Обзор российского законодательства по защите критической информационной инфраструктуры

Примечания

1. Hakim, Joy. A History of Us: War, Peace and all that Jazz (англ.). — New York: Oxford University Press, 1995. — ISBN 0-19-509514-6.
2. Приказ ФСБ РФ от 09.02.2005 № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005)»
3. Указ президента РФ от 03.04.1995 № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»
4. Правительство РФ. Постановление от 16 апреля 2012 г. № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» (рус.). Правительство РФ (16 апреля 2012). Дата обращения 19 сентября 2012. Архивировано 16 октября 2012 года.
5. Постановление Правительства РФ от 31.10.1996 № 1299 «О порядке проведения конкурсов и аукционов по продаже квот при введении количественных ограничений и лицензирования экспорта и импорта товаров (работ, услуг) в Российской Федерации»

Основные проблемы в процессе защиты материалов

Решая вопрос защиты информации в корпоративных сетях, стоит обратить внимание на возможные перебои и нарушения в процессе доступа, способные уничтожить или исказить сведения. Возможные проблемы, связанные с нарушением безопасности в компьютерных сетях, можно условно разделить на несколько типов: 

Возможные проблемы, связанные с нарушением безопасности в компьютерных сетях, можно условно разделить на несколько типов: 

1. Нарушения работы системного оборудования: разрыв кабелей, перебои в электропитании, сбой в дисковой системе, нарушения функционирования серверов, сетевых карт, рабочих станций, системы архивации.

2. Уничтожение данных вследствие некорректной работы программного обеспечения: ошибки системы, заражение компьютерными вирусами.

3. Следствие несанкционированного доступа: пиратское копирование, устранение или фальсификация данных, работа посторонних с секретными материалами.

4. Неграмотное сохранение архивов.

5. Ошибки технического штата и пользователей сетевого ресурса: случайное искажение либо уничтожение информации, некорректное пользование программными продуктами.

В каждом из перечисленных случаев требуется устранить нарушения и усилить систему безопасности компьютерной сети.

Полномочия ведомства

Все действия регулятора, ранее именуемого Ростехкомиссией и созданного впервые еще в СССР для борьбы с иностранными техническими разведками, регламентированы на уровне закона и указов президента. 

Указ № 1085 устанавливает функции ФСТЭК РФ в сфере защиты информации:

• обеспечение безопасности критической информационной инфраструктуры;
• борьба с работой зарубежных технических разведок;
• организация системы защиты гостайны и других массивов данных, представляющих ценность и охраняемых законом;
• контроль за разработкой программных средств;
• экспортный контроль.

Для реализации этих функций ведомству предоставлен ряд полномочий:

• самостоятельное нормативно-правовое регулирование в сфере своей компетенции;
• координация работы других государственных органов, работающих в сфере защиты информации;
• проведение проверок деятельности юридических лиц;
• лицензирование;
• внесение предложений о привлечении к ответственности виновных в нарушении требований информационной безопасности;
• приостановление деятельности организаций;
• лицензирование, сертификация, разработка требований по созданию программных и технических средств защиты информации.

Подчиняется служба непосредственно президенту. 

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией. Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.

Какими средствами обеспечивается, классификация

Предупреждение утечки или утери информации должно осуществляться комплексно, т. е. для получения наилучших результатов все виды защиты информации нужно объединить.

Комплексная защита информационной системы включает:

1. Организационную защиту, т. е. специальные мероприятия от собраний до разработки планов и организации отделов, занимающихся предотвращением несанкционированного доступа.
2. Программно-аппаратную защиту, компьютерные системы и программы.
3. Инженерно-техническую защиту: камеры видеонаблюдения, интеллектуальные замки, ограничивающие доступ в секретные помещения (к конфиденциальной информации) посторонних.
4. Законодательную защиту.

Понятие ЛВС

Под локальной вычислительной сетью понимается небольшая по размерам компьютерная сеть, которая служит интересам ограниченного количества пользователей, покрывая одно или несколько зданий, например, офисы или помещения институтов. 

ЛВС классифицируются по способу администрирования:

• локальные;
• распределенные;
• городские.

В ЛВС компьютеры объединяются при помощи медных или оптоволоконных кабелей или по спутниковой связи. Объединение ПК в сеть дает возможность:

• передавать информацию без съемных носителей;
• совместно работать в программе, установленной на одном компьютере, нескольким пользователям;
• совместно пользоваться устройствами, например, принтером;
• применять одно решение для защиты конфиденциальной информации на нескольких рабочих станциях.

С другими сетями ЛВС соединяется через шлюзы.  Она может подключаться к Интернету или быть автономной, во втором случае решить задачу обеспечения безопасности  данных проще.

