Техническая защита конфиденциальной информации
Техническая защита конфиденциальной информации — это комплекс организационных и технических мер, направленных на предотвращение несанкционированного доступа, уничтожения, модификации, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении информации ограниченного доступа (конфиденциальной информации). Данная область является составной частью более широкого понятия «защита информации» и регламентируется законодательством Российской Федерации, в первую очередь Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и № 98-ФЗ «О коммерческой тайне».
Цели и задачи технической защиты
Основной целью технической защиты конфиденциальной информации является обеспечение её трёх ключевых свойств: конфиденциальности (доступ к информации только уполномоченных лиц), целостности (гарантия неизменности данных в процессе хранения и передачи) и доступности (возможность легального использования информации авторизованными пользователями в требуемое время). Достижение этой цели предполагает решение ряда задач:
- Предотвращение утечки информации по техническим каналам (акустическим, виброакустическим, оптическим, радиоэлектронным и т.д.).
- Защита от несанкционированного доступа (НСД) к информационным системам и ресурсам.
- Обеспечение целостности данных при их обработке, хранении и передаче.
- Регистрация и учёт всех действий пользователей и процессов, связанных с обработкой защищаемой информации.
- Своевременное выявление и нейтрализация угроз безопасности информации.
Основные угрозы и каналы утечки
Угрозы конфиденциальной информации делятся на естественные (стихийные бедствия, отказы оборудования) и искусственные (преднамеренные и непреднамеренные действия человека). Наиболее опасными являются преднамеренные угрозы, реализуемые через различные каналы утечки:
- Акустический канал: перехват речевой информации с помощью направленных микрофонов, лазерных микрофонов (считывание вибрации стекла), стетоскопов, а также прослушивание через строительные конструкции.
- Виброакустический канал: перехват речевых сигналов, преобразованных в вибрации строительных конструкций (стен, пола, потолка) и инженерных коммуникаций (труб отопления, водоснабжения, вентиляции).
- Электромагнитный канал: перехват побочных электромагнитных излучений (ПЭМИН) от технических средств обработки информации (компьютеров, мониторов, принтеров, линий связи). Эти излучения могут быть приняты и декодированы специальным оборудованием на расстоянии.
- Оптический канал: визуальное наблюдение (в том числе с использованием средств ночного видения), фото- и видеосъёмка документов, экранов, клавиатур.
- Канал утечки по цепям электропитания и заземления: наведение информативных сигналов на провода электропитания и системы заземления, которые затем могут быть сняты в другой точке здания или за его пределами.
- Программно-аппаратные закладки («жучки», «закладки»): устройства, внедрённые в технические средства или помещения, предназначенные для сбора, записи и передачи информации.
Методы и средства технической защиты
Методы и средства технической защиты конфиденциальной информации классифицируются по способу реализации и назначению.
Организационные меры
Хотя техническая защита подразумевает использование аппаратных и программных средств, её эффективность невозможна без организационной основы. Ключевые организационные меры включают:
- Определение перечня сведений, составляющих конфиденциальную информацию, и грифов секретности.
- Разработка и утверждение политики информационной безопасности организации.
- Назначение ответственных лиц за обеспечение защиты информации.
- Проведение аттестации объектов информатизации (помещений, автоматизированных систем) на соответствие требованиям безопасности.
- Обучение и инструктаж персонала по работе с конфиденциальной информацией и использованию средств защиты.
- Контроль доступа в защищаемые помещения (пропускной режим, зонирование).
Инженерно-технические средства
Данная группа включает физические и аппаратные средства, препятствующие утечке информации.
- Средства физической защиты: замки, решётки, сейфы, металлические двери, системы охранной сигнализации (датчики открытия, движения, разбития стекла), системы контроля и управления доступом (СКУД) — турникеты, считыватели карт, биометрические сканеры.
- Средства защиты от утечки по акустическому и виброакустическому каналам:
- Звукоизоляция и звукопоглощение: использование специальных строительных материалов (акустические панели, минеральная вата), многослойных конструкций стен и перегородок.
- Виброакустические генераторы шума: устройства, создающие в строительных конструкциях маскирующие вибрации, которые делают невозможным снятие речевого сигнала с помощью стетоскопов или акселерометров.
- Акустические генераторы шума: устройства, излучающие в помещении «белый шум» или шумоподобные сигналы, маскирующие речь.
- Средства защиты от утечки по электромагнитному каналу (ПЭМИН):
- Экранирование помещений и оборудования: создание «клетки Фарадея» — металлического каркаса (сетки, листы) вокруг помещения, который блокирует электромагнитные волны. Экранируются также отдельные кабели и корпуса устройств.
- Фильтрация помех: установка сетевых фильтров и фильтров в цепях питания и заземления для подавления информативных сигналов.
- Пространственное зашумление: использование генераторов электромагнитного шума в диапазоне частот, характерном для ПЭМИН защищаемых устройств.
- Средства обнаружения закладных устройств:
- Индикаторы поля (детекторы нелинейных переходов): устройства, реагирующие на наличие полупроводниковых элементов (диодов, транзисторов) в «закладках», даже если они выключены.
- Радиочастотные сканеры и анализаторы спектра: приборы для поиска активных радиозакладок путём сканирования эфира.
- Металлодетекторы и рентгеновские установки: для поиска скрытых устройств в стенах, мебели, предметах.
