или утрату сведений конфиденциального характера.
Контроль и организация обеспечения защиты сведений конфиденциального характера на предприятии выполняется сотрудниками СБ.
Организация инженерно-технической защиты.
К основным средствам инженерно-технической защиты информации относятся:
· заградительные инженерные сооружения;
· средства защиты и укрепленности строительных конструкций;
· технические средства охраны;
· системы разграничения доступа (СКУД);
· системы видеоконтроля;
· системы и приборы для решения поисковых задач.
Данные средства применяются для:
· решения охраны территории и наблюдения за ней, охраны зданий, внутренних помещений и наблюдения за ними;
· охрана оборудования, хранилищ и перемещаемых носителей информации; осуществления контролируемого доступа в защищаемые зоны, охраняемые помещения и хранилища;
· создания препятствия визуальному наблюдению, подслушиванию и фотографированию;
· нейтрализации побочных электромагнитных излучений и наводок;
· исключения возможности перехвата электромагнитных излучений средств связи, обработки информации и электронно-вычислительной техники.
Для выполнения этих задач группа инженерно-технической защиты осуществляет организационные, организационно-технические и технические мероприятия.
К организационным задачам относят:
· определение границ охраняемой территории;
· определение технических средств, используемых для обработки конфиденциальной информации в пределах охраняемой зоны;
· определение КУИ или способов НСД;
· реализацию мер локализации или воспрещения КУИ или НСД;
· организацию контроля возможных ПЭМИН или специально используемых сигналов;
· организацию строгого контроля прохода и проноса материальных ценностей на предприятие.
Организационно-технические мероприятия обеспечивают блокирование возможных каналов утечки информации через технические средства с помощью специального оборудования (средств пассивной защиты и средств активной защиты).
Технические мероприятия обеспечивают приобретение, установку и использование специальных, защищенных, сертифицированных технических средств обработки конфиденциальной информации, ПЭМИН которых не превышают допустимых норм на границе охраняемой территории.
Организация безопасности функционирования информационных систем.
В настоящее время производственная деятельность предприятия сопровождается огромными объемами информации, которая циркулирует в различных информационных системах (ИС). Для пресечения несанкционированного доступа (НСД) к информационным системам необходимо организовать систему их защиты с использованием современных программно-аппаратных и криптографических средств.
Организация защиты информации, обрабатываемой в информационных системах, основывается на следующих принципах:
· Защита ИС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации.
· Защита средств вычислительной техники, входящей в состав ИС, обеспечивается комплексом программно-технических средств.
· Защита ИС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.
· Защита ИС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
· Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики.
· Неотъемлемой частью работ по защите информации в ИС является оценка эффективности средств защиты.
· Защита ИС должна предусматривать контроль эффективности средств защиты от НСД.
Подбор и подготовка кадров.
Анализ угроз информации позволил выделить следующие виды угроз информационным ресурсам, которые могут исходить от людей различных групп. По возрастанию степени опасности информационным ресурсам, исходящей от них, выделяют следующие группы:
· некомпетентные служащие;
· хакеры и крэкеры;
· неудовлетворенные своим статусом служащие;
· нечестные служащие;
· инициативный шпионаж;
· организованная преступность;
· политические диссиденты;
· террористические группы.
C учетом этого представляется целесообразным с целью обеспечения информационной безопасности предприятия уделять большее внимание подбору и изучению кадров при приеме их на работу.
При профотборе сотрудников для работы на коммерческих предприятиях рекомендуется придерживаться следующей последовательности:
1. Предварительное собеседование.
На этом этапе осуществляется предварительная беседа, которая реализуется в нескольких вариантах и может носить как поверхностный, так и углубленный характер. При поверхностном собеседовании в основном ограничиваются уточнением отдельных, наиболее значимых сведений и постановкой нескольких, совершенно конкретных вопросов.
Первую ознакомительную беседу следует проводить по стандартной формализованной форме, что позволяет в дальнейшем осуществлять компьютерную обработку ответов.
2. Сбор и оценка информации о кандидатах.
На этом этапе осуществляется углубленная оценка личных и деловых качеств кандидата на работу. При этом для служб безопасности предприятия представляется наиболее важным добывание сведений биографического.
Затем в ходе этого этапа на основе анализа документов, представленных самим кандидатом, а также данных, полученных через отдел кадров и службу безопасности, выявляются кандидаты, с которыми есть смысл вести дальнейшую работу.
3. Тестовые примеры и иные научные методики проверки кандидатов.
Этот этап характеризуется тем, что кандидат подвергается комплексными психологическими тестированиями. В настоящее время используются многочисленные методы и процедуры персонального очного тестирования, поскольку они характеризуются быстротой реализации и достаточно высокой эффективностью.
4. Исследование результатов тестирований.
На этом этапе выполняется аналитическая обработка и комплексный анализ результатов тестирований, в том числе с использованием ЭВМ.
С помощью тестирований достигается лишь возможность сформулировать весьма полный набор характеристик изучаемого кандидата.
5. Заключительное собеседование.
Перед началом заключительного собеседования рекомендуется составить примерный план беседы, обычно включающий следующие основные пункты:
· Уточнение спорных вопросов;
· Прогнозирование вероятного поведения представителей кадровой службы и руководства, если в ходе собеседования вскроются новые и неожиданные обстоятельства, ставящие под сомнение возможность зачисления кандидата на работу;
· Выбор оптимального времени, продолжительности, места проведения собеседования, которые должны быть удобными и приемлемыми для обеих сторон.
Завершения итоговой беседы проводится в официальной обстановке. Это подписание трудового договора и контракта.
Проверка персонала на благонадежность.
С точки зрения обеспечения безопасности конфиденциальной информации предприятия являются обязательными следующие функции службы безопасности по проверке сотрудников на благонадежность:
· определение степени вероятности формирования у кандидата преступных наклонностей в благоприятных для этого условиях;
· выявление у кандидата имевших место ранее преступных наклонностей, судимостей, связей с криминальной средой.
Для добывания подобной информации используются возможности службы безопасности, а также некоторых сторонних организаций, таких как, детективных агентств, бюро по занятости населения и пр.
Для сбора сведений такого характера применяются в рамках закона “О частной детективной и охранной деятельности в РФ” следующие методы: опрос, анкетирование, целевые беседы с лицами по месту жительства кандидатов и на предыдущих местах их учебы или работы, наведение справок через медицинские учреждения.
Процесс проверки руководящих кадров имеет свои особенности. необходимо подчеркнуть следующие важное обстоятельство – лица, принимаемые на ответственные вакантные должности предприятия, должны подвергаться стандартной проверке, включающей:
· достаточно продолжительные процедуры сбора и верификации установочно-биографических сведений с их последующей аналитической обработкой;
· предоставление рекомендательных писем от известных предпринимательских структур с их последующей проверкой;
· сбор сведений по месту жительства и по предыдущим местам работы;
· серии собеседований и тестов с последующей психоаналитической обработкой результатов.
Заключение контрактов и соглашений о секретности.
Обязательство о неразглашении конфиденциальной информации и сохранении тайны фирмы претендент подписывает до того, как ему будет сообщен состав ценных сведений, с которыми ему предстоит работать, и порядок защиты этих сведений.
Обязательство (подписка, соглашение) о неразглашении конфиденциальных сведений представляет собой правовой документ, которым претендент добровольно и письменно дает согласие на ограничение его прав и предупреждается об ответственности за нарушение данного обязательства.
Обычно при составлении подобного соглашения включают следующие пункты:
· детальное изложение принципов определения конкретных сведений, составляющих тайну фирмы;
· краткое изложение порядка охраны конфиденциальных сведений;
· изложение мер, которые должен принимать сам работник для обеспечения сохранности этих сведений;
· перечень наказаний.
Договорные обязательства подписывают не только претенденты на работу на данном предприятии, но и все лица, потенциально имеющие возможность узнать элементы тайны фирмы (акционеры, партнеры). После подписания обязательств и проведения бесед инструктажа с сотрудниками заключается трудовой договор или контракт.
Особенности увольнения сотрудников, владеющих конфиденциальной информацией.
Современные психологические подходы к процессу увольнения позволяют выработать следующую принципиальную рекомендацию: каковы бы ни были причины увольнения сотрудника, он должен покидать коммерческую организацию без чувства обиды, раздражения. Главная задача состоит в том, чтобы определить истинную причину увольнения сотрудника, попытаться правильно ее оценить и решить, целесообразно ли в данной ситуации предпринимать попытки к искусственному удержанию данного лица в коллективе либо отработать и реализовать процедуру его спокойного и бесконфликтного увольнения.
При поступлении устного или письменного заявления об увольнении рекомендуется во всех без исключения случаях провести с сотрудником беседу с участием руководства предприятия, а сотрудникам службы безопасности еще до этой беседы собрать следующую информацию:
· характер его взаимоотношений с коллегами в коллективе;
· доступ к информации, в том числе составляющей коммерческую тайну;
· предполагаемое в будущем место работы увольняющегося сотрудника.
В тех случаях, когда увольнения сотрудников происходят по инициативе предприятия, рекомендуется действовать следующим образом. Увольняемого сотрудника под благовидным предлогом отстраняют от работы с коммерческой тайной. Только лишь после этого рекомендуется приглашать на собеседование подлежащего увольнению сотрудника и объявлять конкретные причины, по которым предприятие его увольняет.
При окончательном расчете обычно рекомендуется поблагодарить сотрудника за работу и независимо от личных характеристик увольняемых сотрудников взять у него подписку о неразглашении конфиденциальных сведений.
Правовая основа системы лицензирования и сертификации в РФ.
Защита информации является общегосударственной проблемой, т.к. это напрямую связано с обеспечением его суверенитета. Такое регулирование опирается на государственную систему безопасности и на свод законов по лицензированию деятельности в сфере защиты информации.
Лицензия – выдаваемое уполномоченным лицом (лицензиаром) юридическим и физическим лицам (лицензиатам) разрешение на совершение определенных действий, без которого совершение таких действий признается неправомерным.
Лицензирование – это процесс, осуществляемый в отношении таких категорий, как «деятельность» (виды деятельности) и «субъект» (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, получает право на осуществление определенного вида деятельности. Это право закрепляется и оформляется в виде официальных документов, виды и статус которых также предписываются нормативными актами. За органом, уполномоченным на проведение лицензионной деятельности, закрепляется право на осуществление контроля за деятельностью лицензиата.
Сертификация – это подтверждение соответствия продукции или услуг установленным требованиям или стандартам.
Сертификат на средство защиты информации – документ, подтверждающий соответствие средства ЗИ требованиям по безопасности информации.
Законодательной и нормативной базой лицензирования и сертификации в области 3И являются следующие документы.
Законы РФ:
· "О государственной тайне";
· "О сертификации продукции и услуг";
· "О защите прав потребителей";
· "Об информации, информатизации и защите информации;
· "О стандартизации;
· "О федеральных органах правительственной связи и информации".
Постановления Правительства РФ:
· "О лицензировании отдельных видов деятельности;
· "О лицензировании деятельности предприятий;
· "О сертификации средств ЗИ".
А также Указы Президента РФ и ряд подзаконных актов.
Полный перечень видов деятельности в области защиты информации, подлежащих обязательному государственному лицензированию, определён в Законе РФ "О государственной тайне" и Федеральном законе "О лицензировании отдельных видов деятельности".
Лицензирование деятельности по защите информации.
