Общие вопросы технической защиты информации

Общие вопросы технической защиты информации

2-е издание, исправленное

Скрипник Д.А.

Национальный Открытый Университет “ИНТУИТ”
2016

2

Общие вопросы технической защиты информации/ Д.А. Скрипник - М.: Национальный Открытый
Университет “ИНТУИТ”, 2016

В курсе описаны способы несанкционированного доступа к автоматизированной системе и средства
защиты от них.
Дано описание физической природы и причин возникновения технических каналов утечки
информации, приведена их классификация. На примерах показаны средства и методы защиты
информации от утечки через технические каналы утечки информации. Курс знакомит читателей с
концептуальными основами защиты информации в Российской Федерации, с порядком
лицензирования, сертификации и аттестации в области защиты информации.

(c) ООО “ИНТУИТ.РУ”, 2012-2016
(c) Скрипник Д.А., 2012-2016

3

Основные понятия в области технической защиты информации

В лекции даны основные понятия в области технической защиты информации.

В современном обществе в связи с бурной информатизацией всё более актуальной
становится проблема защиты информации. Но прежде чем говорить о защите
информации, важно определить понятие информации, которое само по себе является
первичным в данной области. Существует множество определений информации,
которые варьируются в зависимости от контекста. В данном курсе под информацией
мы будем подразумевать сведения о лицах, предметах, фактах, событиях, явлениях и
процессах независимо от формы их представления [1.1]. По Ожегову С.И. сведения это знания [1.2].

Следовательно, в общем случае информация - это знания в самом широком понимании
этого слова. То есть это не только образовательные или научные знания, а любые
сведения и данные, которые присутствуют повсеместно. Защите подлежит
конфиденциальная информация и секретная информация, к которой относится
государственная тайна. Под конфиденциальной информацией подразумевается
информация ограниченного доступа, не содержащая государственную тайну.

В общем случае защита информации представляет собой противостояние специалистов
по информационной безопасности и злоумышленников. Злоумышленник – это субъект,
который незаконным путем пытается добыть, изменить или уничтожить информацию
законных пользователей.

Защита информации является слабоформализуемой задачей, то есть не имеет
формальных методов решения, и характеризуется следующим:

большое количество факторов, влияющих на построение эффективной защиты;
отсутствие точных исходных входных данных;
отсутствие математических методов получения оптимальных результатов по
совокупности исходных данных.

В основе решения слабоформализуемых задач лежит системный подход. То есть для
решения задачи защиты информации необходимо построить систему защиты
информации, представляющую собой совокупность элементов, функционирование
которых направлено на обеспечение безопасности информации. Входами любой
системы являются воздействия, меняющие состояние системы. Для системы защиты
информации входами являются угрозы, как внутренние, так и внешние. Угроза
безопасности информации - совокупность условий и факторов, создающих
потенциальную или реально существующую опасность нарушения безопасности
информации. Атакой называется попытка реализации угрозы, а тот, кто предпринимает
такую попытку, - злоумышленником. Источник угрозы безопасности информации субъект (физическое лицо, материальный объект или физическое явление),
являющийся непосредственной причиной возникновения угрозы безопасности
информации [1.3]. Источниками угроз могут быть злоумышленники, технические
средства внутри организации, сотрудники организации, побочные физические явления
и пр. Выходами системы являются реакции системы на различные значения входов.

4

Выходами системы защиты информации являются меры защиты. К параметрам
системы защиты информации можно отнести следующее:

цели и задачи;
входы и выходы системы;
процессы внутри системы, которые преобразуют входы в выходы.

