48312 (588538), страница 5
Текст из файла (страница 5)
Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
-
статья 272. Неправомерный доступ к компьютерной информации. (имеет дело с посягательствами на конфиденциальность)
-
статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. (имеет дело с вредоносным ПО)
-
статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. (имеет дело с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ)
Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.
Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.
Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.
Закон "Об информации, информационных технологиях и защите информации"
Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 27 июля 2006 года номер 149-ФЗ (принят Государственной Думой 8 июля 2006 года, одобрен советом федерации 14 июля 2006 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.
Некоторые из этих определений:
-
информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
-
документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
-
информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
-
информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
-
информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
-
информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
-
конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
-
пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
-
Закон выделяет следующие цели защиты информации:
-
предотвращение утечки, хищения, утраты, искажения, подделки информации;
-
предотвращение угроз безопасности личности, общества, государства;
-
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
-
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
-
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
-
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
-
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
ГЛАВА 2. РАЗРАБОТКАПРОЕКТА КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ОБЪЕКТА ЗАЩИТЫ
2.1 Технические каналы утечки информации
2.1.1 Классификация технических каналов утечки
Прежде всего, при разработке комплексной системы защиты информации следует определить каналы утечки информации.
Под каналом утечки информации понимают канал коммуникации, позволяющий процессу передавать информацию путем, нарушающим безопасность системы. По физической природе носителя различают следующие каналы утечки информации:
- оптический;
- радиоэлектронный;
- акустический;
- материально-вещественный.
Оптические каналы — это, как правило, непосредственное или удаленное (в том числе и телевизионное) наблюдение. Переносчиком информации выступает свет, испускаемый источником конфиденциальной информации или отраженный от него в видимом, инфракрасном и ультрафиолетовом диапазонах.
Классификация визуально-оптических каналов утечки информации:
-
По природе образования
-
За счёт отражения сетевой энергии
-
За счёт собственного излучения объектов
-
По диапозону излучения
-
Видимая область
-
ИК-область
-
УФ область
-
По среде расспостранения
-
Свободное пространство
-
Направляющие линии
В радиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток (поток электронов), распространяющийся по металлическим проводам.
Классификация радиоэлектронных каналов утечки информации:
-
По природе образования
-
Акустопреобразовательные
-
Электромагнитные излучения
-
Паразитные связи и наводки
-
По диапазону излучения
-
Сверхдлинные волны
-
Длинные волны
-
Среднии волны
-
Короткие волны
-
УКВ
-
По среде расспостранения
-
Безвоздушное пространство
-
Воздушное пространство
-
Земная среда
-
Водная среда
-
Направляющие системы
В акустическом канале носителями информации являются механические упругие акустические волны в инфразвуковом (менее 16 Гц), звуковом (16 Гц-20 Гц) и ультразвуковом (свыше 20 Гц) диапазонах частот, распространяющиеся в атмосфере, воде и твердой среде.
Когда в воздухе распространяется акустическая волна, частицы воздуха приобретают колебательные движения, передавая колебательную энергию друг другу. Если на пути звука нет препятствия, он распространяется равномерно во все стороны. Если же на пути звуковой волны возникают какие-либо препятствия в виде перегородок, стен, окон, дверей, потолков и т. п., звуковые волны оказывают на них соответствующее давление, приводя их также в колебательный режим. Эти воздействия звуковых волн и являются одной из основных причин образования акустического канала утечки информации.
Различают определенные особенности распространения звуковых волн в зависимости от среды. Это прямое распространение звука в воздушном пространстве, распространение звука в жестких средах (структурный звук). Кроме того, воздействие звукового давления на элементы конструкции зданий и помещений вызывает их вибрацию.
В свободном воздушном пространстве акустические каналы образуются в помещениях при ведении переговоров в случае открытых дверей, окон, форточек. Кроме того, такие каналы образуются системой воздушной вентиляции помещений. В этом случае образование каналов существенно зависит от геометрических размеров и формы воздуховодов, акустических характеристик фасонных элементов задвижек, воздухораспределителей и подобных элементов.