Общие нормы, устанавливающие порядок организации и осуществления этой деятельности, содержатся в статье 27 Закона РФ "О государственной тайне".
Органами, уполномоченными на ведение лицензионной деятельности, являются:
4. По допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, – ФСБ РФ (на территории Российской Федерации), СВР РФ (за рубежом).
5. На право проведения работ, связанных с созданием средств защиты информации – ФСТЭК(Федеральная служба по техническому и экспертному контролю), ФСБ.
6. На право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны – ФСБ РФ, ФСО (Федеральная служба охраны) и СВР РФ(за рубежом).
Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет. Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия.
Основанием для отказа в выдаче лицензии является:
· наличие в документах, представленных заявителем, недостоверной или искаженной информации;
· отрицательное заключение экспертизы, установившей несоответствие необходимым для осуществления заявленного вида деятельности условиям;
· отрицательное заключение по результатам государственной аттестации руководителя предприятия.
Специальные экспертизы предприятий выполняются по следующим направлениям:
· режим секретности;
· противодействие иностранной технической разведке;
· защита информации от утечки по техническим каналам.
Экспертные комиссии формируются при ФСБ РФ, ФСТЭК, в их территориальных органах и аттестационных центрах.
К заявлению на получение лицензии необходимо приложить следующие документы:
· копия свидетельства о государственной регистрации предприятия;
· копии учредительных документов, заверенных нотариусом;
· копии документов на право собственности или аренды имущества, необходимого для ведения заявленной деятельности;
· справка налогового органа о постановке на учет;
· представление органов государственной власти РФ с ходатайством о выдаче лицензии;
· документ, подтверждающий оплату рассмотрения заявления.
Оформление лицензии и ее выдача (уведомление об отказе в выдаче) производится в тридцатидневный срок со дня подачи заявления со всеми необходимыми документами.
Для рассмотрения спорных вопросов, возникающих при экспертизе предприятия-заявителя, может проводиться дополнительная независимая экспертиза. Состав экспертной комиссии формируется ФСБ согласованию с предприятием-заявителем.
Органы, уполномоченные на ведение лицензионной деятельности, приостанавливают действие лицензии или аннулируют ее в случаях:
· по личной просьбе лицензиата;
· ликвидации юридического лица или прекращения действия свидетельства о государственной регистрации физического лица в качестве предпринимателя;
· обнаружения недостоверных данных в документах, представленных для получения лицензии;
· нарушения лицензиатом условий действия лицензии;
Учет лицензиатов ведется государственными органами по лицензированию на основании сведений, поступающих от лицензионных центров.
Сертификация средств защиты информации.
Национальным органом по сертификации является Госстандарт РФ. Госстандартом в 1994 г. утверждены "Правила по проведению сертификации в РФ", в соответствии с которыми целями сертификации являются:
· создание условий для деятельности предприятий и предпринимателей на товарном рынке РФ и участия в международной торговли;
· содействие потребителям в компетентном выборе продукции;
· защита потребителя от недобросовестности изготовителя (продавца, исполнителя);
· контроль безопасности продукции.
Сертификация средств защиты информации, прежде всего, подразумевает проверку их качественных характеристик для реализации защиты информации на основании государственных стандартов и требований. Организация сертификации средств защиты информации возлагается на Федеральное агентство контроля экспорта и технологий, Министерство обороны РФ.
Порядок проведения сертификации основан на следующих принципах:
Обязанность сертификации изделий, обеспечивающих защиту государственной тайны.
Обязательность использования криптографических алгоритмов, являющихся стандартами.
Принятие на сертификацию только изделий от заявителей, имеющих лицензию.
В РФ разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации и законов государственных организаций и предприятий для защиты гостайны. Кроме этого в области информационных технологий действуют системы добровольной сертификации банковских технологий (МЕКАС) и средств связи.
Сертификат выдается на срок до 5 лет.
Кроме указанных целей, сертификация средств защиты информации необходима также для решения вопросов экономической безопасности предприятия в связи с постоянным ростом компьютерных преступлений. Правовой основой предупреждения компьютерных преступлений является Указ Президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации" № 334 от 03.04.95 г. На основании данного указа в государственных организациях и предприятиях запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, не имеющих сертификата; запрещено размещение государственных заказов на предприятиях, в организациях, использующих указанные средства, не имеющие сертификата; запрещается деятельность физических и юридических лиц в области шифровальных и защищенных средств без лицензии; запрещен ввоз на территорию России не лицензированных шифровальных средств.
Раздел 4. Инженерно-техническая защита информации
4.1 Виды защищаемой информации, ее свойства, источники и носители.
Виды защищаемой информации
Семантическая (смысловая) и признаковая.
Защищаемая информация неоднородна по содержанию, объему и ценности. Следовательно, защита будет рациональной в том случае, когда уровень защиты, а следовательно, затраты, соответствуют количеству и качеству информации.
Свойства защищаемой информации
1. содержится на материальном носителе.
2. оценивается степенью полезности ее для пользователя
3. информацию можно рассматривать как товар.
4. Ценность информации изменяется во времени.
5. Невозможно объективно оценить количество информации
6. При копировании количество информации не меняется, а цена снижается.
Виды источников и носителей информации
С точки зрения защиты информации ее источниками являются субъекты и объекты, от которых информация может поступить к злоумышленнику.
Очевидно, что ценность этой информации определяется информативностью источника.
Основными источниками информации являются следующие:
- люди;
- документы;
- продукция;
- измерительные датчики;
- интеллектуальные средства обработки информации;
- черновики и отходы производства;
- материалы и технологическое оборудование.
Информативность людей как источников информации существенно различается.
Наиболее информированы руководители организаций, их заместители и ведущие специалисты. Каждый сотрудник организации владеет конфиденциальной информацией в объеме, превышающем, как правило, необходимый для выполнения его функциональных обязанностей.
Под документом понимается зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Документы относятся к наиболее информативным источникам, так как они содержат, как правило, достоверную информацию в отработанном и сжатом виде, в особенности, если документы подписаны или утверждены.
Продукция является источником информации о признаках.
Информация источника также содержится на носителе. Следовательно, носителями являются материальные объекты, обеспечивающие запись, хранение и передачу информации в пространстве и времени. Известны 4 вида носителей информации:
- люди;
- материальные тела (макрочастицы);
- поля;
- элементарные частицы (микрочастицы).
Демаскирующие признаки объекта описывают его различные состояния, характеристики и свойства.
По состоянию объектов демаскирующие признаки разделяются на опознавательные признаки и признаки деятельности. Опознавательные признаки описывают объекты в статическом состоянии: его назначение, принадлежность, параметры. Признаки деятельности объектов характеризуют этапы и режимы функционирования объектов, например, этап создания новой продукции: научные исследования, подготовка к производству, изготовление новой продукции, ее испытания и т. д.
Все признаки объекта по характеру проявления можно разделить на 3 группы:
· видовые демаскирующие признаки;
· сигнальные демаскирующие признаки;
· материально-вещественные признаки.
К видовым признакам относятся форма объекта, его размеры, детали объекта, тон, цвет и структура его поверхности и др.
Признаки излучений описывают параметры полей и электрических сигналов, генерируемых объектом: их мощность, частоту, вид (аналоговый, импульсный), ширину спектра и т. д.
Вещественные признаки определяют физический и химический состав, структуру и свойства веществ материального объекта. Таким образом, совокупность демаскирующих признаков рассмотренных трех групп представляет модель объекта, описывающую его внешний вид, излучаемые им поля, внутреннюю структуру и химический состав содержащих в нем веществ.
Важнейшим показателем признака является его информативность, соответствующая значению вероятности обнаружения объекта по конкретному признаку. Чем признак более индивидуален, т.е. принадлежит меньшему числу объектов, тем он более информативен.
Признаки, непосредственно не принадлежащие объекту, но отражающие свойства и состояние объекта, называются косвенными.
По времени проявления признаки могут быть:
· постоянными
· периодическими
· эпизодическими
Набор признаков, принадлежащих объекту, образуют его признаковую структуру.
Эталонные признаковые структуры содержат достоверные признаки объекта или сигнала, полученные от первоисточников. Например, фотография в паспорте является эталонным описанием лица конкретного человека. Эталоны по мере изменения признаков корректируются.
Каждый прибор ночного видения (ПНВ) работает на принципе многократного усиления яркости изображения в области видимого и ближнего инфракрасного спектра излучений. Прибор состоит из объектива, электронно-оптического преобразователя (ЭОП) с блоком питания и окуляра. Отраженный от объекта наблюдения свет проходит через объектив и создает изображение на входе (катоде) ЭОП, которое электронным способом усиливается и, проецируясь в желто-зеленом свечении на выходном экране преобразователя, передается через окуляр на глаз наблюдателя.
В основном качество ПНВ определяется характеристиками ЭОП и оптикой.
Электронно-оптический преобразователь.
По принятой в мире терминологии ЭОП классифицируются на три поколения – I, II и III (с некоторыми промежуточными ступенями I+, II+).
Поколение I.
ЭОП имеет стеклянную вакуумную колбу. Мало усиление света и низкое разрешение.
Отличительная особенность этих приборов в том, что изображение четкое только в центре, с искажением и меньшим разрешением по краю. Кроме того, если в поле зрения попадают яркие источники света, например фонари, светящиеся окна домов и др., то они могут засветить все изображение, препятствуя возможности наблюдения.
Многокаскадные ЭОП поколения I.
Для увеличения коэффициента усиления ЭОП иногда последовательно стыкуют два, три и более изделий, собирая конструктивно их в один корпус. Коэффициент усиления света трехкаскадного ЭОП высокий. Однако при стыковке сильно растут искажения и падает разрешение по краям поля изображения.
Поколение I+ (Super I+ в зарубежной литературе).
Это дальнейшее развитие ЭОП первого поколения. На входе (иногда на выходе) устанавливается вместо плоского стекла волоконно-оптическую шайбу, что позволяет значительно увеличить разрешение ЭОП, уменьшить искажение формы предмета и, кроме того, защитить изображение от засветок боковыми точечными источниками света.
Приборы, построенные на ЭОП поколения I+, отличаются от приборов I-го поколения прежде всего очень четкой и комфортной картинкой, низким уровнем собственных шумов и, как правило, большей дальностью действия в пассивном и активном (при использовании ИК подсветки) режимах работы.
Поколение II.
Конструктивно ЭОП II-го поколения отличается от I+ наличием специального усилителя электронов – микроканальной пластины (МКП).
Оптика
Вторая важная часть ПНВ – это оптика. Оптическая часть ПНВ состоит из объектива и окуляра. Основное требование к объективу – это высокое светопропускание в видимом и ближнем ИК диапазоне. Численно оно выражается геометрической светосилой (или диафрагменным числом) из ряда 1, 1.4, 2.0, 2.8, 4.0 и т.д. С увеличением числа на одну ступеньку объектив пропускает света в два раза меньше.
Высокая светосила (малое значение диафрагменного числа) очень важна для ПНВ.
Инфракрасный осветитель
Для гражданских ПНВ наличие встроенного осветителя является дополнительной возможностью подсветить объект наблюдения, когда естественного отраженного света от объекта наблюдения может оказаться недостаточно для пассивного режима.
ИК осветители выпускаются на основе лазеров, светодиодов и специальных ламп накаливания.
Следует знать, что лазерные осветители опасны для зрения, поэтому в большинстве развитых стран они запрещены для бытового применения. Осветители на основе ИК светодиодов безопасны и, кроме того, в отличие от лазера, обеспечивают равномерное поле свечения.
