Вопросы для контроля усвоения материала

 

1. Определение технического канала утечки информации.

2. Основные направления технической защиты информации от утечки по техническим каналам.

3. Классификация объектов информации.

4. Классификация технических каналов утечки информации.

5. Методы поиска закладных устройств перехвата информации.

 

ЛЕКЦИЯ №3

ОСНОВНЫЕ УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОАО "РЖД"

 

Одной из важных задач обеспечения информационной безопасности КС ФЖТ являются оценивание и прогнозирование угроз-источников и способов их реализации.

К угрозам информационной безопасности корпоративной сети относятся любые явления, действия, обстоятельства, события, которые могут являться причиной нанесения ущерба из-за нарушения основных свойств защищенности объектов. Реализация угрозы выступает как атака на корпоративную сеть.

Источниками угрозы могут быть преднамеренные (злоумышленные) действия людей или их сообществ, случайные (ошибочные) действия обслуживающего персонала и пользователей сети, выход из строя (отказы) и сбои оборудования и программного обеспечения, природные явления и стихийные бедствия.

Источники угроз информационной безопасности КС ФЖТ разделяются на внешние и внутренние. Расширенный перечень угроз (их источников и способов воздействия) представлен в Доктрине информационной безопасности России.

Внутренними источниками угроз являются: противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информации; неправомерные действия государственных структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере; вынужденное (из-за объективного отставания отечественной промышленности) использование импортных программно-аппаратных средств в создаваемых и совершенствуемых информационных и телекоммуникационных системах; нарушение установленного регламента сбора, обработки и передачи информации; преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем; отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах; использование несертифицированных (в соответствии с требованиями безопасности) средств информатизации и связи, а также средств защиты информации и контроля их эффективности; привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.

К внешним источникам относятся: недружественная политика иностранных государств в области глобального информационного мониторинга, распространения информации и новых информационных технологий; деятельность политических, экономических, военных, разведывательных, информационных структур и специальных служб иностранных государств, направленная против интересов Российской Федерации в информационной сфере; преступные действия международных групп, формирований и отдельных лиц; катастрофы и стихийные бедствия.

На рисунке 10 представлены физические способы воздействия на объекты информационной безопасности.

 

Рисунок 11 Физические способы воздействия на объекты информационной безопасности.

Способы воздействия угроз на объекты информационной безопасности КС ФЖТ подразделяются на информационно-технические, физические и организационно-правовые.

Информационно-технические способы осуществления угроз включают в себя радиоэлектронные и акустические способы (перехват информации через электромагнитные и акустические поля и излучения; радиоэлектронное подавление линий связи и систем управления; перехват, дешифрирование и навязывание сообщений и команд управления) информационные, в том числе программно-математические способы (несанкционированный доступ к информационным ресурсам; нарушение технологий информационного обмена, сбора, обработки и хранения информации: незаконный сбор и использование информации; манипулирование информацией – дезинформация, скрытие и т.п.; внедрение программ-вирусов, программных и аппаратных закладок; копирование, уничтожение и искажение данных в информационных системах).

К физическим способам относятся: уничтожение или разрушение средств связи и обработки информации, а также носителей информации; хищение носителей информации, программных или аппаратных ключей и средств криптографической зашиты информации.

Организационно-правовые способы включают в себя: невыполнение требований законодательства в информационной сфере; неправомерное ограничение доступа граждан и организаций к информации. Основными угрозами информационной среде корпоративной сети являются: компрометация конфиденциальности, искажение, имитация и уничтожение информации при несанкционированном доступе (теледоступе); несанкционированное использование технических ресурсов, а также блокирование информации сети (отказ в обслуживании); применение интеллектуальных разрушающих воздействий – программ-вирусов, программных и аппаратных закладок; перехват информации в технических каналах утечки через побочные электромагнитные излучения и наведенные поля (ПЭМИН), а также через излучения вследствие электроакустических преобразований; радиоперехват информации; несанкционированное декодирование (расшифрование) сообщений; перехват речевой информации техническими средствами из помещений, в том числе с помощью электронных закладных устройств; хищение или уничтожение носителей информации, разрушение и вывод из строя информационных средств и механизмов их защиты.

Наиболее характерной и опасной угрозой информационной безопасности КС ФЖТ является несанкционированный и прежде всего межсетевой доступ к информации, объектам и техническим ресурсам сети.