Риски при использовании незащищенного интернета

Заранее точно предсказать, как именно пострадает конкретный пользователь или целая организация, не обратившая должное внимание на систему защиты информации в Интернете, практически невозможно. Существуют сотни различных вариантов совершения преступлений, в основе которых чаще всего лежит комбинация из незаконных действий

Наиболее распространенными рисками считаются:

• Получение доступа к закрытой информации без каких-либо санкций.
• Кража важных данных компании или конкретного человека.
• Подмена или внесение изменений в информацию при ее передаче или в период содержания в хранилище.
• Удаление важных данных в качестве злого умысла.
• Разглашение незаконно полученных данных.
• Намеренное шифрование информации с целью последующего шантажа и вымогательства.

Организация системы должна в первую очередь учитывать три основные проблемы защиты информации в Интернете:

• Человеческий фактор. В большинстве случаев виновниками утечки становятся сами люди.
• Методики передачи. Необходимо выбирать наиболее защищенные.
• Способы хранения баз данных.

Также при решении этого вопроса в каждой организации должны учитываться все соответствующие положения ФЗ-149 «Об информации, информационных технологиях и о защите информации».

Полномочия ведомств в части рекомендации ПО

Право на определение программных продуктов, которые могут быть применены для защиты информации, имеющей категорию государственной тайны или персональных данных, принадлежат трем структурам:

1. Межведомственной комиссии по защите государственной тайны (ее полномочия распространяются только в отношении информации, составляющей государственную тайну).

2. ФСБ РФ (в части определения прав допуска к охраняемым данным и в части сертификации криптографических программ).

3. ФСТЭК России (в части применения некриптографических программных методов).

Ведомства принимают решение о сертификации программы, и только после этого она может быть использована для защиты конфиденциальной информации. Следует учитывать, что:

• сертификации подлежит ограниченное количество экземпляров программ;
• сертифицируется только одна версия, при ее обновлении этот процесс необходимо проходить заново, а пользователю, соответственно, приобретать новый продукт – сертифицированное обновление;
• сертифицированные программы не могут дорабатываться (дописываться).

При защите банковской тайны полномочия по определению программного обеспечения, которое может быть использовано в этих целях, принадлежат ЦБ РФ.

Признаки, которые могут навести на мысль о том, что рядом идет торговля «секретами фирмы»

Во-первых, от компании уходят клиенты – вероятнее всего конкурентам кто-то слил клиентскую базу.

Во-вторых, очевидная перемена в поведении некоторых сотрудников: внезапное улучшение материального положения, снижение заинтересованности в работе, активизировавшаяся переписка в интернете, частая пересылка графических или запароленных архивированных файлов.

В-третьих, «кучкование». Так, в одной компании 30 из 40 сотрудников, которые занимались заключением договоров, сговорившись, зарегистрировали собственную организацию и фактически работали на нее. Сотрудники предлагали клиентам, с которыми напрямую общались, те же услуги, но немного дешевле и перезаключали с ними договоры уже от имени собственной организации.

Вероятные источники угроз

Для организации максимально эффективных систем технической защиты информации необходимо четко представлять себе наиболее вероятные источники опасности. 

В список актуальных угроз входят:

• аппаратные сбои систем обработки, передачи или хранения информации;
• мошеннические действия с целью завладения данными;
• искажение информации, совершаемое для нанесения ущерба репутации предприятия или для извлечения преступного дохода;
• хищение, преступное изменение баз данных с помощью технических средств или программного обеспечения, в том числе с помощью устройств, использующих электромагнитное излучение, визуальное или акустическое наблюдение.

Перечисленные угрозы могут исходить как от посторонних лиц, так и от персонала. Нередко для получения нужных сведений конкуренты используют сотрудников, имеющих доступ к информации конфиденциального характера. 

Наиболее распространенным способом является копирование сведений с последующей их передачей заинтересованным лицам. Для исключения подобных действий следует тщательно контролировать носители информации, находящиеся в пользовании сотрудников. Чем выше уровень допуска, тем интенсивнее должен быть контроль, вплоть до полного запрета использовать флешки или внешние накопители. 

Отдельного внимания требуют мобильные телефоны. Современные модели обладают широкими возможностями передачи данных. Недобросовестный сотрудник может сфотографировать документы, скопировать данные в память своего гаджета и отправить файл заинтересованным лицам. Для сотрудников, работающих с конфиденциальной информацией, необходим запрет на использование мобильных телефонов внутри здания. 

Посторонние лица для получения информации чаще всего используют программные средства. Среди них наиболее распространены следующие:

• сообщения с вредоносным содержимым, отправленные на электронную почту;
• вирусное ПО;
• троянские или шпионские приложения;
• игры со встроенными участками кода, выполняющего шпионские функции.

Для создания эффективных систем технической защиты информации необходимо учитывать все существующие риски и методы злоумышленников. Потребуются как аппаратные, так и программные средства, использование комплексных систем обнаружения и предотвращения доступа злоумышленников в информационные системы.