Цель – это желаемый результат построения системы защиты, задачи – то, что надо
сделать для достижения цели. Целью защиты информации является обеспечение
информационной безопасности. Понятие информационной безопасности не менее
многогранно, чем понятие самой информации, и зависит от контекста, в котором
применяется. В ходе данного курса под информационной безопасностью мы будем
понимать защищенность информации и поддерживающей инфраструктуры от
случайных или преднамеренных воздействий естественного или искусственного
характера, которые могут нанести неприемлемый ущерб субъектам информационных
отношений, в том числе владельцам и пользователям информации и поддерживающей
инфраструктуры [1.4]. То есть информационная безопасность – это безопасность не
только информации, но и поддерживающей инфраструктуры. Если рассматривать
только информацию, то безопасность информации - состояние защищенности
информации, при котором обеспечиваются ее конфиденциальность, доступность и
целостность.

Конфиденциальность, доступность и целостность представляют собой три наиболее
важных свойства информации в рамках обеспечения ее безопасности:

конфиденциальность информации - состояние информации, при котором доступ к
ней осуществляют только субъекты, имеющие на него право;
целостность информации - состояние информации, при котором отсутствует
любое ее изменение либо изменение осуществляется только преднамеренно
субъектами, имеющими на него право;
доступность информации - состояние информации, при котором субъекты,
имеющие права доступа, могут реализовать их беспрепятственно [1.5].

К правам доступа относятся: право на чтение, изменение, копирование, уничтожение
информации, а также право на изменение, использование, уничтожение ресурсов.

Более детально цели защиты информации перечислены в Федеральном законе “Об
информации, информатизации и о защите информации”:

предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации,
искажению, копированию, блокированию информации; предотвращение других
форм незаконного вмешательства в информационные ресурсы и информационные
системы, обеспечение правового режима документированной информации как
объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и

5

конфиденциальности персональных данных, имеющихся в информационных
системах;
сохранение государственной тайны, конфиденциальности документированной
информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке,
производстве и применении информационных систем, технологий и средств их
обеспечения [1.1]

Важно понимать, что система защиты информации не может обеспечить
стопроцентную защиту. Задается определенный уровень информационной
безопасности, который отображает допустимый риск ее хищения, уничтожения или
изменения.

Все меры защиты информации по способам осуществления подразделяются на:

правовые (законодательные);
морально-этические;
технологические;
организационные (административные и процедурные);
физические;
технические (аппаратурные и программные).

Среди перечисленных видов защиты базовыми являются правовая, организационная и
техническая защита информации.

Правовая защита - защита информации правовыми методами, включающая в себя
разработку законодательных и нормативных правовых документов (актов),
регулирующих отношения субъектов по защите информации, применение этих
документов (актов), а также надзор и контроль за их исполнением[1.3]. К правовым
мерам защиты относятся законы РФ, указы и другие нормативно-правовые акты. На
законодательном уровне происходит регламентация правил обращения с информацией,
определяются участники информационных отношений, их права и обязанности, а
также ответственность в случае нарушения требований законодательства. В некотором
роде эту группу мер можно отнести к профилактическим. Их основной функцией
является упреждение потенциальных злоумышленников, ведь в большинстве случаев
именно страх наказания останавливает от совершения преступления. Достоинствами
правовых мер защиты является их универсальность в плане применения ко всем
способам незаконной добычи информации. Более того, в некоторых случаях они
являются единственно применимыми, как, например, при защите авторского права в
случае незаконного тиражирования.

К морально-этическим мерам относятся устоявшиеся в обществе нормы поведения. В
отдельных случаях они могут быть оформлены в письменном виде, например, уставом
или кодексом чести организации. Соблюдение морально-этических норм не является
обязательным и носит скорее профилактический характер.

Организационные меры защиты – меры организационного характера, предназначенные
для регламентации функционирования информационных систем, работы персонала,

6

взаимодействия пользователей с системой. Среди базовых организационных мер по
защите информации можно выделить следующее:

Формирование политики безопасности;
Регламентация доступа в помещения;
Регламентация допуска сотрудников к использованию ресурсов информационной
системы и др.
Определение ответственности в случае несоблюдения требований
информационной безопасности.