Радиолокационная (РЛ) или радарная съемка - важнейший вид дистанционных исследований. Используется в условиях, когда непосредственное наблюдение затруднено различными природными условиями: плотной облачностью, туманом и т. п.
Она может проводиться в темное время суток, поскольку является активной. Для радарной съемки обычно используются радиолокаторы бокового обзора (ЛБО), установленные на самолетах.
При дешифрировании радарных снимков следует учитывать тон изображения и его текстуру. Тоновые неоднородности зависят от рельефа местности и могут варьировать от черного до светлого цвета. Черный тон соответствует гладким поверхностям, где происходит почти полное отражение посланного радиосигнала.
Способы повышения разрешающей способности.
Радикальным способом повышения азимутальной разрешающей способности является увеличение размеров антенны.
Возможен программный метод.
Для повышения разрешающей способности по дальности необходимо уменьшать длительность импульса . Но это неизбежно приводит к соответствующему расширению полосы частот. Также при укорочении импульса приходится соответственно увеличивать мощность передатчика. Для повышения (улучшения) разрешающей способности измерителя необходимо ухудшать когерентность используемых волн.
Микрофоны. Микрофоны представляют собой последовательно соединенные между собой: мембрану, электромеханический преобразователь колебаний мембраны в электрический сигнал и устройства, которое выполняет функцию согласования преобразователя с последующей электрической цепью. Основными характеристиками микрофона являются:
· направленность.
· амплитудно-частотная характеристика (АЧХ).Зависит от размеров и расположения мембраны.
· чувствительность. Зависит от электромеханического преобразователя
· внутренним и выходным сопротивлением.
Угольными, электродинамическими, конденсаторные, пьезоэлектрические.
Диктофоны. механические (с лентопротяжным механизмом); цифровые.
Основные недостатки это, для механического диктофона, повышенный шум при записи, а для цифрового, это повышенное высокочастотное излучение.
Закладные устройства бывают:
· Простейшие, т.е. непрерывно излучающие;
· Включающие передатчик при возникновении шумов;
· Дистанционно управляемые. Т.е. с возможностью дистанционного включения и выключения ЗУ.
Так же они различаются по диапазону используемых частот, по радиусу действия, продолжительности работы и по виду модуляции.
Пассивные методы защиты:
· Соблюдение правил обсуждения конфиденциальной информации.
· Соблюдение правил допуска в помещение. Обязательный контроль службой безопасности всех ремонтных работ производимых в защищаемом помещении и около него.
· Ослабление информационного сигнал и уменьшения соотношения сигнал/шум путем увеличении показателей звукоизоляция и звукопоглощения акустического сигнала.
Лазерное подслушивание
Оптико-электронный (лазерный) канал утечки информации образуется при съеме информационного сигнала с тонких вибрирующих поверхностей при помощи лазерного микрофона. При облучении лазером окна происходит модуляция по амплитуде и фазе лазерного луча акустическим сигналом. Далее модулированный лазерный луч принимается приемником оптического излучения, который в свою очередь производит демодуляцию и выделяет речевую информацию.
Методы противодействия.
Для повышения звукоизоляции окон следует произвести следующие действия:
· Поставить двойные или тройные стеклопакеты, желательно с вакуумным пространством между стеклами или наполненные различными газовыми смесями увеличивающих звукоизоляцию.
· Точно подогнать все элементы конструкции между собой и, желательно вставить между ними прокладки из резины.
· Заполнить проем между оконной конструкцией и стеной резиновыми прокладками.
· Закрыть окно плотными шторами
Остронаправленные микрофоны
По направленности микрофоны разделяются на ненаправленные, двухсторонней, односторонней направленности. Острая направленность микрофонов обеспечивается за счет соответствующей конструкции микрофона, которую можно представить в виде акустической антенны с соответствующей диаграммой направленности. Такая диаграмма направленности формируется различными акустическими антеннами, содержащими плоскую, трубчатую и параболическую поверхности.
Электромагнитные излучения элементов ТСПИ. В ТСПИ носителем информации является электрический ток, параметры которого изменяются по закону информационного сигнала. При прохождении электрического тока по токоведущим элементам ТСПИ в окружающем пространстве возникает электрическое и магнитное поле.
Электромагнитные излучения на частотах работы ВЧ генераторов ТСПИ и ВТСС. В состав ТСПИ и ВТСС могут входить различные высокочастотные генераторы. К таким устройствам относят: задающие генераторы, генераторы тактовой частоты, генераторы стирания и подмагничивания магнитофонов, гетеродины радиоприемных и телевизионных устройств, генераторы измерительных приборов и т.д.
В связи с внешними воздействиями информационного сигнала на элементах ВЧ генераторов наводятся электрические сигналы. Приемником магнитного поля могут служить катушки индуктивности колебательных контуров, дроссели в цепях электропитания и т.д. Приемником электрического поля являются провода высокочастотных цепей и другие элементы. Наведенные электрические сигналы могут вызвать непреднамеренную модуляцию собственных ВЧ колебаний генераторов. Эти промодулированные ВЧ колебания излучаются в окружающее пространство.
Электромагнитные излучения на частотах самовозбуждения УНЧ ТСПИ. Самовозбуждение УНЧ ТСПИ возможно за счет случайных переменах отрицательных обратных связей (индуктивных или емкостных) в паразитные положительные, что приводит к переводу усилителя из режима усиления в режим автогенерации сигналов. Частота самовозбуждения находится в пределах рабочих частот нелинейных элементов УНЧ. Сигнал на частотах самовозбуждения оказывается промодулированным информационным сигналом. Самовозбуждение фиксируется, в основном, при переводе УНЧ в нелинейный режим работы, т.е. в режим перегрузки.
Отрицательная обратная связь изменяет входной сигнал таким образом, чтобы противодействовать изменению выходного сигнала. Это делает систему более устойчивой к случайному изменению параметров.
К акустоэлектрическим преобразователям относятся физические устройства, элементы, детали и материалы способные под действием переменного давления акустической волны создавать эквивалентные электрические сигналы. Акустоэлектрические преобразователи делятся на следующие группы:
· Индуктивные.
o Электродинамические.
o Электромагнитные.
o Магнитострикционные.
· Емкостные
· Пъезо электрические.
На выходе активных акустоэлектрических преобразователей под действием акустической волны возникают электрические сигналы. У пассивных акустоэлектрических преобразователей те же действия акустической волны вызывают лишь изменения параметров преобразователей.
Паразитная генерация усилителей возникает из-за неконтролируемой положительной обратной связи за счет конструктивных особенностей схемы или за счет старения элементов.
Положи́тельная обра́тная связь — тип обратной связи, при которой изменение выходного сигнала системы приводит к такому изменению входного сигнала, которое способствует дальнейшему отклонению выходного сигнала от первоначального значения.
Самовозбуждение может возникнуть и при отрицательной обратной связи из-за того, что на частоты, где усилитель вместе с цепью обратной связи вносит сдвиг фазы на 180°, отрицательная обратная связь превращается в положительную.
Самовозбуждение усилителей обычно происходит на высоких частотах, выходящих за пределы рабочей полосы частот (вплоть до KB и УКВ диапазонов).
Частота самовозбуждения модулируется акустическим сигналом, поступающим на усилитель, и излучается в эфир как обычным радиопередатчиком. Дальность распространения такого сигнала определяется мощностью усилителя (т.е. передатчика) и особенностями диапазона радиоволн. В качестве защитных мер применяется контроль усилителей на самовозбуждение с помощью радиоприемников типа индикаторов поля, работающих в достаточно широком диапазоне частот, что обеспечивает поиск опасного сигнала.
В физическую защиту входят:
· Системы ораны периметра
· Системы видеонаблюдения
· Системы СКУД
Системой контроля и управления доступом (СКУД) называется совокупность программно-технических средств и организационно-методических мероприятий, с помощью которых решается задача контроля и управления посещением отдельных помещений, а также оперативный контроль перемещения персонала и времени его нахождения на территории объекта.
Идентификатор пользователя - это некоторое устройство или признак, по которому определяется пользователь.
· атрибутивные.
· биометрические.
Недостатки биометрических идентификаторов
- Сравнительно большое время идентификации - от десятых долей до единиц секунд.
- Все они не рассчитаны на уличное применение.
Ошибка 1 рода – ложная тревога, ошибка 2 рода – недосмотр.
а) через дверь:
· устранение щелей между дверным полотном и дверной рамой;
· повышение поверхностной массы дверного полотна; покрытие дверного полотна звукопоглощающими материалами;
· установка второй двери с тамбуром.
б) через приоткрытую дверь:
· установка на дверь доводчика;
· установка на дверь замка с защелкой.
в) через окна:
· закрытие окон;
· установка звукоизолирующих прокладок между оконными рамами;
· закрытие окна плотными шторами; виброакустическое зашумление стекол окон; тройное остекление.
г) через стены:
· увеличение толщины и поверхностной массы стены путем дополнительной кирпичной кладки и установки экранов;
· покрытие стены звукопоглощающими материалами;
· виброакустическое зашумление.
д) через вентиляционные отверстия:
· установка перед вентиляционными отверстиями экранов;
· установка в вентиляционные отверстия глушителей.
е) через водоотопительные системы:
· установка перед батареями отопления и труб акустических экранов;
· установка в вентиляционные отверстия глушителей.
ж) через функциональные каналы связи:
· соблюдение дисциплины связи;
· техническое закрытие электро- и радиосигналов;
· шифрование сообщений.
з) через ПЭМИН:
· выключение неиспользуемых радиосредств и электрических приборов;
· включение между защищаемым средством и линией устройства фильтрация и уменьшения малых амплитуд побочных опасных сигналов;
· применение буферов между РЭС и информационными кабелями;
· экранирование радиоизлучающих ОТСС;
· экранирование кабелей и проводов;
· симметрирование кабелей;
· линейное и пространственное зашумление.
и) через закладные устройства:
· поиск закладных устройств с помощью средств обнаружения их радио- и электрических сигналов, полупроводниковых и металлических элементов закладных устройств, просвечивания возможных мест их размещения средствами интроскопии;
· использование средств обнаружения работающего диктофона и подавление его сигналов;
· подключение к линиям связи и цепям электропитания средств, создающих сигналы, изменяющих режимы работы закладных устройств или разрушающих их входные цепи;
· зашумление среды распространения сигналов закладных устройств.
Основной характеристикой, определяющей свойства отражающего электромагнитные излучения объекта, является эффективная поверхность рассеяния. Она характеризует способность преобразовывать падающую электромагнитную волну в рассеянную волну, распространяющуюся в направлении на приемник. Эффективная поверхность рассеяния (ЭПР) определяется как:
σ — ЭПР цели;
R — расстояние от РЛС до цели;
P1 — плотность потока мощности прямой волны данной поляризации в точке расположения цели;
P2 — плотность потока мощности отраженной от цели волны данной поляризации у антенны РЛС.
σ имеет размерность площади.
Величина ЭПР зависит от ориентации объекта относительно луча локатора и длины волны электромагнитного излучения.
Суть в том, что надо снизить ЭПР.
Поверхность самолёта собирают из нескольких тысяч плоских треугольников специального волнопоглощающего материала. Но так как добиться полного поглощения волн независимо от угла падения технологически практически невозможно, главной целью является отражение волн таким образом, чтобы отражённый сигнал не вернулся в точку, откуда он пришёл (к радиолокационной станции противника).
