Схемно конструкторские способы защиты информации

Общая характеристика методов защиты

Защита информации от утечки по электромагнитным каналам – это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счёт электромагнитных полей побочного характера и наводок.

Существуют следующие электромагнитные каналы утечки информации:

– микрофонный эффект элементов радиоэлектронных средств;

– электромагнитное излучение низкой и высокой частоты;

– паразитная генерация усилителей различного назначения;

– цепи питания и цепи заземления радиоэлектронных средств;

– взаимное влияние проводов и линий связи;

Для защиты информации от утечки по электромагнитным каналам применяются как общие методы защиты, так и специальные, предназначенные только для конкретных видов каналов. Кроме того, защитные действия можно разделить на схемно-конструкторские решения (способы), ориентированные на исключение возможности возникновения электромагнитных каналов утечки, и эксплуатационные, связанные с обеспечением условий использования тех или иных технических средств.

К схемно-конструкторским способам относятся (рис. 11.1):

– экранирование элементов и узлов аппаратуры;

– фильтрация сигналов в информационных цепях, цепях питания и заземления;

– развязка цепей питания и других цепей.

Рис. 11.1 Схемно-конструкторские способы защиты информации

Экранированиепозволяет защитить от нежелательных воздействий электромагнитных сигналов и излучений собственных электромагнитных полей, а также ослабить или исключить паразитное влияние внешних излучений. Экранирование бывает электростатическое, магнитостатическое и электромагнитное.

Электростатическое экранированиезаключается в замыкании силовых линий электростатического поля источника на поверхность экрана и отводе наведённых зарядов на массу и на землю. Такое экранирование эффективно для устранения ёмкостных паразитных связей. Экранирующий эффект максимален на постоянном токе и с повышением частоты снижается.

Магнитостатическое экранированиеосновано на замыкании силовых линий магнитного поля источника в толще экрана, обладающего малым магнитным сопротивлением для постоянного тока и в области низких частот.

Электромагнитное экранирование применяется на высоких частотах. Действие электромагнитного экрана основано на том, что высокочастотное электромагнитное поле ослабляется им же созданным полем обратного направления (благодаря образующимся в толще экрана вихревым токам).

Если расстояние между экранирующими цепями, проводами, приборами составляет не более 10 % от четверти длины волны, то можно считать, что электромагнитные связи этих цепей осуществляются за счёт обычных электрических и магнитных полей, а не в результате переноса энергии в пространстве с помощью электромагнитных волн. Это даёт возможность отдельно рассматривать экранирование электрических и магнитных полей, что очень важно, так как на практике обычно преобладает какое-либо одно из полей и подавлять другое нет необходимости.

Заземлениеаппаратуры и её элементов используется для отвода наведённых сигналов на землю.

Фильтрацияприменяется для подавления или ослабления сигналов при их возникновении или распространении, а также для защиты систем питания аппаратуры обработки информации.

Развязкапредставляет собой разделение различных электрических цепей (цепей питания) с помощью специальных схем (фильтров, стабилизаторов).

Для защиты информации от утечки по электромагнитным каналам могут применяться также и другие схемно-конструкторские решения.

Эксплуатационные способы ориентированы на выбор мест установки технических средств с учётом особенностей их электромагнитных полей с таким расчётом, чтобы исключить выход этих полей за пределы контролируемой зоны. В этих целях осуществляется также экранирование помещений, в которых находятся средства с большим уровнем побочных электромагнитных излучений.

Источник

Правоведение. (09.2020) Курс д.ю.н. Барабановой С.В.

Законодательные и организационно-правовые основы защиты информации.

1. Важнейшие законодательные акты РФ в области информационной безопасности и защиты информации

Основополагающими документами по информационной безопасности в РФ являются Конституция РФ и Концепция национальной безопасности и Доктрина Информационной безопасности.

В Конституции РФ гарантируется «тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений» (ст. 23, ч.2), а также «право свободно искать, получать, передавать, производить и распространять информацию любым законным способом» (ст. 29, ч.4). Кроме этого, Конституцией РФ «гарантируется свобода массовой информации» (ст. 29, ч.5), т. е. массовая информация должна быть доступна гражданам.