Организационные меры сами по себе не могут решить задачу обеспечения
безопасности. Они должны работать в комплексе с физическими и техническими
средствами защиты информации в части определения действий людей.

Физическая защита представляет собой совокупность средств, препятствующих
физическому проникновению потенциального злоумышленника в контролируемую
зону. Ими могут быть механические, электро- или электронно-механические
устройства различного типа. Чаще всего, именно с построения физической защиты
начинается обеспечение безопасности в организации, в том числе информационной.

Последним и самым обширным по своему составу эшелоном системы защиты является
техническая защита информации. Именно этому виду защиты посвящен данный курс.

Техническая защита информации - защита информации, заключающаяся в обеспечении
некриптографическими методами безопасности информации (данных), подлежащей
(подлежащих) защите в соответствии с действующим законодательством, с
применением технических, программных и программно-технических средств [1.3].
Важно обратить внимание, что техническая защита – это не только защита от утечки
информации по техническим каналам утечки, но и защита от НСД, от математического
воздействия, от вредоносных программ и т.п. Объектами технической защиты
информации могут быть:

объект информатизации;
информационная система;
ресурсы информационной системы;
информационные технологии;
программные средства;
сети связи.

С позиции системного подхода система защиты информации должна удовлетворять
ряду принципов, основными из которых являются:

1. непрерывность. Если на какое-то время защита ослабевает или прекращается

вовсе, злоумышленник может воспользоваться этим.

2. целенаправленность и конкретность - имеется в виду необходимость защиты от

наиболее опасных атак и четкая формулировка целей.

3. надежность, универсальность и комплексность.

7

Концептуальные основы защиты информации. Система
документов по технической защите информации

В лекции даны основные понятия в области технической защиты информации.

2.1. Концептуальные основы защиты информации

Основу правового обеспечения информационной безопасности России помимо
нормативно-правовых актов составляют концептуальные документы. Они
принимаются на уровне Президента РФ, Правительства РФ и других органов
государственной власти. В частности, такими документами являются Доктрина
информационной безопасности РФ и Стратегия национальной безопасности РФ до
2020 года.

Концепция (от лат. conceptio) - генеральный замысел, определяющий стратегию
действий. Концепция защиты информации - это система взглядов на сущность, цели,
принципы и организацию защиты информации.

Концепция защиты информации предполагает:

1. Определение понятия, сущности и целей защиты информации.
2. Какую информацию необходимо защищать, каковы критерии отнесения ее к

защищаемой.

3. Дифференциацию защищаемой информации: а) по степеням конфиденциальности,

б) по собственникам и владельцам.

4. Определение состава и классификации носителей защищаемой информации.
5. Определение источников, видов и способов дестабилизирующего воздействия на

информацию, причин, обстоятельств и условий воздействий, каналов, методов и
средств несанкционированного доступа к информации.

6. Определение методов и средств защиты информации.
7. Кадровое обеспечение защиты информации.

То есть концептуальные документы определяют общие отношение и политику
государства в заданной области, а также служат основой для создания нормативно–
правовых документов.

Стратегия национальной безопасности до 2020 года была утверждена президентом Д.
Медведевым 12 мая 2009 года. Стратегия – это “официально признанная система
стратегических национальных приоритетов, целей и мер в области внутренней и
внешней политики, определяющих состояние национальной безопасности и уровень
устойчивого развития государства на долгосрочную перспективу”.

Документ содержит 6 разделов:

1. Общие положения
2. Современный мир и Россия: состояние и тенденции развития

8

3. Национальные интересы Российской Федерации и стратегические национальные

приоритеты

4. Обеспечение национальной безопасности
5. Организационные, нормативные правовые и информационные основы реализации

настоящей Стратегии

6. Основные характеристики состояния национальной безопасности в составе 112

отдельных пунктов

В Общих положениях дается перечень основных понятий в области национальной
безопасности:

национальная безопасность - состояние защищенности личности, общества и
государства от внутренних и внешних угроз, которое позволяет обеспечить
конституционные права, свободы, достойные качество и уровень жизни граждан,
суверенитет, территориальную целостность и устойчивое развитие Российской
Федерации, оборону и безопасность государства;

национальные интересы Российской Федерации - совокупность внутренних и внешних
потребностей государства в обеспечении защищенности и устойчивого развития
личности, общества и государства;

угроза национальной безопасности - прямая или косвенная возможность нанесения
ущерба конституционным правам, свободам, достойному качеству и уровню жизни
граждан, суверенитету и территориальной целостности, устойчивому развитию
Российской Федерации, обороне и безопасности государства;

стратегические национальные приоритеты - важнейшие направления обеспечения
национальной безопасности, по которым реализуются конституционные права и
свободы граждан Российской Федерации, осуществляются устойчивое социальноэкономическое развитие и охрана суверенитета страны, ее независимости и
территориальной целостности;

система обеспечения национальной безопасности - силы и средства обеспечения
национальной безопасности;

силы обеспечения национальной безопасности - Вооруженные Силы Российской
Федерации, другие войска, воинские формирования и органы, в которых федеральным
законодательством предусмотрена военная и (или) правоохранительная служба, а
также федеральные органы государственной власти, принимающие участие в
обеспечении национальной безопасности государства на основании законодательства
Российской Федерации;

средства обеспечения национальной безопасности - технологии, а также технические,
программные, лингвистические, правовые, организационные средства, включая
телекоммуникационные каналы, используемые в системе обеспечения национальной
безопасности для сбора, формирования, обработки, передачи или приема информации
о состоянии национальной безопасности и мерах по ее укреплению.

9

“Концептуальные положения в области обеспечения национальной безопасности
базируются на фундаментальной взаимосвязи и взаимозависимости Стратегии
национальной безопасности Российской Федерации на период до 2020 года и
Концепции долгосрочного социально-экономического развития Российской Федерации
на период до 2020 года”[2.1]. Важно подчеркнуть, что Документ ориентирован именно
на национальную безопасность, то есть на безопасность интересов государства в
целом. При этом задача обеспечения национальной безопасности признается
комплексной задачей, для решения которой в Стратегии представлены следующие
направления деятельности:

Повышение качества жизни российских граждан;
Экономический рост;
Наука, технология и образование;
Здравоохранение;
Культура;
Экология живых систем и рациональное природопользование.

В заключительной части описаны основные характеристики состояния национальной
безопасности, а именно:

1. уровень безработицы (доля от экономически активного населения);
2. децильный коэффициент (соотношение доходов 10% наиболее и 10% наименее

обеспеченного населения);

3. уровень роста потребительских цен;
4. уровень государственного внешнего и внутреннего долга в процентном

отношении от валового внутреннего продукта;

5. уровень обеспеченности ресурсами здравоохранения, культуры, образования и

науки в процентном отношении от валового внутреннего продукта;

6. уровень ежегодного обновления вооружения, военной и специальной техники;
7. уровень обеспеченности военными и инженерно-техническими кадрами.

Для сравнения: в Европе децильный коэффициент находится в диапазоне 6-8, в США –
10-12, в России, по данным Российской академии наук, 14-17. Этот параметр является
наиболее значимым при определении состояния национальной безопасности, и одной
из основных задач на данный момент является его максимальное уменьшение.

В целом, Стратегия национальной безопасности РФ до 2020 года стала принципиально
новым документом, основной целью которого является планирование развития
системы национальной безопасности, в том числе цели, меры и порядок действий для
ее обеспечения. Стратегия стала своего рода ответом на новую международную
обстановку и отразила взгляды и планы руководства РФ в отношении внешней
политики.

Если Стратегия ориентирована на вопросы национальной безопасности, то
основополагающим концептуальным документом в области информационной
безопасности является Доктрина информационной безопасности, утвержденная 9
сентября 2000 года. Доктрина информационной безопасности РФ отображает

10