При любом межсетевом взаимодействии по физически созданным каналам связи и логическим соединениям осуществляется передача сообщений между его участниками. В связи с этим можно выделить следующие типы удаленных атак на объекты межсетевого взаимодействия: анализ сетевого трафика, подмена доверенного объекта, навязывание ложного маршрута, создание ложного сервера, отказ в обслуживании.

Наряду с перехватом информации через побочные электромагнитные излучения и наведенные поля возможны прямой перехват информации и радиоэлектронное воздействие на линии связи и системы управления, т.е. реализация следующих угроз:

· прямой перехват информации в спутниковых радиоканалах и радиорелейных линиях, каналах подвижной радиосвязи (радиоперехват), в проводных и кабельных линиях связи через электромагнитные поля (перехват через электромагнитный и индукционный каналы);

· несанкционированный съем информации при контактном подключении к волоконно-оптическим и электрическим кабелям;

· передача дезинформирующих сообщений, ложных команд управления;

· воздействие преднамеренных и случайных помех; передача отвлеченных информационных фрагментов и многократное повторение ранее записанных сообщений для загрузки каналов и снижения их пропускной способности (отказ в обслуживании).

Применительно к основным объектам корпоративной сети можно выделить ту или иную группу угроз.

Проблема предотвращения, парирования и нейтрализации этих угроз в корпоративных сетях и обеспечения информационной безопасности отрасли решается комплексом нормативно-правовых, организационных и программно-технических (технологических) мер, методов и средств.

Рассмотрим общую характеристику мер и методов обеспечения информационной безопасности ОАО «РЖД».

 

 

Рисунок 12 Общие методы обеспечения информационной безопасности.

Правовые методы. Важнейшими для обеспечения информационной безопасности отрасли, ее корпоративных систем и сетей являются правовые методы. Они предусматривают разработку комплекса нормативных правовых актов, регламентирующих отношения в информационной сфере (среде), и нормативных методических документов по вопросам обеспечения информационной безопасности, т.е. создание нормативно-правового обеспечения в области информационной безопасности.

Национальная политика и нормотворческая деятельность России в сфере информационных отношений и информационной безопасности строится, исходя из провозглашенных принципов открытости общества, свобод и прав граждан на информацию. Она имеет свои особенности, связанные с уровнем развития информационных технологий, со сжатыми временными отрезками на нормотворческую деятельность и другими факторами, и в то же время широко использует международный опыт.

Наиболее важными направлениями нормотворческой деятельности, регулирующей отношения в области обеспечения информационной безопасности, являются:

· формирование института тайн: государственной, служебной, коммерческой, профессиональной и личной;

· разработка механизмов реализации прав граждан и организаций на получение, распространение и использование информации;

· создание и совершенствование системы обеспечения информационной безопасности (СОИБ) Российской Федерации;

· устранение противоречий в законодательстве;

· конкретизация правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности РФ;

· разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;

· законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;

· определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории РФ. и правовое регулирование деятельности этих организаций.

Нормативно-правовое обеспечение (база) России, обеспечивающее защищенность ее национальных интересов в информационной сфере, формируется в результате деятельности исполнительной и законодательной властей и включает в себя три основных компонента: нормативно-правовое обеспечение защиты прав и свобод человека и гражданина, реализуемых в информационной сфере; нормативно-правовое обеспечение в области развития российской информационной инфраструктуры и эффективного использования отечественных информационных ресурсов; нормативно-правовое обеспечение безопасности информационных и телекоммуникационных систем и информационных ресурсов страны.

Нормативно-правовую базу в области защиты информации и обеспечения информационной безопасности образуют: Конституция Российской Федерации; международные нормативные правовые акты в этой области, признанные Российской Федерацией; федеральные законы и кодексы Российской Федерации; указы Президента Российской Федерации; постановления и другие подзаконные нормативные правовые акты Правительства Российской Федерации; положения, стандарты, руководящие документы, инструкции, рекомендации, нормативно-технические и методические документы ФСТЭК (Гостехкомиссии) России, органов федеральной исполнительной власти: ФСБ, МВД, других министерств и ведомств.