Концепция национальной безопасности РФ, введенная указом Президента РФ №24 в январе 2000 г., определяет важнейшие задачи обеспечения информационной безопасности Российской Федерации:

• реализация конституционных прав и свобод граждан Российской Федерации в сфере информационной деятельности;
• совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;
• противодействие угрозе развязывания противоборства в информационной сфере.

Для обеспечения прав граждан в сфере информационных технологий и решения задач информационной безопасности, сформулированных в Концепции национальной безопасности РФ, разработаны и продолжают разрабатываться и совершенствоваться нормативные документы в сфере информационных технологий.

1. Закон Российской Федерации от 21 июля 1993 года №5485-1 «О государственной тайне» с изменениями и дополнениями, внесенными после его принятия, регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

В Законе определены следующие основные понятия:

• государственная тайна– защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;
• носители сведений,составляющих государственную тайну, – материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;
• система защиты государственной тайны– совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;
• доступ к сведениям,составляющим государственную тайну– санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;
• гриф секретности– реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;
• средства защиты информации– технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Законом определено, что средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Организация сертификации средств защиты информации возлагается на Государственную техническую комиссию при Президенте Российской Федерации, Федеральную службу безопасности Российской Федерации, Министерство обороны Российской Федерации в соответствии с функциями, возложенными на них законодательством Российской Федерации.

2.Закон РФ «Об информации, информатизации и защите информации «от 20 февраля 2006 года №149-ФЗ – является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.

Основными задачами системы защиты информации, нашедшими отражение в Законе «Об информации, информатизации и защите информации», являются:

• предотвращение утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т. п., вмешательства в информацию и информационные системы;
• сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки данных, установленных собственником или уполномоченным им лицом;
• сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации;
• обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных;
• сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами;
• соблюдение прав авторов программно-информационной продукции, используемой в информационных системах.

В соответствии с законом:

• информационные ресурсы делятся на государственные и негосударственные ;
• государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа;
• документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную .

Закон определяет пять категорий государственных информационных ресурсов:

• открытая общедоступная информация во всех областях знаний и деятельности;
• информация с ограниченным доступом:;
• информация, отнесенная к государственной тайне;
• конфиденциальная информация;
• персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом).

Статья 22 Закона «Об информации, информатизации и защите информации» определяет права и обязанности субъектов в области защиты информации. В частности, пункты 2 и 5 обязывают владельца информационной системы обеспечивать необходимый уровень защиты конфиденциальной информации и оповещать собственников информационных ресурсов о фактах нарушения режима защиты информации.

Следует отметить, что процесс законотворчества идет достаточно сложно. Если в вопросах защиты государственной тайны создана более или менее надежная законодательная система, то в вопросах защиты служебной, коммерческой и частной информации существует достаточно много противоречий и «нестыковок».

При разработке и использовании законодательных и других правовых и нормативных документов, а также при организации защиты информации важно правильно ориентироваться во всем блоке действующей законодательной базы в этой области.

Проблемы, связанные с правильной трактовкой и применением законодательства Российской Федерации, периодически возникают в практической работе по организации защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к информации и от воздействий на нее при обработке в технических средствах информатизации, а также в ходе контроля эффективности принимаемых мер защиты.

Правовые основы информационной безопасности общества

Законодательные меры в сфере информационной безопасности направлены на создание в стране законодательной базы, упорядочивающей и регламентирующей поведение субъектов и объектов информационных отношений, а также определяющей ответственность за нарушение установленных норм.

Работа по созданию нормативной базы предусматривает разработку новых или корректировку существующих законов, положений, постановлений и инструкций, а также создание действенной системы контроля за исполнением указанных документов. Необходимо отметить, что такая работа в последнее время ведется практически непрерывно, поскольку сфера информационных технологий развивается стремительно, соответственно появляются новые формы информационных отношений, существование которых должно быть определено законодательно.

Законодательная база в сфере информационной безопасности включает пакет Федеральных законов, Указов Президента РФ, постановлений Правительства РФ, межведомственных руководящих документов и стандартов.

Основополагающими документами по информационной безопасности в РФ являются Конституция РФ и Концепция национальной безопасности.

