Цели и задачи технической защиты информации
1.1. Основные понятия термины и определения в области технической защиты информации. Место ТЗИ в системе мероприятий по обеспечению информационной безопасности в РФ. Цели и задачи ТЗИ
Прежде, чем говорить о защите информации, необходимо определиться с понятием самой информации. Существует множество определений информации, которые варьируются в зависимости от контекста. В контексте защиты информации целесообразно использовать определение из Федерального закона № 149 от 27.07.2006 "Об информации, информационных технологиях и о защите информации":
Информация - сведения (сообщения, данные) независимо от формы их представления [1].
В современном мире информация стала основным ресурсом, требующим защиты. Как говорил У.Черчилль: "Кто владеет информацией - тот владеет миром."
В соответствии с законодательством Российской Федерации защите подлежит конфиденциальная информация и секретная информация, к которой относится государственная тайна. Под конфиденциальной информацией в данном курсе подразумевается информация ограниченного доступа, не содержащая государственную тайну.
На рисунке 1.1 представлено разделение информации по категориям защиты.
Данный курс посвящен защите информации ограниченного доступа, не являющейся государственной тайной (конфиденциальной информации). Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
В этой лекции будут приведены основные понятия, термины и определения в области защиты информации.
Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Цель защиты информации - это желаемый результат защиты информации. Целью защиты информации может быть предотвращение нанесения ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели.
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационно - телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Доступ к информации - возможность получения информации и ее использования.
Предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.
Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц[1,2].
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи информации ограниченного доступа. Эти средства и системы также называют техническими средствами приёма, обработки и хранения информации (ТСПИ).
Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения информации ограниченного доступа, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях.
К ним относятся:
- различного рода телефонные средства и системы;
- средства и системы передачи данных в системе радиосвязи;
- средства и системы охранной и пожарной сигнализации;
- средства и системы оповещения и сигнализации;
- контрольно-измерительная аппаратура;
- средства и системы кондиционирования;
- средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
- средства электронной оргтехники;
- средства и системы электрочасофикации;
- иные технические средства и системы.
Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
В общем случае защита информации представляет собой противостояние обладателя информации и злоумышленника. Злоумышленник - это субъект, который незаконным путем пытается добыть, изменить или уничтожить информацию.
Защита информации является слабоформализуемой задачей, то есть не имеет формальных методов решения, и характеризуется следующим:
- большое количество факторов, влияющих на построение эффективной защиты;
- отсутствие точных исходных входных данных;
- отсутствие математических методов получения оптимальных результатов по совокупности исходных данных.
В основе решения слабоформализуемых задач лежит системный подход. То есть для решения задачи защиты информации необходимо построить систему защиты информации, представляющую собой совокупность элементов, функционирование которых направлено на обеспечение безопасности информации.
Понятие информационной безопасности не менее многогранно, чем понятие самой информации, и зависит от контекста, в котором применяется. В ходе данного курса под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [4]. То есть информационная безопасность - это безопасность не только информации, но и поддерживающей инфраструктуры. Более детально цели защиты информации перечислены в Федеральном законе №149 27.07.2006 "Об информации, информатизации и о защите информации":
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения[1].
Определение безопасности информации из ГОСТ Р ИСО/МЭК 17799-2005:
Безопасность информации - состояние защищенности информации, при котором обеспечиваются ее конфиденциальность, доступность и целостность.
Конфиденциальность, доступность и целостность представляют собой три наиболее важных свойства информации в рамках обеспечения ее безопасности (в английской литературе эта триада обозначается как CIA - confidentiality, integrity и availability):
- конфиденциальность информации - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
- целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
- доступность информации - состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно[5].
Рассмотрим понятия конфиденциальности, целостности и доступности на примере сетевого взаимодействия.
Допустим, Анна и Влад обмениваются информацией по сети. Максим - злоумышленник. Он перехватывает информационные пакеты с помощью специальной программы - анализатора траффика (sniffer) - и читает их. При этом информационный поток между Анной и Владом и работоспособность канала не нарушаются. Нарушается только конфиденциальность информации, так как легитимными обладателями информации являются только Анна и Влад, тем не менее, Максим имеет доступ к этой информации.
В случае если Максим не только перехватывает, но и изменяет информационные пакеты, которые Анна и Влад передают друг другу, речь идет о нарушении целостности и конфиденциальности. Целостности - потому что Максим изменяет пакеты, конфиденциальности - потому что он их читает.
Доступность информации Максим может нарушить обрезанием кабеля связи, порчей оборудования (физическое воздействие), либо удаленной атакой (например, DOS-атакой). При этом информационный поток будет нарушен, и легитимные пользователи не смогут получить доступ к информации.
Меры защиты информации подразделяются на ( рис. 1.2):
- правовые;
- криптографические;
- физические;
- технические (аппаратные и программные).
К правовым мерам защиты относятся законы РФ, указы и другие нормативно-правовые акты. На законодательном уровне происходит регламентация правил обращения с информацией, определяются участники информационных отношений, их права и обязанности, а также ответственность в случае нарушения требований законодательства. В некотором роде эту группу мер можно отнести к профилактическим. Одной из их функций является упреждение потенциальных злоумышленников, ведь в большинстве случаев именно страх наказания останавливает от совершения преступления. Достоинством правовых мер защиты является их универсальность в плане применения ко всем способам незаконной добычи информации. Более того, в некоторых случаях они являются единственно применимыми, как, например, при защите авторского права от незаконного тиражирования.
Физическая защита представляет собой совокупность средств, препятствующих физическому проникновению потенциального злоумышленника в контролируемую зону. Ими могут быть механические, электро- или электронно-механические устройства различного типа. Чаще всего, именно с построения физической защиты начинается обеспечение безопасности в организации, в том числе информационной.
Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным для потенциального злоумышленника. Регулятором в области криптографических мер защиты является Федеральная служба безопасности Российской Федерации (ФСБ).
Самым обширным по своему составу эшелоном системы защиты является техническая защита информации. Именно этому виду защиты посвящен данный курс.
Техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств [2]. Цель технической защиты информации - обеспечение целостности, конфиденциальности и доступности защищаемой информации.
Основные задачи технической защиты информации:
- предотвращение утечки информации через технические каналы утечки информации;
- предотвращение несанкционированного доступа к информации.
Регулятором в области обеспечения технической защиты информации является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК).
Объектами технической защиты информации могут быть:
- объект информатизации
- информационная система/автоматизированная система
- ресурсы информационной системы/автоматизированной системы
- информационная технология
- программные средства
- сети связи
С позиции системного подхода система защиты информации должна удовлетворять ряду принципов, основными из которых являются:
- непрерывность. Если на какое-то время защита ослабевает или прекращается вовсе, злоумышленник может воспользоваться этим.
- целенаправленность и конкретность - имеется в виду необходимость защиты от наиболее опасных атак и четкая формулировка целей.
- надежность, универсальность и комплексность.
Правильное сочетание и использование перечисленных выше мер является необходимым условием для обеспечения требуемого уровня защиты информации. Важно понимать, что ни одна из систем защиты информации не может обеспечить стопроцентную защиту. Построение системы защиты это всегда поиск компромисса между затратами на обеспечение информационной безопасности, требованиями регуляторов и уровнем риска, который обладатель информации готов принять.