В общем случае требования к защите секретной информации схожи с требованиями к защите конфиденциальной информации, однако существуют принципиальные отличия. Так как секретная информация имеет высший ранг, то требования предъявляемые к ней на порядок выше. Поэтому, из-за сходства в требованиях этих двух категорий информации, отметим, только те пункты, которые относятся непосредственно к защите секретной информации.
Подсистема управления доступом должна:
Управлять потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации;
Подсистема регистрации и учета должна:
Регистрировать выдачу печатных (графических) документов на «твердую» копию. Данное действие должно указывать фактический объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный -- весь объем, неуспешный);
Регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:
2) вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.);
Регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указывается:
1) имя программы (процесса, задания, задачи), осуществляющих доступ к файлам;
2) вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.);
Регистрировать изменения полномочий субъектов доступа, а также статуса объектов доступа. В параметрах регистрации указывается:
1) дата и время изменения полномочий;
2) идентификатор субъекта доступа (администратора), осуществившего изменения;
Осуществлять автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;
Проводить учет защищаемых носителей с регистрацией их выдачи (приема) в специальном журнале (картотеке);
Проводить несколько видов учета (дублирующих) защищаемых носителей информации;
Сигнализировать о попытках нарушения защиты;
Подсистема обеспечения целостности должна:
Осуществлять физическую охрану СВТ (устройств и носителей информации). При этом должно предусматриваться постоянное наличие охраны на территории здания и помещений, где находится АС. Охрана должна производиться с помощью технических средств охраны и специального персонала, а также с использованием строгого пропускного режима и специального оборудования в помещении АС;
Предусматривать наличие администратора или целой службы защиты информации, ответственных за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
Проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью специальных программных средств не реже одного раза в год;
Использовать только сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД;
Сравним две рассмотренные выше группы требований и их особенности для защиты информации различных категорий (конфиденциальной и секретной). Ясно, что ключевыми механизмами защиты, образующими основную группу механизмов защиты от НСД («Подсистема управления доступом») являются:
Идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия;
Контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Дополнительным требованием и принципиальным отличием при защите секретной информации является то, что механизмом защиты должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации.
Все три перечисленных механизма являются основополагающими. Связаны они следующим образом: все права доступа к ресурсам (разграничительная политика доступа к ресурсам) задаются для конкретного субъекта доступа (пользователя). Поэтому субъект доступа (пользователь) должен быть идентифицирован при входе в систему, соответственно, должна быть проконтролирована его подлинность. Обычно это делается путем использования секретного слова -- пароля.
Основу правового обеспечения информационной безопасности России помимо нормативно-правовых актов составляют концептуальные документы. Они принимаются на уровне Президента РФ, Правительства РФ и других органов государственной власти. В частности, такими документами являются Доктрина информационной безопасности РФ и Стратегия национальной безопасности РФ до 2020 года.
Концепция (от лат. conceptio) - генеральный замысел, определяющий стратегию действий. Концепция защиты информации - это система взглядов на сущность, цели, принципы и организацию защиты информации.
Концепция защиты информации предполагает:
- Определение понятия, сущности и целей защиты информации.
- Какую информацию необходимо защищать, каковы критерии отнесения ее к защищаемой.
- Дифференциацию защищаемой информации: а) по степеням конфиденциальности, б) по собственникам и владельцам.
- Определение состава и классификации носителей защищаемой информации.
- Определение источников, видов и способов дестабилизирующего воздействия на информацию, причин, обстоятельств и условий воздействий, каналов, методов и средств несанкционированного доступа к информации.
- Определение методов и средств защиты информации .
- Кадровое обеспечение защиты информации.
То есть концептуальные документы определяют общие отношение и политику государства в заданной области, а также служат основой для создания нормативно–правовых документов.
Стратегия национальной безопасности до 2020 года была утверждена президентом Д. Медведевым 12 мая 2009 года. Стратегия – это "официально признанная система стратегических национальных приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу".
Документ содержит 6 разделов:
- Общие положения
- Современный мир и Россия: состояние и тенденции развития
- Национальные интересы Российской Федерации и стратегические национальные приоритеты
- Обеспечение национальной безопасности
- Организационные, нормативные правовые и информационные основы реализации настоящей Стратегии
- Основные характеристики состояния национальной безопасности в составе 112 отдельных пунктов
В Общих положениях дается перечень основных понятий в области национальной безопасности:
национальная безопасность - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства;
национальные интересы Российской Федерации - совокупность внутренних и внешних потребностей государства в обеспечении защищенности и устойчивого развития личности, общества и государства;
угроза национальной безопасности - прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства;
стратегические национальные приоритеты - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности;
система обеспечения национальной безопасности - силы и средства обеспечения национальной безопасности;
силы обеспечения национальной безопасности - Вооруженные Силы Российской Федерации, другие войска, воинские формирования и органы, в которых федеральным законодательством предусмотрена военная и (или) правоохранительная служба, а также федеральные органы государственной власти, принимающие участие в обеспечении национальной безопасности государства на основании законодательства Российской Федерации;
средства обеспечения национальной безопасности - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению.
