- •Квалификационная характеристика специалиста по защите информации специальности 090104. Объекты и виды профессиональной деятельности, состав решаемых задач.
- •Требования к профессиональной подготовленности, что должен профессионально знать и уметь использовать специалист.
- •Современная государственная политика в области защиты информации.
- •Критерии, условия и принципы отнесения информации к защищаемой
- •Подчиненность ведомственных мероприятий по засекречиванию информации общегосударственным интересам
- •Назначение и структура систем защиты
- •Классификация носителей защищаемой информации, порядок нанесения информации.
- •Классификация видов, методов и средств защиты
- •Понятие и структура угроз информации
- •Виды тайн. Источники угроз. Способы воздействия угроз.
- •Меры защиты информации: законодательного, административного, процедурного, программно-технического уровней.
- •Нормативно-правовая база организационной защиты. Источники права в области информационной безопасности. Типы нормативных документов. Примеры отечественных и зарубежных законодательных документов.
- •Уровни политики безопасности: верхний, средний и нижний.
- •Работа с персоналом: виды угроз информационным ресурсам, связанные с персоналом, подбор персонала.
- •Состояние проблемы обеспечения безопасности. Угрозы экономической, физической, информационной и материальной безопасности.
- •Структура Службы безопасности.
- •Формирование информационных ресурсов и их классификация.
- •Правовые основы защиты государственной, коммерческой и профессиональной тайны.
- •Правовое регулирование взаимоотношений администрации и персонала предприятия в области защиты информации.
- •Правовые формы защиты интеллектуальной собственности.
- •Система правовой ответственности за разглашение, утечку информации.
- •Правовая защита от компьютерных преступлений.
- •Основные задачи и типовая структура системы радиоразведки. Основные этапы и процессы добывания информации техническими средствами.
- •Что такое канал утечки информации, технический канал утечки информации? Структура технического канала утечки информации?
- •Сущность информационного и энергетического скрытия информации. Способы повышения помехозащищенности технических средств. Применение шумоподобных сигналов.
- •Промышленная разведка. Коммерческая разведка. Система корпоративной разведки. Циклы разведки.
- •Этапы добывания информации. Вероятность обнаружения и распознавания объектов. Информационная работа.
- •Сущность методов пеленгования источников излучений (фазовый, амплитудный, частотный).
- •Содержание работ по моделированию объектов защиты и каналов утечки информации.
- •Моделирование угроз информации
- •Моделирование каналов несанкционированного доступа к информации
- •Моделирование каналов утечки информации
- •Классификации информации и документов. Свойства различных видов документов.
- •Понятия, определения и особенности конфиденциального документооборота.
- •Принципы обработки конфиденциальных документов.
- •Назначение, состав, этапы организации бумажного защищенного делопроизводства.
- •Технологические основы обработки электронных документов. Электронное защищенное делопроизводство. Состав. Функции.
- •Разработка проекта комплексной системы защиты объекта информатизации (ои). Согласно гост р 51275-99: информационные ресурсы, средства обеспечения, помещения и выделенные объекты.
- •5.6. Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных пэвм
- •5.7. Защита информации в локальных вычислительных сетях
- •5.8. Защита информации при межсетевом взаимодействии
- •5.9. Защита информации при работе с системами управления базами данных
- •Идентификация/аутентификация
- •Разграничение доступа
- •Протоколирование/аудит
- •Экранирование
- •Туннелирование
- •Шифрование
- •Контроль целостности
- •Контроль защищенности
- •Обнаружение отказов и оперативное восстановление
- •Управление
- •Место сервисов безопасности в архитектуре информационных систем
- •Симметричные криптосистемы. Принципы работы современных блочных шифров. Современные методы криптоанализа. Поточные шифры.
- •Асимметричные системы шифрования. Основные этапы реализации электронной цифровой подписи.
- •Общая схема подписывания и проверки подписи с использованием хэш-функции. Основные свойства хэш-функций. Схема вычисления хэш-функции.