Под структурным звуком понимают механические колебания в твердых средах. Механические колебания стен, перекрытий или трубопроводов, возникающие в одном месте, передаются на значительные расстояния, почти не затухая. Опасность такого канала утечки состоит в неконтролируемой дальности распространения звука.
Преобразовательный, а точнее, акусто-преобразовательный канал — это изменение тех или иных сигналов электронных схем под воздействием акустических полей. На практике такое явление принято называть микрофонным эффектом.
В материально-вещественном канале утечка информации производится путем несанкционированного распространения за пределы организации вещественных носителей с защищаемой информации, прежде всего, выбрасываемых черновиков документов и использование копировальной бумаги, забракованных деталей и узлов, демаскирующих веществ.
Классификация материально-вещественных каналов утечки информации
-
По физическому состоянию
-
Твердые массы
-
Жидкости
-
Газообразные вещества
-
-
По физической природе
-
Химические
-
Биологические
-
Радиоактивные
-
-
По среде расспостранения
-
В земле
-
В воде
-
В воздухе
-
Очевидно, что каждый источник конфиденциальной информации может обладать в той или иной степени какой-то совокупностью каналов утечки информации.
2.1.2 Технические каналы утечки информации обрабатываемой на объекте защиты
В основе утечки лежит неконтролируемый перенос конфиденциальной информации посредством акустических, световых, электромагнитных, радиационных и других полей и материальных объектов.
Причины утечки связаны, как правило, с несовершенством норм по сохранению информации, а также нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию.
Условия включают различные факторы и обстоятельства, которые складываются в процессе научной, производственной, рекламной, издательской, отчетной, информационной и иной деятельности предприятия (организации) и создают предпосылки для утечки информации. К таким факторам и обстоятельствам могут, например, относиться:
-
недостаточное знание работниками предприятия правил защиты информации и непонимание (или недопонимание) необходимости их тщательного соблюдения;
-
использование неаттестованных технических средств обработки конфиденциальной информации;
-
слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;
-
текучесть кадров, в том числе владеющих сведениями конфиденциального характера.
Таким образом, большая часть причин и условий, создающих предпосылки и возможность утечки конфиденциальной информации, возникает из-за недоработок руководителей предприятий и их сотрудников.
Кроме того, утечке информации способствуют:
-
стихийные бедствия (шторм, ураган, смерч, землетрясение, наводнение);
-
неблагоприятная внешняя среда (гроза, дождь, снег);
-
катастрофы (пожар, взрывы);
-
неисправности, отказы, аварии технических средств и оборудования.
Известно, что информация вообще передается полем или веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги с текстом. Но, ни переданная энергия, ни посланное вещество сами по себе никакого значения не имеют, они служат лишь носителями информации. Человек не рассматривается как носитель информации. Он выступает субъектом отношений или источником.
Изучив особенности расположения объекта и близлежащих зданий, можно представить возможные каналы утечки информации в виде таблицы 1.
Таблица 1
Классификация возможных каналов утечки информации
| Каналы утечки информации с объекта защиты | |||
| 1 | 2 | 3 | 4 |
| 1 | Оптический канал | Окно помещения | Выделенное помещение |
| 2 | Радиоэлектронный канал | ПЭВМ | ОТСС |
| СИРД | |||
| Телефон ГАТС | ВТСС | ||
| Телефон ВАТС | |||
| Система ОПС | |||
| Система энергоснабжения и розетки | Выделенное помещение | ||
| 3 | Акустический канал | Теплопровод подземный | |
| Водопровод подземный | |||
| Стены помещения | |||
| Система центрального отопления | |||
| Вентиляция | |||
| 4 | Материально-вещественный канал | Документы на бумажных носителях | |
| Персонал предприятия | |||
Для исключения угроз утечки информации по техническим каналам следует внедрить систему комплексной защиты информации на ООО ЧОП «ОСА».
2.2 Вероятная модель злоумышленника
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