"Концептуальные положения в области обеспечения национальной безопасности базируются на фундаментальной взаимосвязи и взаимозависимости Стратегии национальной безопасности Российской Федерации на период до 2020 года и Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 года" . Важно подчеркнуть, что Документ ориентирован именно на национальную безопасность, то есть на безопасность интересов государства в целом. При этом задача обеспечения национальной безопасности признается комплексной задачей, для решения которой в Стратегии представлены следующие направления деятельности:
- Повышение качества жизни российских граждан;
- Экономический рост;
- Наука, технология и образование;
- Здравоохранение;
- Культура;
- Экология живых систем и рациональное природопользование.
В заключительной части описаны основные характеристики состояния национальной безопасности, а именно:
- уровень безработицы (доля от экономически активного населения);
- децильный коэффициент (соотношение доходов 10% наиболее и 10% наименее обеспеченного населения);
- уровень роста потребительских цен;
- уровень государственного внешнего и внутреннего долга в процентном отношении от валового внутреннего продукта;
- уровень обеспеченности ресурсами здравоохранения, культуры, образования и науки в процентном отношении от валового внутреннего продукта;
- уровень ежегодного обновления вооружения, военной и специальной техники;
- уровень обеспеченности военными и инженерно-техническими кадрами.
Для сравнения: в Европе децильный коэффициент находится в диапазоне 6-8, в США – 10-12, в России, по данным Российской академии наук, 14-17. Этот параметр является наиболее значимым при определении состояния национальной безопасности, и одной из основных задач на данный момент является его максимальное уменьшение.
В целом, Стратегия национальной безопасности РФ до 2020 года стала принципиально новым документом, основной целью которого является планирование развития системы национальной безопасности, в том числе цели, меры и порядок действий для ее обеспечения. Стратегия стала своего рода ответом на новую международную обстановку и отразила взгляды и планы руководства РФ в отношении внешней политики.
Если Стратегия ориентирована на вопросы национальной безопасности, то основополагающим концептуальным документом в области информационной безопасности является Доктрина информационной безопасности, утвержденная 9 сентября 2000 года. Доктрина информационной безопасности РФ отображает официальные взгляды на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Доктрина служит основой для:
- формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
- подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
- разработки целевых программ обеспечения информационной безопасности Российской Федерации.
В Доктрине выделены четыре составляющие национальных интересов в области информационных отношений:
- Соблюдение прав и свобод человека в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.;
- Информационное обеспечение внутренней и внешней государственной политики страны;
- Развитие информационных технологий в соответствии со временем;
- Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
Дается следующее определение информационной безопасности - состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства .
Таким образом, понятие информационной безопасности здесь является более расширенным, чем рассмотренное нами в предыдущей лекции.
В соответствии с Доктриной угрозы информационной безопасности подразделяются на следующие виды:
- угрозы конституционным правам и свободам человека и гражданина, индивидуальному, групповому и общественному сознаниям, духовному возрождению России. Примером данного вида угроз может быть незаконное ограничение доступа к информации, намеренное дезинформирование или прослушивание телефона.
- угрозы информационному обеспечению государственной политики России. Сюда относится нарушение работы государственных СМИ, монополизация информационного рынка России.
- угрозы развитию российской индустрии информации. Интересным является то, что закупка органами государственной власти зарубежных средств информатизации приравнивается в Доктрине к угрозе, так как мешает отечественным производителям развиваться. Отток высококвалифицированных специалистов также относится к данному типу угроз.
- угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. Этот вид угроз наиболее близок к пониманию, так как именно к нему относятся угрозы "классических" атак и воздействий. Сюда относятся противоправные сбор и обработка информации, хищение, утечка по техническим каналам и несанкционированный доступ к информации. В ходе курса мы подробнее остановимся на данном виде угроз.
Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации. Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.
- Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.
- Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.
- Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом.
Важно отметить, что Доктрина не является нормативно-правовым документом, то есть не обязательна к исполнению ни государством, ни его органами власти, ни гражданами, ни организациями. Доктрина разрабатывается для определенного исторического этапа развития и реализовывается в дальнейшем в виде законов, нормативных актов и практических мер, которые будут рассмотрены далее.