- •Системы аутентификации. Схемы аутентификации с применением паролей. Обеспечение подлинности сеанса связи с использованием механизмов запроса-ответа, отметок времени.
- •Защита программ от изучения, отладки и дизассемблирования, защита от трассировки по прерываниям; защита от разрушающих программных воздействий.
- •Общие положения защиты информации техническими средствами. Активные, пассивные и комбинированные технические средства защиты информации.
- •Защита информации от перехвата по побочным каналам утечки.
- •Защиты информации от подслушивания. Способы и средства защиты.
- •Методы защиты информации техническими средствами в учреждениях и предприятиях.
- •Аппаратные средства защиты информации
- •Технические средства защиты информации
- •Модели и методы оценки эффективности защиты информации
- •Контроль эффективности мер по защите информации техническими средствами.
- •Защита внутриобъектовых и межобъектовых линий связи.
- •Основные характеристики и параметры современных видеокамер, видеорегистраторов.
- •Технические средства автоматизированного проектирования систем охранно-пожарной сигнализации и видеонаблюдения.
- •Сущность методов оценки дальности (фазовый, импульсный, частотный) до объектов вторжения на охраняемую территорию, применяемых в системах охранных сигнализаций.
- •Источники питания электронной аппаратуры (выпрямители, стабилизаторы, принципы построения).
- •Способы передачи цифровой информации (преимущества и ограничения, скорость передачи информации, модемы, организация связи с помощью эвм).
- •Системы телефонной связи (принципы телефонной связи, телефонная сеть, офисные атс, радиотелефоны, сотовая связь).
Виды тайн. Источники угроз. Способы воздействия угроз.
ВИДЫ ТАЙН
Тайна, основным содержанием которой являются сведения (информация), по характеру сведений относится к сведениям с ограниченным доступом. По содержанию сведений тайна представляет собой конфиденциальные сведения и сведения, составляющие государственную тайну. Конфиденциальные сведения (от лат. confidentia — доверие) доверительные, не подлежащие огласке, доступ к которым ограничивается в соответствии с законодательством. Конфиденциальность сведений определяет и доверяет посторонним лицам владелец этих сведений. В отличие от конфиденциальных сведений, сведения, составляющие государственную тайну, определяются государством через соответствующие государственные органы, получение и разглашение этой информации строго регламентировано нормативными актами, информация имеет гриф секретности (более подробно в параграфе «Понятие и виды тайн, охраняемых уголовным законом РФ»).
По видам тайн:
тайна частной жизни;
профессиональная тайна;
служебная тайна;
коммерческая тайна;
государственная тайна;
Тайна — это охраняемые законом конфиденциальные и секретные сведения в области частной жизни граждан, предпринимательской, финансовой, политической, экономической, военной и иных сферах, известные или доверенные определенному кругу лиц в силу их профессиональных, служебных и иных обязанностей, незаконное получение, использование, разглашение которых причиняет вред или создает угрозу причинения вреда правам и законным интересам граждан, общества, государства и влечет за собой ответственность виновных лиц в соответствии с действующим законодательством.
Тайна частной жизни — это конфиденциальные сведения, составляющие:
личную тайну;
тайну переписки;
телефонных и иных переговоров;
семейную тайну;
тайну голосования;
тайну усыновления;
тайну исповеди.
личная тайна — сведения о состоянии здоровья, особенно в тех случаях, когда человек страдает такими болезнями, которые считаются постыдными с позиции общественной морали, любовные связи, особенно когда они сопряжены с супружеской изменой, дурные привычки, склонности, пристрастия, врожденные, наследственные и приобретенные пороки, граничащие порой с нервно-психическими аномалиями, скрытые физические недостатки; порочное социальное прошлое гражданина, а также порочащие человека деловые и дружеские связи. К личным тайнам также относится тайна общения и творчества, тайна интимных взаимоотношений, тайна дневников, личных бумаг. Каждая личность сама определяет круг и границы личной тайны. Личная тайна является составной частью частной жизни, относительно обособленной зоной наиболее деликатных, интимных сторон жизни человека, когда разглашение определенных сведений является не только нежелательным, но и вредоносным, пагубным с нравственной точки зрения12.
