90803

Виды защищаемой информации

Лекция

Информатика, кибернетика и программирование

Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)...

Русский

2015-06-11

34.12 KB

8 чел.

Лекция 2.

Виды защищаемой информации

  1.  Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
  2.  Сведения, связанные с коммерческой деятельностью, доступ к которой ограничен в соотв. С ГК РФ и федеральными законами (коммерческая тайна);
  3.  Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;

Конфиденциальная информация:

  1.  Персональные данные;
  2.  Тайна следствия, судопроизводства;
  3.  Служебная тайна;
  4.  Профессиональная тайна;
  5.  Коммерческая тайна;
  6.  Интеллектуальная собственность;

Персональные данные

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Служебная тайна

  1.  Служебная тайна – защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основания и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости;
  2.  На документах (в необходимых случаях и на их проектах) содержащих служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования»;

Информация, не относящаяся к служебной тайне

  1.  Акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок из реализации;
  2.  Сведения о ЧС, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;
  3.  Описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;
  4.  Порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;
  5.  Решения по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;
  6.  Сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;
  7.  Документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан;

Профессиональная тайна

  1.  Профессиональная тайна – информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности;
  2.  Виды профессиональной тайны: банковская, врачебная, адвокатская, нотариальная, аудиторская, таможенная, журналистская, налоговая, тайна связи, тайна страхования;

Примеры:

Банковская тайна.

  1.  Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте;

Врачебная тайна.

  1.  Информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений.
  2.  ФЗ номер 5487-1 от 22.07.1993. «Основы законодательства РФ. Об охране здоровья граждан»;

Адвокатская, нотариальная тайна.

  1.  Адвокатской тайной являются любые сведения, связанные с оказанием адвокатом юридической помощи своему доверителю. Нотариус обязан хранить в тайне сведения, которые стали ему известны в связи с осуществлением его профессиональной деятельности.

Журналистская тайна.

  1.  Редакция не вправе разглашать в распространяемых сообщениях и материалах сведения, предоставленные гражданином с условием сохранения их в тайне.
  2.  Редакция обязана сохранить в тайне источник информации и не вправе называть лицо, предоставившее сведения с условием неразглашения его имени, за исключением случая, когда соответствующее требование поступило от суда в связи с находящимся в производстве делом.
  3.  Редакция не вправе разглашать в распространяемых сообщениях и материала сведения, прямо или косвенно указывающие на личность несовершеннолетнего, совершившего преступление либо подозреваемого в его совершении, а равно совершившего административное правонарушение или антиобщественное действие, без согласия самого несовершеннолетнего и его законного представителя.

Тайна связи.

  1.  На территории РФ гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи;
  2.  Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных Федеральными законами;
  3.  Операторы связи обязаны обеспечить соблюдение тайны связи;
  4.  Осмотр почтовых отправлений лицами, не являющимися уполномоченными работниками оператора связи, вскрытие почтовых отправлений, осмотр вложений, ознакомление с информацией и документальной корреспонденцией. Передаваемыми по сетям электросвязи
  5.  Сведения о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях, о почтовых отправления и почтовых переводах денежных средств, а также сами эти сообщения, почтовые отправления и переводимые денежные средства могу выдаваться только отправителям и получателям или их уполномоченным …

Коммерческая тайна

  1.  ФЗ №98 от 29 июля 2004 г. «О коммерческой тайне».
  2.  Коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

Информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа ...

Интеллектуальная собственность

  1.  ФЗ №230 от 18 декабря 2006 года «Гражданский кодекс РФ (часть 4)», ст.1225;
  2.  Результатом интеллектуальной деятельности и приравненными к ним средствами индивидуализации юридических лиц, товаров, работ, услуг и предприятий, которым предоставляется правовая охрана (интеллектуальной собственностью), являются:
  3.  Произведения науки, литературы и искусства;
  4.  Программы для ЭВМ;
  5.  Базы данных;
  6.  Исполнения;
  7.  Фонограммы;
  8.  Промышленные образцы;
  9.  Селекционные достижения;
  10.  Технологии интегральных микросхем;
  11.  Секреты производства (ноу-хау);
  12.  Фирменные наименования и т.д.;

Угрозы информационной безопасности

Используемые документы:

  1.  «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утвержден ФСТЭК 15 февраля 2008 год;
  2.  «Доктрина информационной безопасности РФ» (утв. Президентом РФ 09.09.2000);

Угрозы безопасности информационных и телекоммуникационных средств и систем:

  1.  Противоправные сбор и использование информации;
  2.  Нарушения технологии обработки информации;
  3.  Внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией;
  4.  И т.д.;

Нарушение информационной безопасности организации

Нарушение информационной безопасности организации - Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении активов организации, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах, вызывающее негативные последствия (ущерб/вред) для организации.