Для структурного скрытия речевой информации в каналах связи применяют шифрование и техническое закрытие.
Скрытие речевого сигнала в узкополосном телефонном канале осуществляется методами технического или аналогового закрытия.
По виду преобразования сигнала различают частотные и временные методы технического закрытия, а по режиму закрытия статическое и динамическое.
Наиболее простыми способами являются частотная и временная инверсии.
В скремблере, выполняющем частотные перестановки, спектр исходного речевого сигнала разделяется на несколько частотных полос равной или неравной ширины (в современных моделях число полос может достигать 10-15) и производится их перемешивание по некоторому алгоритму — ключу.
Инверсия кадра обеспечивается путем предварительного запоминания в памяти передающего скремблера отрезка речевого сообщения (кадра) длительностью Тк и считывание его (с передачей в телефонную линию) с конца кадра — инверсно.
Основное достоинство методов технического закрытия — простота (по отношению к шифрованию) технической реализации скремблеров и, как следствие, меньшая их стоимость, а также возможность эксплуатации скремблеров практически на любых каналах связи, предназначенных для передачи речевых сообщений. Основной недостаток методов технического закрытия — более низкая стойкость закрытия информации. Кроме того, скремблеры, за исключением простейшего (с частотной инверсией), вносят искажения в восстановленный речевой сигнал.
Передача по узкополосному телефонному каналу речевого сигнала в цифровой форме называется вокодером (кодировщиком голоса). В передающем устройстве вокодера из речевого сигнала выделяются медленно изменяющиеся информационные параметры. Такими параметрами являются:
- частота основного тона акустического сигнала, возникающего при прохождении воздушного потока через голосовые связки говорящего человека;
- моменты произношения локализованных (звонких) и глухих звуков;
- параметры речевого сигнала, зависящие от типа вокодера.
В зависимости от видов параметров речевого сигнала и методов их определения различают фонемные, формантные, полосовые, ортогональные, ЛПК-вокодеры (с линейно прогнозирующим кодированием). Скорость передачи речевой информации вокодерами составляет 1200-2400 бит/с. По переданным информационным параметрам синтезируется речь человека в соответствии с электрической моделью его голосового аппарата.
По команде устройства управления (аналога слухового центра мозга) включается источник питания (аналог легкого) и генератор основного тона (звонких звуков) и шума (согласных глухих звуков). Параметры звонких и глухих звуков определяются устройством управления. Управляемый переключатель «тон-шум» подключает к фильтру, формирующему спектр звука, сигналы основного тона или шума. Синтезированный акустический сигнал озвучивается телефоном или громкоговорителем.
Основным достоинством систем цифрового шифрования речевого сигнала является высокая надежность закрытия информации. Для восстановления из нее исходного сообщения необходимо знать криптосхему шифратора и устройство вокодера.
Недостатком устройств цифрового шифрования речи являются необходимость использования модемов, техническая сложность и относительно большие габариты шифраторов, неустойчивая работа устройств в каналах с большим затуханием сигнала и с высоким уровнем помех.
ЗУ делятся по нескольким критериям:
· простейшие - непрерывно излучающие;
· с включением на передачу при появлении в контролируемом помещении разговоров или шумов;
· дистанционно управляемые - включающиеся и выключающиеся дистанционно на время, необходимое для контроля помещения.
Специальные устройства съема информации и передачи ее но радиоканалу можно классифицировать по следующим признакам:
· диапазону используемых частот (от 27 МГц до 1,5 ГГц и выше), > продолжительности работы (от 5 часов до 1 года);
· радиусу действия (от 15 м до 10 км);
· виду модуляции (AM, ЧМ, узкополосная ЧМ, однополосная AM, широко полосная шумолодобная).
Способы поиска ЗУ:
- визуальный осмотр;
- нелинейная локация;
- мониторинг;
- рентгеновское просвечивание.
- индикаторы поля.
Нелинейные локаторы:
Метод нелинейной локации реализуется путем использования специальных приборов – нелинейных локаторов – и основан на специфическом свойстве полупроводниковых материалов, которое заключается в том, что при их облучении высокочастотным радиосигналом происходит преобразование его частоты в кратные гармоники с последующим переизлучением в окружающее пространство.
В отличие от большинства других методов нелинейный локатор позволяет обнаруживать:
· неработающие ЗУ (с отключенным электропитанием);
· ЗУ с дистанционным управлением,находящиеся в режиме ожидания;
· ЗУ со специальными технологиями передачи информации, служащими повышению скрытности их работы (узкополосная модуляция, передача сигналов короткими сериями после их предварительного накопления в запоминающем устройстве, использование нескольких несущих частот, различные сложные виды модуляции, пр.).
Извещатель (датчик) охранный (охранно-пожарный, пожарный) представляет собой техническое устройство, формирующее электрический сигнал тревоги при воздействии на извещатель или на создаваемые им поля внешних сил или объектов.
По виду охраняемой зоны средства обнаружения делятся на точечные, линейные, объемные и поверхностные. Точечные средства обеспечивают охрану отдельных объектов, линейные - периметров, поверхностные - стен, потолков, окон, витрин и др., объемные - объемов помещений или открытых площадок.
По принципу обнаружения злоумышленника и пожара извещатели разделяют на:
- контактные;
- акустические;
- оптико-электронные;
- микроволновые (радиоволновые);
- вибрационные;
- емкостные;
- тепловые (пожарные);
- ионизационные (пожарные);
- комбинированные.
Общей рекомендацией по повышению помехоустойчивости акустических извещателей разрушения стекла с регулируемой чувствительностью является их размещение по возможности ближе к контролируемому стеклу. Это позволяет уменьшить чувствительность извещателя при надежном обнаружении разрушения стекла.
Для повышения чувствительности и помехоустойчивости при отсутствии дыма минимальный уровень сигнала должен поступать на фотодиод. Для этого камера изготавливается из пластика черного цвета и с матовой поверхностью. Конструкция дымовой камеры также должна одновременно обеспечивать свободный проход воздуха и значительное ослабление излучения от внешних источников света.
+экранирование, комбинирование (совмещение двух разных извещателей).
Утечка информационных сигналов в цепи электропитания возможна при наличии магнитной связи между выходным трансформатором усилителя и трансформатором выпрямительного устройства. Кроме того, токи усиливаемых информационных сигналов замыкаются через источник электропитания, создавая на его внутреннем сопротивлении падение напряжения, которое при недостаточном затухании в фильтре выпрямительного устройства может быть обнаружено в линии электропитания. Информационный сигнал может проникнуть в цепи электропитания также в результате того, что среднее значение потребляемого тока в оконечных каскадах усилителей в большей или меньшей степени зависит от амплитуды информационного сигнала, что создает неравномерную нагрузку на выпрямитель и приводит к изменению потребляемого тока по закону изменения информационного сигнала.
Утечка информационных сигналов в цепи заземления. Кроме заземляющих проводников, служащих для непосредственного соединения ТСПИ с контуром заземления, гальваническую связь с землей могут иметь различные проводники, выходящие за пределы контролируемой зоны. К ним относятся нулевой провод сети электропитания, экраны (металлические оболочки) соединительных кабелей, металлические трубы систем отопления и водоснабжения, металлическая арматура железобетонных конструкций и т.д. Все эти проводники совместно с заземляющим устройством образуют разветвленную систему заземления, на которую могут наводиться информационные сигналы. Кроме того, в грунте вокруг заземляющего устройства возникает электромагнитное поле, которое также является источником информации.
Перехват информационных сигналов по электрическим каналам утечки возможен путем непосредственного подключения к соединительным линиям ВТСС и посторонним проводникам, проходящим через помещения, где установлены ТСПИ, а также к их системам электропитания и заземления. Для этих целей используются специальные средства радио- и радиотехнической разведки, а также специальная измерительная аппаратура.
Способы предотвращения утечки по данным каналам.
Заземление
Основные требования, предъявляемые к системе заземления, заключаются в следующем:
· система заземления должна включать общий заземлитель, заземляющий кабель, шины и провода, соединяющие заземлитель с объектом;
· сопротивления заземляющих проводников, а также земляных шин должны быть минимальными;
· каждый заземляемый элемент должен быть присоединен к заземлителю или к заземляющей магистрали при помощи отдельного ответвления. Последовательное включение в заземляющий проводник нескольких заземляемых элементов запрещается;
· в системе заземления должны отсутствовать замкнутые контуры, образованные соединениями или нежелательными связями между сигнальными цепями и корпусами устройств, между корпусами устройств и землей;
· следует избегать использования общих проводников в системах экранирующих заземлений, защитных заземлений и сигнальных цепей;
· качество электрических соединений в системе заземления должно обеспечивать минимальное сопротивление контакта, надежность и механическую прочность контакта в условиях климатических воздействий и вибрации;
· контактные соединения должны исключать возможность образования оксидных пленок
· на контактирующих поверхностях и связанных с этими пленками нелинейных явлений;
· контактные соединения должны исключать возможность образования гальванических пар для предотвращения коррозии в цепях заземления;
· запрещается использовать в качестве заземляющего устройства нулевые фазы электросетей, металлоконструкции зданий, имеющие соединение с землей, металлические оболочки подземных кабелей, металлические трубы систем отопления, водоснабжения, канализации и т.д.
Экранирование
Электростатическое и магнитостатическое экранирование основаны на замыкании экраном (обладающим в первом случае высокой электропроводностью, а во втором - магнитопроводностью) соответственно электрического и магнитного полей.
Электростатическое экранирование по существу сводится к замыканию электростатического поля на поверхность металлического экрана и отводу электрических зарядов на землю (на корпус прибора). Заземление электростатического экрана является необходимым элементом при реализации электростатического экранирования. Применение металлических экранов позволяет полностью устранить влияние электростатического поля.
Структура государственной системы защиты информации
1. Государственная техническая комиссия при Президенте Российской Федерации и ее центральный аппарат
a) Специальные центры, подчиненные в специальном отношении Государственной технической комиссии при Президенте Российской Федерации
b) Головная научно-исследовательская организация в Российской Федерации по защите информации
2. Федеральная служба безопасности Российской Федерации
3. Министерство внутренних дел Российской Федерации
4. Министерство обороны Российской Федерации
5. Федеральное агентство правительственной связи и информации при Президенте Российской Федерации
6. Служба внешней разведки Российской Федерации
7. Структурные и межотраслевые подразделения по защите информации органов государственной власти
8. Головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации органов государственной власти
9. Предприятия, проводящие работы по оборонной тематике и другие работы с использованием сведений, отнесенных к государственной или служебной тайне, их подразделения по защите информации
Главные направления работ
· обеспечение эффективного управления системой защиты информации;
· определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;
· анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки информации, подлежащих защите;
· разработка организационно-технических мероприятий по защите информации и их реализация;
· организация и проведение контроля состояния защиты информации.
Основные организационно-технические мероприятия по защите информации
· лицензирование деятельности предприятий в области защиты информации;
· сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;
· обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;
· введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
· разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;
· категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности государства;
· аттестация объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;
· оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации;
· создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
· разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование;
· применение специальных методов технических мер и средств защиты исключающих перехват информации, передаваемой по каналам связи.