Семейная тайна — сведения, касающиеся семьи и по моральным соображениям скрываемые от постороннего глаза семьей, под которой в социальном аспекте понимается союз лиц, основанный на браке, родстве, принятии детей на воспитание, характеризующийся общностью жизни, интересов, а в юридическом смысле — круг лиц, связанных правами и обязанностями, вытекающими из брака, родства, усыновления или иной формы принятия детей на воспитание13.
Семейная и личная тайны тесно связаны между собой и во многом совпадают. Различия между ними усматриваются в одном: если личная тайна непосредственно касается интересов лишь конкретного индивидуума, то семейная тайна затрагивает интересы нескольких лиц, находящихся друг с другом в отношениях, регулируемых СК РФ.
Тайна переписки, почтовых, телеграфных и иных сообщений — любые, в том числе конфиденциальные сведения, передаваемые лицом по почте, телеграфу, по телефону, компьютерной сети, иным каналам связи.
Тайна голосования. В ст. 7 Федерального закона от 19 сентября 1997 г. № 124-ФЗ «Об основных гарантиях избирательных прав и прав на участие в референдуме граждан Российской Федерации» отмечается, что голосование на выборах и референдуме является тайным, исключающим возможность какого-либо контроля за волеизъявлением гражданина14. Следовательно, в содержание тайны голосования входят сведения, зафиксированные в бюллетене для голосования и раскрывающие отношение гражданина к выбору того или иного кандидата.
Тайна усыновления включает в себя сведения о факте усыновления ребенка, информацию об отказе от него действительными родителями, иных обстоятельствах усыновления. Предание огласке этих сведений третьим лицам, которым не было известно о факте усыновления, означает разглашение тайны усыновления.
В содержание тайны частной жизни входит и тайна исповеди. Тайна исповеди — сведения, которые сообщает верующий священнослужителю на исповеди. К ним могут относиться сведения о личной и семейной жизни, о имевших место нарушениях морали и закона. Тайна исповеди — гарантия неприкосновенности частной жизни верующих15.
Профессиональная тайна.
сведения, доверенные конкретному лицу или ставшие известными ему в связи с осуществлением своих профессиональных обязанностей. Указанное лицо обязывается сохранять полученные сведения в тайне. В случае их разглашения предусматривается ответственность в соответствии с действующим законодательством.
виды профессиональных тайн: врачебная тайна, адвокатская тайна, банковская тайна, нотариальная тайна, тайна переписки, телефонных и иных переговоров, тайна усыновления, тайна страхования и ряд других видов тайн.
По мнению ряда ученых-юристов, в содержание понятия врачебная тайна входят сведения: о факте обращения гражданина за медицинской помощью; о состоянии его здоровья; о диагнозе, лечении и прогнозе заболевания; о его личных и семейных тайнах (привычках, наклонностях, физических и психических недостатках, интимных связях и т. п.); о трансплантации, искусственном оплодотворении, имплантации эмбриона; о личности донора; иные сведения в медицинских документах гражданина.
В содержание адвокатской тайны входят сведения, сообщенные адвокату гражданином в связи с оказанием ему юридической помощи.
Кредитная организация, Банк России гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.
Нотариальная тайна — это сведения, доверенные нотариусу в связи с совершением нотариальных действий.
К тайне усыновления относятся сведения об усыновлении ребенка усыновителем, доверенные на законном основании иным лицам, кроме судей, вынесших решение об усыновлении, и должностных лиц, осуществляющих государственную регистрацию этого усыновления.
Тайна страхования — это сведения о страхователе, застрахованном лице, состоянии их здоровья, а также об имущественном положении этих лиц, полученные страховщиком в результате своей профессиональной деятельности.