В Конституции РФ гарантируется «тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений» (ст. 23, ч.2), а также «право свободно искать, получать, передавать, производить и распространять информацию любым законным способом» (ст. 29, ч.4). Кроме этого, Конституцией РФ «гарантируется свобода массовой информации» (ст. 29, ч.5), т. е. массовая информация должна быть доступна гражданам.

Концепция национальной безопасности РФ, введенная указом Президента РФ №24 в январе 2000 г., определяет важнейшие задачи обеспечения информационной безопасности Российской Федерации:

• реализация конституционных прав и свобод граждан Российской Федерации в сфере информационной деятельности;
• совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;
• противодействие угрозе развязывания противоборства в информационной сфере.

Для обеспечения прав граждан в сфере информационных технологий и решения задач информационной безопасности, сформулированных в Концепции национальной безопасности РФ, разработаны и продолжают разрабатываться и совершенствоваться нормативные документы в сфере информационных технологий.

информации существует достаточно много противоречий и «нестыковок».

При разработке и использовании законодательных и других правовых и нормативных документов, а также при организации защиты информации важно правильно ориентироваться во всем блоке действующей законодательной базы в этой области.

Проблемы, связанные с правильной трактовкой и применением законодательства Российской Федерации, периодически возникают в практической работе по организации защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к информации и от воздействий на нее при обработке в технических средствах информатизации, а также в ходе контроля эффективности принимаемых мер защиты.

Формулирование целей и задач защиты информации, как лю­бой другой деятельности, представляет начальный и значимый этап обеспечения безопасности информации. Важность этого эта­па часто недооценивается и ограничивается целями и задачами, на­поминающими лозунги. В то же время специалисты в области сис­темного анализа считают, что от четкости и конкретности целей и постановок задач во многом зависит успех в их достижении и ре­шении. Провал многих, в принципе полезных, начинаний обуслов­лен именно неопределенностью и расплывчатостью целей и задач, из которых не ясно, кто, что и за счет какого ресурса предполагает решать продекларированные задачи.

Цели защиты информации сформулированы в Законе РФ №ФЗ-149 «O6 информации, информатизации и защите информации».

В общем виде цель защиты информации определяется как обеспечение безопасности информации, содержащей государственную или иные тайны. Но такая постановка цели содержит неопределен­ные понятия: информация и безопасность.

Информация — первичное понятие, используемое в понятий­ном аппарате информационной безопасности. Предпринимаются многочисленные попытки дать корректное определение понятию «информация», но список попыток пока не закрыт. Учитывая, что любой материальный объект или физическое явление отобража­ются в виде совокупности признаков (свойств), а человек, кроме того, на основе этих признаков формирует их модели или образы, то информацию можно представить как отображение реального или виртуального мира на языке признаков материальных объектов или абстрактных символов. Более подробно понятие «инфор­мация» рассмотрено в разд. II.

Основной целью защиты информации является обеспечение заданного уровня ее безопасности.

Под заданным уровнем безо­пасности информации понимается такое состояние защищеннос­ти информации от угроз, при котором обеспечивается допустимый риск ее уничтожения, изменения и хищения. При этом под унич­тожением информации понимается не только ее физическое унич­тожение, но и стойкое блокирование санкционированного досту­па к ней. В общем случае при блокировке информации в резуль­тате неисправности замка или утери ключа сейфа, забытия пароля компьютера, искажения кода загрузочного сектора винчестера или дискетки и других факторах информация не искажается и не похищается и при определенных усилиях доступ к ней может быть вос­становлен. Следовательно, блокирование информации прямой уг­розы ее безопасности не создает. Однако при невозможности до­ступа к ней в нужный момент ее пользователь теряет информацию так же, как если бы она была уничтожена.

Угроза может быть реализована с различной вероятностью. Вероятность реализации угрозы безопасности информации оп­ределяет риск ее владельца. Допустимость риска означает, что ущерб в результате реализации угроз не приведет к серьезным последствиям для собственника информации. Ущерб может про­являться в разнообразных формах: неполучение прибыли, ожида­емой от информации при ее материализации в новой продукции или принятии более обоснованного решения; дополнительные за­траты на замену образцов военной техники, характеристики кото­рой стали известны вероятному противнику; и другие. По некото­рым оценкам, например, попадание к конкуренту около 20% объ­ема конфиденциальной информации фирмы может привести к ее банкротству.

Источник