1. Доктрина информационной безопасности Российской Федерации
2. Указ Президента Российской Федерации от 5.12.92 № 9
3. Федеральный закон «Об информации, информатизации и защите информации»
4. «О создании Государственной технической комиссии при Президенте Российской Федерации»
5. Закон Российской Федерации «О государственной тайне» от 21. 07.93 г. №5485-1
6. Распоряжение Президента Российской Федерации от 28.12.92 г. № 892-РПС «0 Государственной технической комиссии при Президенте Российской Федерации»
7. Закон Российской Федерации «О безопасности» от 5.03.92 г. № 2446-1
8. Постановление Правительства Российской Федерации от 26.06.95 г. № 608 «О сертификации средств защиты информации»
9. Федеральный закон «Об участии в международном информационном обмене» от 4.07.96 г. № 85-ФЗ
10. Постановление Правительства Российской Федерации от 15.04.95 г. № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»
11. Федеральный закон «О банках и банковской деятельности» от 3.02.96 г. № 17-ФЗ
12. Закон Российской Федерации «0 закрытом административно-территориальном образовании» от 14.07.92 г. № 3297-1
13. Федеральный закон «Об органах Федеральной службы безопасности в Российской Федерации» от 3.04.95 г. № 40-ФЗ
14. Закон Российской Федерации «О милиции» от 18.04.91 г. № 1026-1
15. Федеральный закон «Об оперативно-розыскной деятельности» от1 2.08.95 г. №144-ФЗ
16. Федеральный закон «Об обороне» от 31. 05.96 г. №61-ФЗ
17. Закон Российской Федерации «О федеральных органах правительственной связи и информации» от 19.02.93 г. № 4524-1
18. Федеральный закон «0 внешней разведке» от 10.01.96 г. № 5-ФЗ
Раздел 5. Программно-аппаратная и криптографическая защита информации в компьютерных сетях.
5.1 Простейшие шифры. Шифры с симметричным и асимметричным ключом.
Классификация простейших шифров:
· Сдвиг
· Перестановка
· Подстановка
o Одноалфавитный (простой замены)
o Однозвучный (1 символ на один из нескольких символов)
o Полиграммный (не 1 символ, а группа)
o Многоалфавитный (несколько шифров простой замены)
Симметричный шифр - применяется один и тот же криптографический ключ (секретный).
Бывают блочные и поточные. К блоку применяется ключ в установленном порядке несколькими циклами (раундами) => лавинный эффект, нарастающая потеря корелляции.
Асимметричный шифр.
Открытый ключ передаётся по незащищённому каналу. Он используется для проверки ЭЦП, созданной закрытым ключом. Т.е. то, что зашифровано закрытым ключом, может расшифровать любой.
Текст, зашифрованный открытым ключом можно расшифровать только закрытым. Открытый ключ генерируется при помощи секретного.
Общая идея криптографической системы с открытым ключом заключается в использовании при зашифровке сообщения такой функции от открытого ключа и сообщения (хеш-функции), которую алгоритмически очень трудно обратить, т.е. вычислить по значению функции её аргумент, даже зная значение ключа. Информация, предоставляемая секретным ключом должна существенно облегчить расшифровку закодированного сообщения.
Преимущество асимметричных шифров перед симметричными шифрами состоит в отсутствии необходимости передачи секретного ключа. Сторона, желающая принимать зашифрованные тексты, в соответствии с используемым алгоритмом вырабатывает пару «открытый ключ — закрытый ключ». Открытый ключ публикуется в открытых справочниках и используется для шифрования информации контрагентом. Закрытый ключ держится в секрете и используется для расшифрования сообщения, переданного владельцу пары ключей.
Понятие стойкости криптосистемы многогранно. В общем случае понятие криптостойкости заключается во времени, потраченном на криптоанализ зашифрованной последовательности.
P.S.: алгоритм Эль-Гамаля: (асимметричное шифрование)
1. Выбирается большое простое число р, р<M.
2. Выбираются числа x и g так, что 1<x<p, 1<g<p.
3. Вычисляется y =gx(mod p) Таким образом, открытый ключ: p, g, y. Закрытый ключ: x.
4. Выбирается случайное секретное число k, взаимнопростое с (p — 1), то есть НОД (k, (p-1))= 1.
5. Вычисляется a = gk (mod p), b = yk M (mod p)
Пара чисел a и b является шифротекстом. Причем, длина шифротекста длинней открытого текста вдвое.
Дешифрование к:
Для расшифрования a и b, вычисляем: M = b/(ax) mod p
Проверка:
Алгоритм Эль-Гамаля в режиме подписи:
Подпись:
1. Вычисляется хэш сообщения m=h(M)
2. Выбирается случайное число 1 < k < p − 1 взаимно простое с p-1 и вычисляется r=gk mod p
3. Вычисляется число s, удовлетворяющее сравнению: m=xr+ks (mod p-1)
4. Подписью является пара чисел r, s.
Зная открытый ключ (p,g,y), подпись (r,s) сообщения M проверяется следующим образом:
1. Проверяется выполнимость условий: 0 < r < p и 0 < s < p − 1. Если хотя бы одно из них не выполняется, то подпись считается неверной.
2. Вычисляется хэш m = h(M).
3. Подпись считается верной, если выполняется сравнение: yrrs=gm (mod p)
5.2 Алгоритмы гаммирования, блочные шифры. ГОСТ 28147-89
.
Гаммирование - наложение на открытые данные гаммы шифра (случайной или псевдослучайной последовательности единиц и нулей) по определенному правилу.
Обычно используется «исключающее ИЛИ». Для расшифровывания та же гамма накладывается на зашифрованные данные.
Алгоритмы гаммирования: RC 4, ГОСТ 28147-89 (в режиме гаммирования).
Блочный шифр: ГОСТ 28147-89, Blowfish, Twofish, DES, DESX, Тройной DES, RC2,5,6 и др.
ГОСТ 28147-89
ГОСТ 28147-89 — блочный шифр с 256-битным ключом и 32 циклами преобразования, оперирующий 64-битными блоками. Базовым режимом шифрования по ГОСТ 28147-89 является режим простой замены (определены также более сложные режимы гаммирования и гаммирования с обратной связью). Для зашифрования в этом режиме открытый текст сначала разбивается на левую и правую половины L и R. Для генерации подключей исходный 256-битный ключ разбивается на восемь 32-битных блоков. K1…K8.
Функция f(Li,Ki) вычисляется следующим образом:
Ri-1 и Ki складываются по модулю 232. Результат разбивается на восемь 4-битовых подпоследовательностей, каждая из которых поступает на вход своего S-блока. Общее количество S-блоков ГОСТа — восемь, т. е. столько же, сколько и подпоследовательностей. Каждый S-блок представляет собой перестановку чисел от 0 до 15. Первая 4-битная подпоследовательность попадает на вход первого S-блока, вторая — на вход второго и т. д.
Выходы всех восьми S-блоков объединяются в 32-битное слово, затем всё слово циклически сдвигается влево на 11 бит.
Достоинства ГОСТа:
· бесперспективность силовой атаки
· эффективность реализации и соответственно высокое быстродействие на современных компьютерах.
Основные проблемы ГОСТа связаны с неполнотой стандарта в части генерации ключей и S-блоков. Доказывается, что у ГОСТа существуют "слабые" ключи и S-блоки, но в стандарте не описываются критерии выбора и отсева "слабых". Также стандарт не специфицирует алгоритм генерации S-блоков (таблицы замен). С одной стороны, это может являться дополнительной секретной информацией (помимо ключа), а с другой, поднимает ряд проблем:
· нельзя определить криптостойкость алгоритма, не зная заранее таблицы замен;
· реализации алгоритма от различных производителей могут использовать разные таблицы замен и могут быть несовместимы между собой.
5.3 Стандарты ЭЦП. ГОСТ 34.10-2001
Алгоритмы ЭЦП
· Американские стандарты электронной цифровой подписи: DSA, ECDSA
· Российские стандарты электронной цифровой подписи: ГОСТ Р 34.10-94 (в настоящее время не действует), ГОСТ Р 34.10-2001
Формирование цифровой подписи
Вычисление хэш-функции от сообщения М:
Вычисление e = z(mod q), и если e = 0, положить e = 1. Где z — целое число соответствующее
Генерация случайного числа k, такого что 0 < k < q
Вычисление точки эллиптической кривой C = kP, и по ней нахождение r = xc(mod q) (xc — координата x кривой C). Если r = 0, возвращаемся к предыдущему шагу.
Нахождение s = rd + ke(mod q). Если s = 0, возвращаемся к шагу 3.
Формирование цифровой подписи , где и — векторы, соответствующие r и s.
Проверка цифровой подписи
Вычисление по цифровой подписи ξ чисел r и s, учитывая, что , где r и s — числа, соответствующие векторам и . Если хотя бы одно из неравенств r < q и s < q неверно, то подпись неправильная.
Вычисление хэш-функции от сообщения М:
Вычисление e = z(mod q), и если e = 0, положить e = 1. Где z — целое число соотвествующее
Вычисление ν = e − 1(mod q).
Вычисление z1 = sν(mod q) и z2 = − rν(mod q)
Вычисление точки эллиптической кривой C = z1P + z2Q. И определение R = xc(mod q), где xc — координата x кривой C. В случае равенства R = r подпись правильная, иначе — неправильная.
Цифровая подпись предназначена для аутентификации лица, подписавшего электронное сообщение. Кроме того, использование ЭЦП предоставляет возможность обеспечить следующие свойства при передаче в системе подписанного сообщения:
- осуществить контроль целостности передаваемого подписанного сообщения,
- доказательно подтвердить авторство лица, подписавшего сообщение,
- защитить сообщение от возможной подделки.
ГОСТ Р 34.11-94 Информационная технология криптографическая защита информации
Функция хэширования.
Определенная в стандарте функция хэширования используется при реализации систем электронной цифровой подписи на базе асимметричного криптографического алгоритма по ГОСТ Р 34.10.
5.4 Системы шифрования с открытым ключом. Алгоритм RSA.
Первый ключ является открытым и может быть опубликован для использования всеми пользователями системы, которые зашифровывают данные. Расшифрование данных с помощью открытого ключа невозможно. Для расшифрования данных получатель зашифрованной информации использует второй ключ, который является секретным.
Однонаправленные функции
Вся концепция криптосистем с открытым ключом основана на применении однонаправленных функций.
Схема Диффи-Хэллмана.
Обоим абонентам известны два числа g и p, которые не являются секретными. Чтобы создать неизвестный более никому секретный ключ, оба абонента генерируют большие случайные числа: первый абонент — число a, второй абонент — число b. Затем первый абонент вычисляет значение A = gamod p и пересылает его второму, а второй вычисляет B = gbmod p и передаёт первому. Предполагается, что злоумышленник может получить оба этих значения, но не модифицировать их (то есть у него нет возможности вмешаться в процесс передачи). На втором этапе первый абонент на основе имеющегося у него a и полученного по сети B вычисляет значение Bamod p = gabmod p, а второй абонент на основе имеющегося у него b и полученного по сети A вычисляет значение Abmod p = gabmod p. Как нетрудно видеть, у обоих абонентов получилось одно и то же число: K = gabmod p. Его они и могут использовать в качестве секретного ключа, поскольку здесь злоумышленник встретится с практически неразрешимой (за разумное время) проблемой вычисления gabmod p по перехваченным gamod p и gbmod p, если числа p,a,b выбраны достаточно большими.
Система RSA
Чтобы использовать алгоритм RSA надо сначала сгенерировать открытый и секретный ключи, выполнив следующие шаги:
1. Выберем два очень больших простых числа p и q.