На первом этапе деятельности по созданию нормативно-правового обеспечения работ в стране в области информатизации, зашиты информации и государственной тайны был издан ряд указов Президента Российской Федерации и приняты базовые федеральные законы. В настоящее время отношения в сфере информационной безопасности регулируются более чем 80 законами, иногда достаточно противоречивыми к важной группе нормативных актов относятся руководящие и методические документы ФСТЭК (Гостехкомиссии) России. В этой связи очень важны Руководящие документы ФСТЭК (Гостехкомиссии) России, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем от НСД к информации.

В современном мире открытых сетей нормативно-правовая база России должна быть согласована с международной практикой, т.е. отечественные стандарты и сертификационные нормативы должны быть приведены в соответствие с международным уровнем информационных технологий.

Руководствуясь перечисленными выше нормативными правовыми актами и документами в отрасли разрабатываются нормативные методические документы, конкретизирующие вопросы обеспечения информационной безопасности (ИБ) ее корпоративных систем и сетей.

Нормативно-правовое обеспечение ФЖТ включает в себя: разработку нормативно-методической базы обеспечения информационной безопасности отрасли; проведение единой технической политики в области обеспечения информационной безопасности отрасли; разработку комплекса мероприятий и документов по обеспечению информационной безопасности в чрезвычайных ситуациях; регламентацию проведения аттестации и сертификационных испытаний.

Схематично правовая база защиты информации в ОАО «РЖД» представлена на рисунке 12.

Рисунок 13 Структура правовой базы защиты информации в ОАО «РЖД».

Организационные меры. Особую роль в обеспечении информационной безопасности играют организационные меры. Они направлены, прежде всего, на разработку политики безопасности, т.е. совокупности документированных управленческих решении, норм и правил обеспечения ИБ отрасли и ее корпоративных систем и сетей; создание и совершенствование организационной структуры системы обеспечения информационной безопасности ФЖТ.

К другим общим организационным мерам относятся:

· сертификация автоматизированных информационных систем и сетей, средств защиты информации и контроля за ее эффективностью;

· категорирование информационных объектов по степени важности и конфиденциальности защищаемой информации;

· аттестация объектов по выполнению требований обеспечения безопасности информации при работе со сведениями, составляющими государственную тайну;

· введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования информационных средств, подлежащих защите и др.

Политика безопасности определяет стратегию отрасли в области ИБ, а также меру внимания и количество ресурсов, которое руководство считает целесообразным выделить на решение проблемы обеспечения ИБ корпоративной сети (ИБ КС). Разработка политики безопасности требует учета специфики конкретных объектов защиты.

Примером содержания политики безопасности может служить Британский стандарт В5 7799:1995, описывающий основные положения политики безопасности. Стандарт рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

· вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

· организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работу в области ИБ корпоративных систем и сетей;

· классификационный, описывающий имеющиеся в организации информационные ресурсы и необходимый уровень их защиты;

· штатный, характеризующий меры безопасности, применяемые к персоналу (организация обучения и переподготовки персонала, порядок реагирования на нарушения режима ИБ корпоративной сети и др.);

· освещающий вопросы физической защиты;

· описывающий правила разграничения доступа к защищаемой информации;

· характеризующий порядок разработки и сопровождения; управляющий, описывающий подходы к управлению средствами зашиты, контролю за выполнением политики безопасности, восстановлению нарушенного процесса функционирования;

· юридический, подтверждающий соответствие политики безопасности действующему законодательству.

Политика безопасности строится на основе анализа рисков. Под риском понимается произведение вероятности (возможности) активизации угрозы ИБ на величину, характеризующую возможный ущерб пользователю. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить ИБ корпоративной сети.

В организационной структуре создаваемой системы обеспечения информационной безопасности ФЖТ выделяют следующие уровни:

· руководство, Коллегия МПС;

· подразделения информационной безопасности департаментов, управлений и организаций МПС, главный конструктор систем обеспечения информационной безопасности, государственное унитарное предприятие "Аттестационный центр Желдоринформзащита МПС России", головная научно-исследовательская организация — ВНИИУП;

· региональные внедренческие центры, подразделения информационной безопасности в службах связи и ИВЦ железных дорог, кафедры и подразделения информационной безопасности вузов;

· подразделения (администраторы) безопасности корпоративных систем и сетей различного уровня.

Организационное обеспечение отрасли также включает в себя:

· контроль за соблюдением требований действующих и вновь вводимых руководящих документов по защите информации;

· координацию деятельности подразделений защиты информации в отрасли с департаментами, управлениями, организациями и предприятиями МПС и другими органами.