Угроза информационной безопасности

  1.  Угроза (безопасности информации) – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации;
  2.  Источник угрозы – субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Каналы реализации угроз

Угроза безопасности персональных данных (ПДн) реализуется в результате образования канала реализации угрозы безопасности ПДн между источником угрозы и носителем (источником) ПДн, что создает условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).

Источник угроз безопасности ПДн

Среда распространения ПДн и воздействий.

Приемник информативного сигнала.

Передатчик воздействующего сигнала.

Носитель ПДн.

Среда распространения ПДн и воздействий.

  1.  Среда (путь) распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;
  2.  Носители ПДн могут содержать информацию представленную в следующих видах: акустическая, видовая, и т.д.

Формы представления информации

  1.  Акустическая (речевая) информация, содержащаяся непосредственно в произносимой речи пользователя информационной системы ПДн (ИСПДн);
  2.  Информация, обрабатываемая (циркулирующая) в ИСПДн, в виде электрических, электромагнитных оптических сигналов;
  3.  Видовая информация, представленная в виде текста и изображений различных устройств отображения информации;

Основные причины реализации угроз

  1.  Несанкционированный доступ – доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.

Примечания:

  1.  Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно;
  2.  Несанкционированное воздействие на информацию – воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Классификация угроз

  1.  По виду нарушаемого свойства информации
  2.  Угрозы конфиденциальности (утечки, перехвата, съема, копирования, хищения, разглашения) информации
  3.  Угрозы целостности (утраты, уничтожения, модификации)
  4.  Угрозы доступности (блокирования) информации
  5.  По виду защищаемой от угроз информации
  6.  Угрозы речевой информации
  7.  Угрозы видовой информации
  8.  Угрозы информации в виде бит, байт и т.п.
  9.  Угрозы информации в виде сигналов
  10.  По объекту воздействия (в зависимости от вида представления информации):
  11.  Речевая – акустический сигнал, виброакустический канал и т. д.;
  12.  Видовая – документ, мониторов и др.;
  13.  В виде бит, байт и т.п. – оперативная память, порты ввода вывода, встроенные и сменные носители и др.);
  14.  В виде сигналов – побочные электромагнитные излучения и наводки и др.;

Утечка информации – неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками;

Разглашение информации – несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации.

Перехват информации – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Информативный сигнал – сигнал, по параметрам которого может быть определена защищаемая информация.

Угрозы конфиденциальности.

  1.  Побочные электромагнитные излучения и наводки (ПЭМИН) – электромагнитные излучения технических средств обработки информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания;
  2.  Наведенный в токопроводящих линейных элементах технических средств сигнал; наводка – ток и напряжение в токопроводящих элементах, вызванные электромагнитным излучением, емкостным и индуктивными связями.

Угроза доступности.

Блокирование доступа – прекращение или затруднение доступа к информации лиц, имеющих на это право (законных пользователей).

Способы реализации угроз

Перехват акустической (речевой) информации возможен:

  1.  С использованием аппаратуры, регистрирующей акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные (в том числе оптические) излучения и электрические сигналы;

Способы реализации угроз утечки по каналам ПЭМИН

Генерация информации, циркулирующей в технических средствах ИС в виде электрических информативных сигналов, обработка и передача указанных сигналов вэ электрических цепях технических средств ИС сопровождается ПЭМИ, которые могут распространяться за пределы служебных помещений и зависимости от мощности излучений и размеров ИС.

Размещение средств для утечки информации по техническим каналам:

Перехват информации по тех каналам может вестись:

  1.  Стационарной аппаратурой;
  2.  Портативной возимой аппаратурой;
  3.  Портативной носимой аппаратурой – физическими лицами при их неконтролируемом пребывании в служебных помещениях;
  4.  Автономной автоматической аппаратурой (закладочное устройство), скрытно устанавливаемой физическими лицами непосредственно в служебных помещениях или в непосредственной близости от них.

Закладочное устройство

Закладочной устройство – техническое средство приема, передачи и обработки информации, преднамеренно устанавливаемое на объекте информатизации или в контролируемой зоне в целях перехвата информации или несанкционированного воздействия на информации или ресурсы АИС.