2. Определим n как результат умножения p на q (n=p*q).
3. Выберем большое случайное число, которое назовем d. Это число должно быть взаимно простым с результатом умножения (p-1)*(q-1).
4. Определим такое число е, для которого является истинным следующее соотношение: (e*d) mod ((p-1)*(q-1)) = 1.
5. Назовем открытым ключем числа е и n, а секретным ключем числа d и n.
Теперь, чтобы зашифровать данные по известному ключу {e,n}, необходимо сделать следующее:
· разбить шифруемый текст на блоки;
· зашифровать текст, рассматриваемый как последовательность чисел M, по формуле: С=(Me) mod n.
Чтобы расшифровать эти данные, используя секретный ключ {d,n}, необходимо выполнить следующие вычисления: M=(Cd) mod n. В результате будет получено множество чисел M, которые представляют собой исходный текст.
Криптостойкость алгоритма RSA основывается на предположении, что исключительно трудно определить секретный ключ по известному, поскольку для этого необходимо решить задачу о существовании делителей целого числа. Данная задача является NP - полной. Известные точные алгоритмы для решения данной задачи имеют экспоненциальную оценку вычислительной сложности, следствием чего является невозможность получения точных решений для задач большой и даже средней размерности. Более того, сам вопрос существования эффективных алгоритмов решения NP - полных задач является до настоящего времени открытым. В связи с этим для чисел, состоящих из 200 цифр (а именно такие числа рекомендуется использовать), традиционные методы требуют выполнения огромного числа операций(около 1023).
Система RSA используется для защиты программного обеспечения и в схемах цифровой подписи. Также она используется в открытой системе шифрования PGP.
5.5 Разграничение доступа в операционных системах.
1. Аутентификация или подтверждение подлинности — процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации, в простейшем случае — с помощью имени и пароля.
Данную процедуру следует отличать от идентификации (опознавания субъекта информационного взаимодействия) и авторизации (проверки прав доступа к ресурсам системы).
В последнее время все чаще применяется, так называемая, расширенная аутентификация. Она построена на использовании нескольких компонент, таких как:
· информация, которую пользователь знает (пароль), использовании физических компонентов (например, идентификационные брелоки или смарт-карты), и технологии
· идентификации личности (биометрические данные).
3. Дискреционное управление доступом — разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.
4. Мандатное управление доступом — разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.
5.6 Штатные средства идентификации/аутентификации в операционных системах.
Аутентифика́ция (англ. Authentication) — процедура проверки соответствия некоего лица и его учетной записи в компьютерной системе. В простейшем случае проверка происходит с помощью пароля.
Аутентификацию не следует путать с идентификацией и авторизацией: идентификация — это установление личности самого физического лица (а не его виртуальной учетной записи, коих может быть много); а авторизация — это предоставление лицу прав на какие-то действия в системе.
Средства аутентификации, авторизации и идентификации относятся к категории классических средств по управлению информационной безопасностью как корпоративных, так и глобальных коммуникационных сетей и включают в себя определение, создание, изменение, удаление и аудит пользовательских учетных записей. Аутентификация в них используется для проверки подлинности входящего в систему пользователя и для избежания отказа в обслуживании зарегистрированного пользователя.
Механизм аутентификации, встроенный почти в любую операционную систему, предлагает после введения имени подтвердить его паролем, соответствующим данному имени. В таких распространенных операционных системах, как Windows и Unix, пароли хранятся в зашифрованном виде. При этом для шифрования паролей используются стандартные криптоалгоритмы с встроенными раз и навсегда ключами. Существует множество способов перехватить открытый пароль и пройти аутентификацию от чужого имени, поэтому во всех руководствах рекомендуется как можно чаще менять пароли, а также делать их как можно менее закономерными и более длинными.
5.7 Антивирусные программы и методика их использования.
Антивирусная программа (антивирус)— изначально программа для обнаружения и лечения других программ, заражённых компьютерными вирусами, а также для профилактики— предотвращения заражения файла вирусом.
Межсетевой экран (МЭ) - это система защиты, позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов с данными из одной части в другую.
Как правило, эта граница проводится между локальной сетью предприятия и Internet, хотя ее можно провести и внутри локальной сети предприятия. МЭ пропускает через себя весь трафик, принимая для каждого проходящего пакета решение - пропускать его или отбросить. Для того чтобы МЭ мог осуществить это ему необходимо определить набор правил фильтрации.
Правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:
1) запрещать все, что не разрешено в явной форме;
2) разрешать все, что не запрещено в явной форме.
Реализация межсетевого экрана на основе первого принципа обеспечивает значительную защищенность. Однако правила доступа, сформулированные в соответствии с этим принципом, могут доставлять большие неудобства пользователям, а кроме того, их реализация обходится достаточно дорого. При реализации второго принципа внутренняя сеть оказывается менее защищенной от нападений хакеров, однако, пользоваться ей будет удобнее и потребуется меньше затрат.
Пакетные фильтры
МЭ с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета.
К положительным качествам пакетных фильтров следует отнести следующие:
- относительно невысокая стоимость
- гибкость в определении правил фильтрации
- небольшая задержка при прохождении пакетов
Недостатки у данного типа брандмауэров следующие:
- локальная сеть видна (маршрутизируется) из INTERNET
- правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP
- при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными
- аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес)
- отсутствует аутентификация на пользовательском уровне
Сервера прикладного уровня
Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов - TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.
К преимуществам серверов прикладного уровня следует отнести следующие:
- локальная сеть невидима из INTERNET
- при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин
- защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении
- аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.
Недостатками этого типа являются:
- более высокая, чем для пакетных фильтров стоимость;
- невозможность использовании протоколов RPC и UDP;
- производительность ниже, чем для пакетных фильтров.
Сервера уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.
Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.
Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.
Раздел 6. Комплексная система защиты информации на предприятии
Система ЗИ - организованная совокупность органов и объектов ЗИ, использование методов и средств защиты, а также осуществление защитных мероприятий. Органы ЗИ с одной стороны являются составной частью системы, с другой стороны сами организуют систему, осуществляют защитные мероприятия. Система может быть определена как совокупность взаимосвязанных элементов. Назначение системы ЗИ состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически.
КСЗИ - система полно и всесторонне охватывающая все процессы и факторы обеспечивающие безопасность защищаемой И.
Главное свойство системы - в приобретении особенностей не свойственных ее элементам. Т.е. принцип Эмерджентноси, в теории систем. Т.е. например отдельные части самолета летать не могут - а сам самолет, как совокупность связанных частей, летать может.
Современное предприятие представляет собой большое количество разнородных компонентов объединенных в сложную систему для выполнения поставленной цели, причем эта цель в процессе функционирования предприятия может модифицироваться, а также многообразные изменения возникают в результате воздействия внутренних и внешних факторов, которые часто не поддаются строгой полной оценке. Характерной особенностью подобных систем является, прежде всего, наличие человека в каждой из составляющих ее подсистем. Множество компонентов составляющих объект информатизации интегрально можно представить совокупностью трех групп систем:
-1 группа: Люди (биосоциальные системы).
-2 группа: Техника (технические системы и помещения в которых они расположены).
-3 группа: Программное обеспечение (ПО) (которое является интеллектуальным посредником между человеком и техникой Интеллектуальные системы).
Совокупность этих 3 групп образует социо-техническую систему. Круг наших интересов ограничивается исследованием безопасности систем предназначенных для обработки информации поступающей на их вход и выдаче результата, т.е. социо-технических систем информационного типа.
Концептуальность подхода предполагает разработку единой концепции, как полной совокупности обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечение научности ЗИ. А также целенаправленная организация всех работ по ЗИ.
Комплексный подход это принцип рассмотрения предмета, при котором анализируется система в целом а не ее отдельные части. Его задачей является оптимизация всей системы в совокупности, а не улучшение эффективности отдельных частей.
Основные задачи КСЗИ.
1. Задачи анализа – опр-е хар-к изучаемого объекта и целей его функционирования, а также целей организации системы защиты объекта и состава средств и затрат;
2. Задачи синтеза - проектирование архитектуры и технологических схем функционирования объекта и системы.
3. Задачи управления - поиск управляющих воздействий на параметры объекта и системы с целью поддержания их в требуемом состоянии.
Факторы, влияющие на организацию КСЗИ.
· существенные изменения и усложнение в организации ИТ;
· повышение значимости И-и, как общественного ресурса;
· большое разнообразие (арсенал) способов дестабилизирующего воздействия на И-ию, способов ее злоумышленного использования.
Дополняют их факторы внутреннего хар-ра:
· наличие богатого опыта организации защитных процессов по отношению к традиционным и автоматизированным технологиям ее обработки;
· наличие эф-ных научных и практических разработок средств ЗИ по всем основным направлениям (правовому, инженерно-техническому, программно-аппаратному, криптографическому, организационному)
· наличие развитой системы
· подготовки, переподготовки и повышения квалификации кадров в сфере ЗИ.
Принципы организации КСЗИ:
· принцип законности, который заключается в соответствии принимаемых мер законодательству РФ о защите И, а при отсутствии соответствующих законов по другим государственным нормативным документам по ЗИ.
· принцип полноты состава ЗИ, который заключается в том, что защите подлежит не только И содержащая ГТ, КТ или СТ, но и та часть СИ, утрата которой может нанести ущерб ее собственнику либо владельцу.
· принцип обоснованности ЗИ заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой И, вероятных экономических и иных последствий такой защиты, что в свою очередь позволяет расходовать средства на защиту только той И, утрата или утечка которой может нанести действительный ущерб ее владельцу.
· принцип персональной ответственности за ЗИ заключается в том, что каждое лицо персонально отвечает за сохранность и неразглашение вверенной ему защищаемой И, а за утрату или распространение такой И несет уголовную, административную или иную ответственность.
· принцип наличия использования всех необходимых сил и средств для защиты.
· принцип превентивности принимаемых мер по ЗИ, который заключается в опережающем заблаговременном принятии мер по защите И до начала ее разработки или при получении.
Основные требования, предъявляемые к КСЗИ.
КСЗИ - система полно и всесторонне охватывающая все процессы и факторы обеспечивающие безопасность защищаемой И.
Из назначения КСЗИ вытекают основные требования, которые должны к ней предъявляться:
1. Система должна быть привязана к целям и задачам ЗИ на конкретном предприятии.
2. Система должна быть целостной, а именно содержать все необходимые составляющие, иметь структурные связи между компонентами, обеспечивающими ее согласованное функционирование.
3. Система должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на БИ, и все виды, методы и средства защиты.
4. Система должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты.
5. Система должна быть вмонтированной в технологические схемы сбора, хранения, обработки, передачи и использования И.
6. Система должна быть компонентно, логически, технологически и экономически обоснованной.
7. Система должна быть реализуемой, обеспеченная всеми необходимыми ресурсами.
8. Система должна быть простой и удобной в эксплуатации и управлении.
9. Система должна быть непрерывной.
10. Система должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки И, условий защиты.
Общее содержание работ по организации КСЗИ
При организации системы большое значение имеет, как сформулирована цель, к которой данная система стремится, эта цель может быть описана как назначение системы и как ее функция. Чем точнее и конкретнее указано назначение и перечислены функции, тем быстрее и правильнее будет выбран оптимальный вариант построения системы.