Профессиональная тайна имеет некоторые особенности, можно разделить на два вида:
1) профессиональная тайна в чистом виде, обусловленная характером деятельности;
2) профессиональная тайна, составную часть которой образуют доверенные личные тайны граждан ( адвокатская, врачебная, банковская, нотариальная, усыновления, журналистского расследования, представительства).
Таким образом, профессиональная тайна — это охраняемые законом конфиденциальные сведения, доверенные или ставшие известными лицу исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, незаконное получение или распространение которых может повлечь за собой вред правам и законным интересам другого лица, доверившего эти сведения и предоставляет ему право на защиту в соответствии с законодательством Российской Федерации.
Коммерческая тайна.
В соответствии со ст. 139 ГК РФ и другими нормами федеральных законов, иных нормативных актов информация может составлять коммерческую тайну, если она отвечает следующим требованиям:
— имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам;
— не попадает под перечень сведений, доступ к которым не может быть ограничен, и перечень сведений, отнесенных к государственной тайне;
— к ней нет свободного доступа на законном основании;
— обладатель информации принимает меры к охране ее конфиденциальности.
. Согласно ст. 139 ГК РФ информация составляет коммерческую тайну в случае, когда она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять коммерческую тайну, определяются законом и иными правовыми актами23.
«Коммерческая тайна — это защищаемые предприятием сведения в области производства, новых технологий, организационной, коммерческой и иной деятельности, имеющие для предприятия действительную или потенциальную коммерческую ценность в силу неизвестности ее другим лицам, раскрытие (утечка, разглашение) которых может нанести ущерб интересам предприятия^ .
«коммерческая тайна — преднамеренно скрываемые по коммерческим соображениям экономические интересы и сведения о различных сторонах и сферах производственно-хозяйственной, управленческой, научно-технической, финансовой деятельности, охрана которых обусловлена интересами конкуренции и возможными угрозами экономической безопасности фирмы. Коммерческая тайна возникает тогда, когда она представляет интерес для коммерции» .
«коммерческая тайна — это конфиденциальная управленческая, производственная, научно-техническая, торговая и другая информация, представляющая ценность для предприятия в достижении преимущества над конкурентами и извлечение прибыли»26.
На наш взгляд, в приведенных определениях не раскрываются в полной мере содержание и признаки коммерческой тайны, не отражены важные правовые аспекты, в том числе ответственность за посягательство на коммерческую тайну.
Вместе с тем, в указанных определениях наглядно просматриваются и наиболее характерные признаки данного определения, сформулированные в ст. 139 ГК РФ. К ним относятся:
конфиденциальность, закрытость этих сведений от третьих лиц;
действительная и потенциальная ценность этих сведений в силу неизвестности их другим лицам.
Коммерческая тайна — это конфиденциальные сведения в областях:
производственно-хозяйственной;
коммерческой;
управленческой;
научно-технической;
финансовой.
«Коммерческая тайна — это охраняемые законом конфиденциальные сведения в области производственно-хозяйственной, управленческой, финансовой деятельности организации, имеющие действительную или потенциальную ценность в силу неизвестности их третьим лицам, к ним нет свободного доступа на законном основании, обладатель сведений принимает меры к их конфиденциальности, незаконное получение, использование или разглашение которых создает угрозу причинения вреда владелы{у этих сведений и предоставляет ему право на защиту в соответствии с законодательством Российской Федерации».
Служебная тайна.
К служебной тайне могут быть отнесены сведения, содержащие служебную информацию о деятельности государственных органов. Так, в Указе Президента Российской Федерации от 6 марта 1997 г. № 188, утверждающем Перечень сведений конфиденциального характера, под служебной тайной понимаются служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с федеральными законами.
Таким образом, к служебной тайне отнесены предусмотренные действующим законодательством конфиденциальные сведения, содержащие служебную информацию о деятельности государственных органов, подведомственных им организаций, учреждений, предприятий, ограничения на распространение которых установлены законом..
Таким образом, к служебной тайне, за исключением информации, составляющей государственную тайну, относится информация о деятельности государственных органов и их служащих, представляющая не коммерческий, а государственный интерес, а также иная конфиденциальная информация, составляющая частную, коммерческую тайну субъекта, полученная государственным органом в пределах своей компетенции для выполнения возложенных на него функций.