Источники угрозы

Вооруженные силы Российской Федерации располагают значительными информационными массивами, большинство из которых представляет собой сведения, составляющие государственную тайну. 

Базы данных содержат сведения разного характера:

• технические – перечень сведений, параметров и конструкционных особенностей техники, стрелкового вооружения, прочих устройств, использующихся для выполнения боевых задач;
• организационные – сведения о составе, дислокации воинских частей, перемещениях, задачах и мероприятиях, производимых в подразделениях Вооруженных Сил;
• персональные – конфиденциальная информация личного состава.

Все перечисленные категории данных представляют интерес для разведывательных служб противника и находятся под угрозой. Необходимо учитывать, что, помимо технических устройств, в качестве объектов информации рассматриваются военнослужащие. Бойцы одновременно являются и источниками угрозы, и объектами защиты. Негативное информационно-психологическое воздействие на военнослужащего способно изменить его поведение и вынудить к враждебным действиям.

Защита информационных систем, технических и персональных данных, непосредственная охрана носителей становятся первоочередной задачей для армейских подразделений безопасности. Существующие угрозы необходимо отследить и нейтрализовать на ранних стадиях

Важно знать возможные способы получения информации, методы и действия противника по организации несанкционированного доступа к сведениям. 

Специалисты делят возможные угрозы на две группы: внутренние и внешние. Нередко одновременно возникают угрозы из обеих групп, когда с подачи внешних источников начинают действовать внутренние силы. Это увеличивает масштаб проблемы и усложняет задачу служб информационной безопасности. Однако необходимо осознавать взаимосвязь внешних и внутренних угроз, и действовать одновременно во всех направлениях. 

Защита информации в информационных сетях

Создаваемые масштабные компьютерные линии – локальные, корпоративные, телекоммуникационные – ставят задачу взаимодействия большого количества компьютеров, серверов, сетей и подсетей. Создается проблема определения наиболее эффективного метода защиты информации.

Системная топология, основанная на расположении межкомпьютерных связей, остается главным компонентом всех локальных и корпоративных сетей. Безопасность данных в компьютерных сетях достигается путем обработки критической информации. Этим термином обозначаются факторы, способствующие эффективному управлению основными структурными элементами сети и максимально полному выполнению стратегических задач любого уровня секретности (для личного, служебного пользования, коммерческая тайна либо интеллектуальная собственность физического или юридического лица).

Уязвимость большинства информационных сетей связана с кабельной системой. Есть данные, что именно она становится причиной сбоев и нарушений функционирования. Это необходимо учитывать уже на стадии проектирования сетевых связей.

Широкое распространение получили так называемые структурированные системы кабелей. Принцип их устройства – наличие однотипных проводов для передачи всех видов информации (цифровой, телефонной, видео, сигналов систем охраны).

Структурированность заключается в возможности разделить всю систему кабелей на ряд уровней по их назначению и наличию различных компонентов: внешней, администрирующей, аппаратной, магистральной, горизонтальной подсистем.

Внешняя подсистема из меди и оптоволокна включает устройства электрической защиты, заземления и устанавливает связи коммуникационной и обрабатывающей аппаратуры в помещении. Входят в нее и устройства контактов внешних и внутренних кабельных систем. Аппаратные нужны для размещения оборудования, обеспечивающего работу подсистемы администратора.

Межсетевое экранирование

Межсетевой экран (МЭ) – это программное или программно-аппаратное средство,
которое разграничивает информационные потоки на границе защищаемой системы,
осуществляет управление доступом, фильтрацию сетевых пакетов и трансляцию
сетевых адресов для скрытия структуры информационной системы.

Требования к межсетевым экранам определены приказом ФСТЭК России от 9
февраля 2016 г. №9
(зарегистрирован Минюстом России 25 марта 2016 г.,
регистрационный №41564 для
служебного пользования). В целях разъяснения
позиции ФСТЭК России в связи с утверждением Требований к межсетевым экранам
было выпущено Информационное сообщение по вопросам разработки,
производства, поставки и применения межсетевых экранов, сертифицированных
ФСТЭК России по требованиям безопасности информации от 24 марта 2017 г.
№240/24/1382.

В требованиях выделены пять типов межсетевых экранов:

• Типа А — уровня сети;
• Типа Б – уровня логических границ сети;
• Типа В – уровня узла;
• Типа Г – уровня веб-сервера;
• Типа Д – уровня промышленной сети (АСУ ТП).

Информационным сообщением от 12 сентября 2016 г.
№240/24/4278 доведены
спецификация профилей защиты межсетевых экранов для каждого типа
межсетевого экрана и класса защиты межсетевого экрана:

Классы межсетевых экранов по защищённости от НСД:

Идентификаторы профилей защиты приводятся в формате
ИТ.МЭ.«тип»«класс».ПЗ, где обозначение тип может принимать значение от
А до Г
(тип межсетевого экрана), а обозначение класс может принимать
значения от 1 до
6, соответствующие классу защиты межсетевого экрана.