Цель, сформулированная в самом общем виде, обеспечение ЗИ объекта, такая цель заставит рассматривать варианты глобальной ЗИ, если ее уточнить как обеспечение БИ передаваемой по каналам связи внутри здания, то круг возможных технических решений станет гораздо уже. Как правило, глобальная цель достигается путем решения «менее общих» локальных целей, построение такого дерева целей значительно облегчает, ускоряет и удешевляет процесс создания системы. В зависимости от полноты перечня вопросов, которые подлежат исследованию проектной работы представляют в виде разработки комплексного или локального проекта. Общая или комплексная цель это проектирование организации технологии всего комплекса или большего числа мероприятий по ЗИ. При локальном проектировании осуществляется проектирование отдельной подсистемы КСЗИ.
Перечень направлений комплексного проектирования определяется в зависимости от нужд конкретного предприятия и постановленных перед проектом задач и условий. При локальном проектировании, круг задач сужается и проект м.б. ограничен разработками по одному из действий всех средств.
Главное - сбор и подготовка исходных данных определения состава системы, планов ее создания и оценка затрат, а разработка техн. задания начинается после утверждения техн-эконом. обоснования. Иногда выделяют индивидуальное и типовое проектирование.
Основные направления проектирования КСЗИ.
1. Создание и совершенствование орг структуры КСЗИ (службы обеспечения безопасности, определение штатной численности сотрудников, регламентация труда сотрудников)
2. Совершенствование технологических процессов ЗИ
3. Совершенствование методов и средств ЗИ
4. Совершенствование информац обеспечения ЗИ
5. Совершенствование связей и организация взаимодействия по вопросам ЗИ с другими предприятиями.
Основные этапы технологии построения организационных систем
1. постановка проблемы
2. исследование проблемы (сбор, анализ данных, построение модели)
3. определение границ (с точки зрения состава) проблемного объекта, т.е. всех потенциальных участников решения проблемы
4. обследование проблемного объекта
5. выбор критерия эфф-ти или оценка альтернативных проектов
6. выбор границ (состава) объекта упр-ния
7. обследование объекта упр-я (изучение организаций, входящих в состав объекта управления с целью формирования альтернативных вариантов построения системы управления и орг с-мы в целом)
8. разработка ТЗ
9. техническое и рабочее проектирование
10. внедрение
Характеристика основных стадий создания КСЗИ
Процесс создания КСЗИ вкл. несколько стадий: предпроектную стадию, стадию рабочего проектирования, внедрение и эксплуатация.
На предпроектной стадии происходит разработка технико-экономич обоснования (ТЭО) к созданию системы, опред. общие требования к ней, а также разрабатывается ТЗ. В ТЭО – обосновывается необход. создания, задачи, состав функций, оцениваются затраты, определяются требования к КСЗИ в целом и отд. ее подсистемам. В ТЗ – указыв. порядок проведения проектных и др. работ, их очередность, стадии, этапы, организации-исполнители, составляется план – график мероприятий по вводу в действие системы.
Далее начинается обследование предприятия с целью выявления объектов ЗИ и опр-я целей, функций, задач и состава основных компонент СЗИ. Происходит.
· формирование рабоч. групп;
· сбор и анализ данных о структуре объекта;
· анализ системы управления объектом, целей его функционирования, квалификации и численного состава сотрудников, технологической базы;
· определение объемов работ, необходимых для создания системы и затрат.
На стадии рабочего проектирования детализируется орг, тех, технологические идеи и решения, содержащиеся в техническом проекте; происходит подготовка рабоч. помещений, утверждение спецификаций оборудования, монтаж и наладка ТС, подготовка нормативно-справочной документации, документационное оформление самого проекта.
На стадии внедрения идет процесс постепенного перехода на др. уровень орг-ции технологич. процессов, обучение персонала, доработка отд. компонентов с-мы, составление приемно-сдаточного акта. Эксплуатация включает уточнение требований, предъявляемых к СЗИ на данном предприятии, корректировку проектных решений, отладку средств и технологии выполнения ф-ций по эксплуатации, оценку устойчивости системы к негативным воздействиям, орг-тех и программное сопровождение работы технических комплексов.
Назначение и структура задания на проектирование, технического задания, технико-экономического обоснования
В техническом проекте могут рассматриваться 2-3 варианта решения задачи по созданию системы защиты, все варианты сопровождаются расчетом эффективности, на основе которого могут быть сделаны выводы о наиболее рациональном. При создании системы небольшого и простого объекта, этап технического проектирования может быть исключен.
Цель разработки техн. задания это разработка и обоснование требований в структуре систем защиты.
Обеспечение совместимости и взаимодействия всех средств, главное на этом этапе сбор и подготовка исходных данных. Обеспечение состава системы, плана ее создания, и оценка затрат. На этом этапе разрабатываются и обосновываются все проектные решения. А именно разработан и обоснован выбранный вариант проекта, уточнены перечни технических средств. Порядок и сроки их поставки.
Разработка технического задания начинается после утверждения технико-экономического обоснования.
При разработки технико-экономического обоснования - анализируется деятельность объекта, готовятся исходные данные для того, чтобы сформулировать технико-экономическое обоснование, главное на этом этапе это обоснование целесообразности и необходимости создания системы защиты, ориентировочной выбор защищаемых каналов, определения объемов работ по созданию системы защиты, сметы и сроков ее выполнения.
Технико-экономическое обоснование должно согласовываться с организациями и службами ответственными за обеспечение Безопасность.
Предпроектное обследование, технический проект, рабочий проект
Обследование предприятия производится с целью выявления объектов ЗИ и определения целей, функций, задач и состава основных компонент СЗИ. Происходит. - формирование рабоч. групп; - сбор и анализ данных о структуре объекта; - анализ системы управления объектом, целей его функционирования, квалификации и численного состава сотрудников, технологич. базы; - определение объемов работ, необх. для создания системы и затрат.
На стадии рабочего проектирования детализируется организационные, технические, технологические идеи и решения, содержащиеся в техническом проекте; происходит подготовка рабочих. помещений, утверждение спецификаций оборудования, монтаж и наладка технических средств, подготовка нормативно-справочной документации, документационное оформление самого проекта.
Особенности апробации и ввода в эксплуатацию.
Этап эксплуатации: контроль состояния и оценки качества функц-я КСЗИ; координация и контроль работы подразделений, обеспечивающих функц-е КСЗИ; проверка по действующим методикам соблюдение треб-й нормативных документов по з; оценка обоснованности или необх-ти корректировки принимаемых решений и мер по ЗИ; внесение изменений и дополнений в норм-методические, мат-тех и кадровое обеспечение КСЗИ.
Желательно, чтобы в монтаже, настройки защитных систем участвовали те сотрудники, которые в дальнейшем будут их эксплуатировать.
Создание системы ЗИ в организации это четкое распределение функций и согласование выполняемых работ, основной причиной разработок является отсутствие единого руководства, координационного плана и неудовлетворительная организация контроля и управление ходом разработки со стороны заказчика.
Идеология разрабатываемой системы, стратегические особенности функционирования должны быть согласованы и утверждены высшим руководством заказчика. Создание у заказчика группы, задачей которой является осуществление контакта с разработчиками, курирование разработки, утверждение и оперативное корректировка планов работ, выделяемых финансовых ресурсов является крайне необходимым условием.
Без создания такой группы, обладающей достаточным авторитетом и необходимыми полномочиями, разработка системы заранее обречена на неудачу. Но и при наличии такой группы результат будет неудовлетворительным если ее руководитель не является квалифицированным и полномочным представителем заказчика.
Моделирование как инструмент анализа КСЗИ
Одним из основных методов исследования сложных динамических систем является метод моделирования. При этом под моделью понимается образ реального объекта (процесса), выраженный в материальной или идеальной форме (т.е. через описание с помощью знаковых средств на каком- либо языке), отражающий наиболее существенные свойства объекта и замещающий его в ходе изучения.
Для сложного объекта может создаваться не одна, а несколько моделей различных типов. В данном случае совокупность моделей, отражающих общую логическую организацию, состав компонентов КСЗИ и топологию их взаимодействия будем называть архитектурой комплексной системы защиты информации. Этапы формирования архитектуры напрямую связаны с этапами разработки КСЗИ, они насыщены по своему содержанию и могут иметь возвратные связи. Сам процесс охватывает формирование следующих моделей: кибернетической, функциональной, структурной и информационной.
Кибернетическая модель.
Кибернетика занимается изучением процессов управления системами любой природы.
Законы кибернетики:
1. Любое управление – это информационный процесс.
2. Любое управление – это целенаправленный процесс.
3. Любое управление – это система, в которой есть субъект управления, объект управления, прямая и обратная связь между ними.
Кибернетическая модель демонстрирует место КСЗИ предприятия в более широкой системе, различные виды связи данной системы с другими системами и подсистемами, в ней дается описание экономических, социальных, правовых, политических, финансовых и других условий, в которых функционирует КСЗИ и которые образуют для нее внешнюю среду.
Организационное построение КСЗИ
Для решения сложных проблем требуется организованная деятельность многих людей. Такого рода деятельность осуществляется в рамках искусственных формирований, которые называются организационными системами, т.е. организационная система – это система, структурными элементами которой являются люди, осуществляющие преобразование ресурсов этой системы. Как правило, организационные системы – это сложные многоуровневые системы, которые состоят из мн-ва взаимодействующих элементов и подсистем. Отличительной их особенностью является то, что кажд ее элемент принимает решение по организации действий, т.е. является решающим элементом. Исполнительные элементы принимают решение по организации только своих собственных действий, руководящие элементы – своих собственных и действий исполнительных элементов.
Основные этапы технологии построения организационных систем
1. постановка проблемы
2. исследование проблемы (сбор, анализ данных, построение модели)
3. определение границ (с точки зрения состава) проблемного объекта, т.е. всех потенциальных участников решения проблемы
4. обследование проблемного объекта
5. выбор критерия эффективности или оценка альтернативных проектов
6. выбор границ (состава) объекта управления
7. обследование объекта управления (изучение организаций, входящих в состав объекта управления с целью формирования альтернативных вариантов построения системы управления и орг системы в целом)
8. разработка ТЗ
9. техническое и рабочее проектирование
10. внедрение
При построении КСЗИ обязателен системный, комплексный подход. Комплексный подход требует учета всех внешних и внутренних отношений, всей совокупности потенц угроз, особенностей объекта и т.д. Системный подход состоит в опр-нии и обосновании общей цели СЗИ, т.е. того результата, который должен обеспечить их функционирование, в определении критериев оценки их функционирования, в управлении системой, т.е. системный подход требует анализа, синтеза и управления при разработке общей идеи изучаемой проектируемой системы и опр-нии критериев ее оценки. В зависимости от полноты перечня вопросов, подлежащих исследованию, проектные работы представляются в виде разработки комплексного или локального проекта.
Функциональная модель КСЗИ
Функциональная модель - отражение состава и содержания общих и специальных функций системы комплексной защиты информации, реализуемых в рамках определенных условий, которые связаны с этапами формирования и развития системы и объекта защиты. Анализируя срезы этой модели можно детализировать содержание функций защиты по выбранному направлению на конкретном этапе развития системы защиты.
Данная модель представляется в виде трехмерной схемы:
Ось Х- общие функции управления КСЗИ.
планирование 2. руководство З. контроль 4. управление в условиях ЧС
Ось Y- специальные функции КСЗИ.