В действующем законодательстве приводится перечень сведений, которые не могут быть отнесены к служебной тайне (постановление Правительства РФ от 3 ноября 1994 г. №
— акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
— сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;
— описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;
— сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;
— документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.
Служебная тайна — это охраняемые законом конфиденциальные сведения о деятельности государственных органов, доступ к которым ограничен федеральным законом или в силу служебной необходимости, а также ставшие известными в государственных органах и органах местного самоуправления только на законном основании и в силу исполнения их представителями служебных обязанностей, имеющие действительную или потенциальную ценность в силу неизвестности их третьим лицам, к ним нет свободного доступа на законном основании, обладатель сведений принимает меры к их конфиденциальности, незаконное получение или разглашение которых создает угрозу причинения вреда владельцу этих сведений и предоставляет ему право на защиту в соответствии с законодательством РФ.
Государственная тайна. Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации30.
Государственная тайна — это сведения, имеющие в соответствии с законодательством гриф секретности в следующих областях государственной деятельности (ст. 2 Закона РФ «О государственной тайне»):
военной;
внешнеполитической;
экономической;
разведывательной;
контрразведывательной;
оперативно-розыскной.
Государственная тайна — это устанавливаемые и защищаемые государством сведения, имеющие в соответствии с законодательством гриф секретности в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, незаконное получение и распространение которых может нанести ущерб безопасности Российской Федерации и влечет за собой ответственность.
ИСТОЧНИКИ УГРОЗ
4. Источники угроз |
4.1. Люди
|
Посторонние лица |
Пользователи |
||
Персонал |
||
4.2.Технические устройства |
Регистрации Передачи Хранения Переработки Выдачи |
|
4.3. Модели, алгоритмы, программы |
Общего назначения Прикладные Вспомогательные |
|
4.4. Технологические схемы обработки |
Ручные Интерактивные Внутримашинные Сетевые |
|
4.5. Внешняя среда |
Состояние атмосферы Побочные шумы Побочные сигналы |
Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние. К внешним источникам относятся:
деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационно сфере;
стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
обострение международной конкуренции за обладание информационными технологиями и ресурсами;
деятельность международных террористических организаций;
увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа ним.
К внутренним источникам относятся:
критическое состояние отечественных отраслей промышленности;
неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации;
недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации;
недостаточная экономическая мощь государства;
снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.
Способы воздействия угроз на объекты защиты информации подразделяются на информационные, аппаратно-программные, физические, радиоэлектронные и организационно-правовые. К информационным способам относятся: - нарушение адресности и своевременности информационного обмена; - несанкционированный доступ к информационным ресурсам; - незаконное копирование данных в информационных системах; - хищение информации из банков и баз данных; - нарушение технологии обработки информации. Аппаратно-программные способы включают: - внедрение компьютерных вирусов; - установку программных и аппаратных закладных устройств; - уничтожение или модификацию данных в информационных системах. Физические способы включают: - уничтожение или разрушение средств обработки информации и связи; - уничтожение, разрушение или хищение машинных или других оригиналов носителей информации; - хищение аппаратных или программных ключей и средств криптографической защиты информации; - воздействие на персонал; - поставку "зараженных" компонентов информационных систем. Радиоэлектронными способами являются: - перехват информации в технических каналах ее утечки; - внедрение электронных устройств перехвата информации в технические средства передачи информации и помещения; - перехват, дешифрование и внедрение ложной информации в сетях передачи данных и линиях связи; - воздействие на парольно-ключевые системы; - радиоэлектронное подавление линий связи и систем управления. Организационно-правовые способы включают: - закупки несовершенных или устаревших информационных технологий и компьютерных средств; - невыполнение требований законодательства Российской Федерации в информационной сфере; - неправомерное ограничение доступа к документам, содержащим важную для граждан и органов информацию.