Подробее о межсетевом экранировании изложено в материале

«Установка и настройка средств защиты информации в ЛВС при межсетевом взаимодействии».

Организационные, технические и программные средства защиты

Для любой компании реализация системы технической безопасности инфраструктуры начинается с принятия пакета прикладных организационных мер. Основным документом окажется Политика информационной безопасности, многие внутренние регламенты могут быть разработаны в качестве приложений к ней. Не рекомендуется оформлять в качестве приложений документы, разработка которых регламентирована необходимостью защиты персональных данных и выполнений требований регулятора. 

Проверяющие организации запрашивают отдельными документами:

1. Положение о порядке обработки персональных данных.
2. Положение о подразделении, которому поручена охрана персональных данных.
3. Иные документы, в частности, журнал учета движения съемных носителей.

Их отсутствие может привести к штрафам. Помимо документов, относящихся к персональным данным, необходимо разработать и внедрить:

• политику контроля и предотвращения несанкционированного доступа к информации и объектам инфраструктуры;
• методику определения степени дифференциации доступа;
• регламент управления паролями, предусматривающий обеспечение их сложности, своевременную замену, ответственность за передачу;
• политику восстановления ИС после аварий с указанием необходимых для него временных периодов;
• политику резервного копирования данных с указанием их объема, периодичности копирования, места хранения;
• методику работы с Интернетом и политику установки программного обеспечения;
• политику по работе с бумажными документами (их печать, копирование, сканирование);
• положения о подразделениях и должностные инструкции сотрудников.

Персонал должен быть ознакомлен с документами. Они должны храниться в доступном для ознакомления месте, например, на сервере компании.

Меры по обеспечению защиты информации

Все мероприятия, целью которых является обеспечение безопасности информации, можно разделить на две группы:

• защита массивов информации от несанкционированного доступа;
• защита личного состава от психологического воздействия.

Первая группа представляет собой комплекс мероприятий технического характера. В число активных действий входят следующие:

Помимо этого, необходимо применять все стандартные средства защиты информации на компьютерах – установка сложных паролей, шифрование данных, переименование папок.

Вторая группа мер защиты информации состоит из следующих действий: 

• защита личного состава от психологического воздействия;
• проверка и исправление информации, поступающей из внешних источников. Она может исходить от потенциального противника, поэтому необходимо тщательно контролировать содержание поступающих сведений.

Все мероприятия проводятся силами подразделений информационной безопасности, численность которых должна соответствовать объемам баз данных и численности личного состава части или другого подразделения.

Возможные пути утечки данных

Потеря сведений возможна на любом этапе их использования. Охрана важных данных должна базироваться на принципе недоступности информации для посторонних, отсутствии возможности случайного доступа, воздействия или обработки.

К наиболее проблемным каналам утечки следует отнести:

• съемные носители информации, в том числе флешки, SD-карты памяти смартфонов, фотоаппаратов;
• соцсети – это простой и быстрый способ передать сведения одному или нескольким лицам;
• мессенджеры и сервисы для мгновенного обмена сообщениями. В их число входят модные ныне WhatsApp, Viber, Telegram, Skype и другие. 

Необходимо также обеспечить невозможность прослушки переговоров сотрудников. Нередко офисы организаций находятся в жилых домах, где есть возможность услышать разговоры в соседней комнате. Кроме того, существуют технические системы, позволяющие получать информацию, считывая ее снаружи, с оконных стекол кабинета. Они направляют луч лазера на поверхность стекла и фиксируют мельчайшие колебания, возникающие при его контакте со звуковыми волнами (разговор). Поэтому для важных переговоров предпочтительно использование специальных помещений. На стекла в таких переговорных устанавливают ультразвуковые глушилки, делающие устройства прослушки бесполезными.

Не менее важными объектами защиты являются телефонные или оптоволоконные кабели, провода систем связи. Современные технологии позволяют получить сигнал даже без непосредственного подключения, путем электромагнитного сканирования проводов. Поэтому необходимо выполнять прокладку кабелей и проводов по закрытым, надежно экранированным каналам.

Необходимо внимательно анализировать и изучать задачи злоумышленников. Понимание, в каких целях предпринимаются попытки доступа к базам данных, позволит принимать эффективные меры по их обнаружению

Важно учитывать, что преступники не всегда считают хищение сведений своей задачей. Часто им требуется уничтожить или изменить данные

Поэтому необходимо предусмотреть варианты злонамеренного использования информации и максимально ограничить такие возможности. 

Способы неправомерного доступа к информации

Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.

Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.