· предупреждение условий, в которых проявляются дестабилизирующие факторы, влияющие на защищаемую информацию;
· обнаружение проявившихся дестабилизирующих факторов,
· предупреждение воздействия дестаб. факторов на защищаемую информацию;
· локализация дестаб. факторов, влияющих на з-ую И-ю и осуществление процессов З;
· ликвидация последствий воздействия дестаб. факторов на з-ую И-ию.
Ось Z - условия, в которых осуществляются функции КСЗИ.
Модель потенциального нарушителя
Злоумышленником будем называть нарушителя, намеренно совершающего те или иные действия с целью компрометации информации.
Модель нарушителя определяющая его потенциальные возможности, знания, время и место действия при разработке модели определяется предположение о категории лиц, к которой может принадлежать нарушитель. Предположения о мотивах действий нарушителя (какие цели преследует, предположения о квалификации нарушителя и его технической оснащенности, об использовании в совершении нарушения методов и средств).
Ограничения и предположения о характере возможных действий нарушителя. По отношению к системе нарушители могут быть внутренними (из числа персонала) или внешними. Всех нарушителей можно квалифицировать следующим образом:
1. по уровню знаний
2. по уровню возможностей (использованных методов и средств)
3. по времени действия
а) в момент функционирования системы
б) в период неактивности компонентов
4. по месту действия
а) без доступа на контролируемую территорию
б) с контролем территории без доступа в здание, помещение
в) внутри помещения
г) с доступом к данным
д) с доступом к месту управления средствами обеспечения безопасности.
Реализация концепции СЗИ: матрица разграничения доступа, модель с полным перекрытием.
Чтобы реализовать концепцию СЗИ, нужно достигнуть главной общей цели, обеспечить безопасность информации на конкретном предприятии. Для этого нужно организовать матрицу разграничения доступа (наглядно реализуется в АИС), в которой каждый субъект имел бы определенные права относительно каждого объекта. Т.е. в зависимости от сложности, размерности матрицы каждый объект описывается n-мерной таблицей в которой указано, какие права имеет конкретный субъект при обращении к данному объекту.
Чтобы построить модель с полным перекрытием, нужно закрыть все возможные пути НСД и дестабилизирующих воздействий на объект, к защищаемой информации Нужно выявить все явления, факторы и условия, которые могут нарушить статус информации. НСД к каждому из наборов защищаемых объектов должен быть сопряжен с некоторой долей ущерба для своего владельца. С каждым объектом требующим защиты связывается некоторое множество действий, к которому может прибегать злоумышленник для получения НСД. Если попытаться перечислить все потенциальные действия злоумышленника, то т.о. будет перечислен набор угроз направленных на нарушения БИ.
Нормативно-методические документы, обеспечивающие функционирование СЗИ.
Нормативное обеспечение - это комплекс положений, законодательных актов, нормативных документов, методик и правил, регламентирующих создание и функционирование КСЗИ и определяющих правовой статус подразделений и лиц, входящих в структуру и обеспечивающих функционирование КСЗИ.
Если говорить в общем, то нормативное обеспечение включает в себя 3 компонента:
· законодательные акты, законы, указы, постановления, кодексы, ГОСТы.
· руководящие методические материалы, документы, методические материалы ведомства, гостехкомиссии, положения, инструкции.
· информационно-справочная база - совокупность словарей, каталогов, справочников, электронных баз.
-1- Законодательная база - совокупность правовых норм, регулирующих общественные отношения в сфере защиты жизненно важных интересов личности, общества, государства и закрепленных соответствующими нормативными актами.
Данные правовые нормы создаются в федеральном законодательстве, законодательстве субъектов РФ, помимо законов могут входить указы президента, постановления правительства, соответствующие статьи УК и ГК РФ и государственные стандарты относительно государственной стандартизации. Эти документы выступают в качестве средств защиты и контроля за их защитой и контроля за эффективностью защиты, а также терминологический оборот.
-2- руководящие материалы - это документы, которые раскрывают вопросы по различным аспектам и направлениям в области защиты, содержащие конкретные рекомендации теоретического и практического характера.
Существует ряд разновидностей руководящих нормативных документов. Они раскрывают содержание, требования к ЗИ и нормы защиты, функции, задачи защиты, архитектуру и технологию функционирования. Как правило руководящие нормативные материалы разрабатываются ведомствами. В их состав могут входить документы, которые разработаны самим предприятием (положение о СЗКТ).
-3- Информационно-справочные материалы
В целях комплексного подхода, к формированию законодательства по проблемам информации и информатизации в России в апреле 1992 г была утверждена «программа подготовки законодательного и нормативного обеспечения работ в области информатизации». В соответствии с этой программой была намечена разработка базового закона в области информатизации «Об информации, информатизации и ЗИ», а также в специальных законах о ГТ, о КТ, об ответственности за злоупотреблении при работе с информацией и др.
Нормативные документы, регламентирующие деятельность персонала по ЗИ.
В целях обеспечения правового механизма безопасности И на предприятии необходимо разработать ряд документов, регулирующих отношения с государством и с коллективом сотрудников к таким документам относятся:
1- Устав предприятия, фирмы, банка. В него необходимо внести дополнения «предприятие имеет право определять состав, объем и порядок защиты сведений, составляющих КТ, требовать от своих соперников обеспечения ее сохранности». «Предприятие должно обеспечивать сохранность КТ ».
Внесение этих дополнений дает право администрации предприятия создавать организационные структуры по защите КТ, издавать нормативно-распорядительные документы, определяющие порядок выделения сведений, составляющих КТ и механизации их защиты, включая требования по защите КТ в договорах по всем видам хозяйственной деятельности, требовать защиты интересов предприятия перед государственными и судебными органами, распоряжающимися информацией, являющейся собственностью предприятия в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику информации.
2- Разрабатывать перечень сведений, составляющих КТ предприятия. Данный перечень может быть трансформирован до каждого должностного лица и доведен до каждого сотрудника в рамках его должностных обязательств.
3- Дополнить договор с сотрудниками следующими требованиями:
- администрация обязуется обеспечить разработку и осуществление мероприятий по определению и защите КТ, а сотрудники принимают на себя обязательства по соблюдению установленных на предприятии требований по защите КТ.
Существует 2 варианта трудового договора.
-коллективный
-индивидуальный
4- Правила внутреннего трудового порядка:
- порядок приема и увольнения сотрудников.
Правовое обеспечение - это совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, требования которых являются обязательными в рамках их деятельности в системе Защиты Информации.
Организационное обеспечение - это регламентация производственной деятельности и взаимоотношений исполнителей.
Понятие и виды контроля функционирования КСЗИ
Контроль – это 1) неотъемлемый элемент любой стадии или функции управления и 2) обособленная функция, обеспечивающая информацию прозрачность для определения качества хода процента управления.
Включает в себя 3-и стадии:
- установление норм
- измерение соответствия фактического состояния параметров этим нормам
- коррекция отклонений
Нормы можно выражать в денежных, временных и других единицах, поддающихся измерению. (%, квоты и т.д.).
Сам процесс контроля может иметь 3 стадии: предварительную, текущую и заключительную.
1-я стадия предварительного контроля осуществляется до фактического начала работ.
Если, например, говорить о кадровой работе, то это предполагает тщательную оценку должностных обязанностей различных категорий сотрудников. Текущий контроль осуществляется непосредственно в ходе проводимых работ. Чаще всего объектами текущего контроля становятся исполнители, а субъектом- непосредственный начальник. Текущий контроль предполагает регулярную проверку работы подчиненных, обсуждение возникающих проблем и предложений по совершенствованию. Заключительный контроль - самый отработанный на практике этап. Предполагает анализ ошибок и наказание виновных. Этот этап, во-первых, дает руководству нформацию, необходимую для планирования в случае, если аналогичные работы предполагается проводить в будущем, а во-вторых, способствует мотивации и повышению ответственности.
Цель проведения контрольных мероприятий в КСЗИ
При контроле функц-я КСЗИ должны осуществляться мероприятия (цели контроля):
- анализ и оценка фактического состояния;
- выявление недостатков, нарушений, несоответствия требованиям, что может привести к негативным последствиям для нормального функционирования;
- выявление причин установленных отклонений (несоответствий);
- выработка предложений, направленных на устранение недостатков и предотвращение нарушений.
Одна из основных задач контроля - квалифицированное опр-е предела допустимых отклонений. В качестве объектов контроля могут выступать:
- состояние внутриобъектового режима предприятия
- мероприятия по предотвращению НС выноса носителей инф-ции за территорию предприятия
- уровень знаний требований режима различными категориями сотрудников
- качество разработки нормативно-методических и организационно-распорядительных документов по обеспечению функционирования КСЗИ.
- работоспособность специальных средств защиты и их систем
- акты подмены и несанкционированного подключения к оборудованию и линиям связи.
Для того, чтобы быть эффективным контроль должен обладать рядом свойств: быть объективным, своевременным, соответствовать хар-ру контролируемого процесса.
Методы контроля
Виды контроля определяются, исходя из временных рамок (оперативный, эпизодический, периодический), степени автоматизации контроля (ручной, автоматизированный, автоматический), режима проведения (профилактика, в рабочем режиме), последовательность реализации (системный, последовательный, параллельный), количество охватываемых элементов (выборочный, сквозной, глобальный), полнота контроля (полный, частичный).
В практической деятельности могут быть использованы различные формы контроля, а именно: проверки, анализы, эксперименты, рассмотрения отчетов, справок. Важнейший элемент эффективности контроля – это самоконтроль.
По результатам проверок возможно: устранение причин, изменение состава объекта, отладка технолог процесса, изменение требований по защищенности, изменение правил, избежать негативных ситуаций. Контроль позволяет эффективно и своевременно устранять недостатки в функционировании и управлении КСЗИ.
Особенности проведения контроля функционирования КСЗИ
Процесс контроля условно состоит из 3 этапов:
- выработка стандартов по обеспечению ЗИ;
- сравнение стандартов с достигнутыми результатами;
- проведение необходимых корректирующих действий.
В качестве отдельных типовых направлений контроля можно выделить:
- контроль за соблюдением пропускного и внутриобъектового режимов;
- контроль соблюдения правил доступа и допуска к защищаемой информации;
- контроль своевременного засекречивания, закрытия сведений;
- контроль наличия носителей защищаемой информации;
- контроль за обеспечением безопасности конфиденциальных мероприятий;
- контроль обращения документов и продукции, содержащих один из видов тайн;
- контроль уровня знаний сотрудниками предприятия требований защиты;
- контроль за внедрением и использованием на предприятиях современных средств ЗИ;
- контроль за территорией и т.д.
Анализ и использование результатов проведения контрольных мероприятий
После оценки степени соответствия достигнутых результатов требуемым стандартам, субъект управления может принимать следующие решения:
- если результат соответствует стандарту, то все остается без изменений;
- если результат не соответствует стандарту, то либо… либо…:
- устраняется отклонение;
- пересматриваются стандарты.
Причины отклонения результата от стандартов:
- плохо организованная деятельность СлЗИ (несовершенная организационная структура, некачественно разработанные и нормативно-методические документы);
- плохо разработанный план деятельности СлЗИ;
- недостаточность выделенных ресурсов;
- использование устаревших или недостаточных средств и методов ЗИ.
Пожалуйста, авторизуйтесь или зарегистрируйтесь для голосования.
July 08 2017 12:36:13
July 10 2017 10:35:43
August 11 2017 18:40:28
August 29 2017 18:11:46
September 05 2017 10:04:25
September 16 2017 10:58:14