2.2. Законодательные и иные правовые акты в области технической защиты информации.
Нормативные правовые акты по технической защите информации – это федеральные законы, указы и распоряжения Президента РФ, Постановления правительства РФ. Нормативно-правовые акты являются основным источником права в Государстве. Юридическая сила нормативно-правовых актов является наиболее существенным признаком их классификации. Она определяет их место и значимость в общей системе государственного нормативного регулирования. Закон – это главный нормативно-правовой акт. К законам в области технической защиты информации можно отнести: лицензировании деятельности по технической защите конфиденциальной информации" от 15.08.2006
Организационные документы – это уставы, положения, инструкции. Уставы и инструкции издаются на уровне организации и, как правило, не имеют отношения к государственному регулированию. В контексте данной лекции ключевым документом данного типа является положение. Положение – это сводный документ, определяющий порядок образования, структуру, функции, компетенцию, обязанности и организацию работы системы органов государства. Положением может также регламентироваться деятельность должностных лиц. В области технической защиты информации основными положениями являются:
- Положение о Федеральной службе по техническому и экспортному контролю от 16.08.2004
- Положение о государственном лицензировании деятельности в области защиты информации от 27.04.1994
- Положение о лицензировании деятельности по технической защите конфиденциальной информации от 15.08.2006
- Положение о сертификации средств защиты информации от 26.06.1995
- Положение по аттестации объектов информатизации по требованиям безопасности информации 25.11.1996 и др.
Выделяют также группу нормативных и методических документов по технической защите информации. К этой группе относятся руководящие документы ФСТЭК России, ФСБ России и других уполномоченных органов. С актуальным перечнем документов в области технической защиты информации можно ознакомиться на сайте ФСТЭК России.
Требования к современным системам защиты информации основаны на материалах отечественных стандартов по информационной безопасности и руководящих документов (РД) по технической защите информации Государственной технической комиссии (ГТК) России.
Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.
Основными направлениями защиты информации являются:
- обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки в результате несанкционированного доступа (НСД) и специальных воздействий;
- обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
В качестве основных мер защиты информации рекомендуются:
- документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
- реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам и документам;
- ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации и хранятся носители информации;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
- регистрация действий пользователей автоматизированной системы (АС) и обслуживающего персонала, контроль за НСД и действиями пользователей, обслуживающего персонала и посторонних лиц;
- учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
- использование специальных защитных знаков (СЗЗ), создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;
- необходимое резервирование технических средств и дублирование массивов и носителей информации;
- использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
- использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
- использование сертифицированных средств защиты информации;
- размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны (КЗ);
- размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
- развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
Приложение. Требования к современным системам защиты 399
- электромагнитная развязка между линиями связи и другими цепями вспомогательных технических средств и систем (ВТСС), выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
- использование защищенных каналов связи и криптографических средств защиты информации (СЗИ);
- размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
- организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
- криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
- предотвращение внедрения в АС программ-вирусов и программных закладок.
В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, проводится классификация АС. Классификация АС осуществляется на основании требований РД ГТК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» .
Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Рекомендуемые классы защищенности АС, СЗЗ, средств защиты информации по уровню контроля отсутствия недекларированных возможностей, а также показатели по классам защищенности СВТ и МЭ от НСД к информации приведены в таблице .
Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение установленного в учреждении (на предприятии) порядка обеспечения защиты этой информации.
Классы защищенности от НСД к информации
Руководящий документ |
Классы защищенности |
||||||||||||||||||
Автоматизированные |
|||||||||||||||||||
1-я группа | |||||||||||||||||||
Средства вычислительной |
3-я группа | ||||||||||||||||||
Межсетевые экраны |
|||||||||||||||||||
Специальные защитные знаки |
|||||||||||||||||||
Неде клари рованные возможности |
Конкретные требования к современным системам защиты информации приведены в следующих руководящих документах Гостехкомиссии России и государственных стандартах РФ:
- 1. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации. РД ГТК России. М., 1992.
- 2. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации. РД ГТК России. М., 1992.
- 3. Средства вычислительной техники. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации. РД ГТК России. М., 1997.
- 4. Защита информации. Специальные защитные знаки. Классификация и общие требования. РД ГТК России. М., 1992.
- 5. Защита от НСД к информации. Часть 1. ПО средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. РД ГТК России. М., 1999.
- 6. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). РД ГТК России. М., 2001.
- 7. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
- 8. ГОСТ Р 51583-2000. Защита информации. Порядок создания систем в защищенном исполнении.