- Средства защиты телефонных линий и линий связи:
- Криптошлюзы и VPN-концентраторы: для шифрования трафика.
- Анализаторы телефонных линий: устройства для выявления подключений к линии и несанкционированного съёма информации.
- Устройства защиты от ВЧ-навязывания: блокируют попытки дистанционного управления телефонным аппаратом или съёма информации по линии питания.
Программно-аппаратные средства
Эти средства реализуются на уровне операционных систем, прикладного программного обеспечения и специализированных аппаратных комплексов.
- Средства идентификации и аутентификации: пароли, PIN-коды, биометрические данные (отпечатки пальцев, сетчатка глаза, голос), аппаратные ключи (USB-токены, смарт-карты).
- Средства разграничения доступа: системы, определяющие, какие пользователи и с какими правами могут обращаться к конкретным файлам, папкам, базам данных, устройствам.
- Системы шифрования (криптографической защиты): шифрование данных на жёстких дисках (Full Disk Encryption), шифрование файлов и папок, шифрование каналов связи (SSL/TLS, IPsec, VPN).
- Средства защиты от несанкционированного копирования и вывода информации: блокировка портов USB, запрет на запись на внешние носители, контроль печати документов (с обязательной маркировкой и учётом).
- Системы обнаружения и предотвращения вторжений (IDS/IPS): анализируют сетевой трафик и активность в системе на предмет аномалий и атак.
- Антивирусные средства и средства защиты от вредоносного ПО.
- Системы защиты информации от утечки (DLP-системы): мониторят и блокируют передачу конфиденциальных данных по всем каналам (электронная почта, мессенджеры, веб-формы, печать, съёмные носители). Анализируют содержимое передаваемой информации на наличие ключевых слов, цифровых отпечатков (fingerprints) или регулярных выражений.
- Средства резервного копирования и восстановления данных: обеспечивают доступность информации в случае сбоев, атак или случайного удаления.
- Средства доверенной загрузки: аппаратно-программные комплексы, контролирующие загрузку операционной системы и блокирующие запуск неавторизованных ОС или загрузчиков.
Нормативно-правовая база в Российской Федерации
В России техническая защита конфиденциальной информации регулируется рядом нормативных документов. Основные из них:
- Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — базовый закон, определяющий понятия, принципы и общие требования к защите.
- Федеральный закон № 98-ФЗ «О коммерческой тайне» — определяет правовой режим коммерческой тайны, порядок её установления и защиты.
- Федеральный закон № 152-ФЗ «О персональных данных» — устанавливает требования к обработке и защите персональных данных.
- Указ Президента РФ № 188 «Об утверждении Перечня сведений конфиденциального характера» — определяет категории сведений, которые могут быть отнесены к конфиденциальным.
- Доктрина информационной безопасности Российской Федерации — стратегический документ, определяющий национальные интересы и угрозы в информационной сфере.
- Методические документы ФСТЭК России (Федеральной службы по техническому и экспортному контролю): содержат конкретные требования к системам защиты информации для различных классов объектов (автоматизированные системы, информационные системы персональных данных, государственные информационные системы). Ключевые документы — «Меры защиты информации в государственных информационных системах» (приказ ФСТЭК № 17), «Требования к защите персональных данных при их обработке в информационных системах персональных данных» (приказ ФСТЭК № 21) и другие.
- ГОСТы в области защиты информации: например, ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» и другие.
Ответственность за нарушение требований защиты
Нарушение требований по технической защите конфиденциальной информации влечёт за собой дисциплинарную, административную, гражданско-правовую или уголовную ответственность. Административная ответственность предусмотрена Кодексом об административных правонарушениях (КоАП РФ), например, за нарушение правил защиты информации (ст. 13.12, 13.13, 13.14). Уголовная ответственность наступает за неправомерный доступ к компьютерной информации (ст. 272 УК РФ), создание, использование и распространение вредоносных программ (ст. 273 УК РФ), нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации (ст. 274 УК РФ), а также за разглашение государственной тайны (ст. 283 УК РФ) и коммерческой тайны (ст. 183 УК РФ).
Перспективы развития
С развитием технологий (облачные вычисления, Интернет вещей, искусственный интеллект, квантовые вычисления) угрозы конфиденциальной информации становятся всё более сложными. В связи с этим, техническая защита эволюционирует в сторону:
- Проактивной защиты: использование систем на основе искусственного интеллекта и машинного обучения для прогнозирования и предотвращения атак до их реализации.
- Модели «нулевого доверия» (Zero Trust): принцип, при котором ни один пользователь или устройство не считается доверенным по умолчанию, и каждый запрос на доступ проверяется.
- Шифрования с квантовым распределением ключей (QKD): технология, обеспечивающая теоретически невзламываемую защиту каналов связи.
- Усиления защиты персональных данных в связи с ростом их ценности и ужесточением законодательства (включая требования к локализации данных на территории РФ).
- Развития DLP-систем с возможностью анализа контекста и поведения пользователей (UEBA — User and Entity Behavior Analytics).
Источники
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ от 05.12.2016 № 646).
- Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
- ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.
- Хорев П.Б. «Методы и средства защиты информации: учебное пособие». — М.: Горячая линия – Телеком, 2017.
- Ярочкин В.И. «Информационная безопасность: учебник для вузов». — М.: Академический проект, 2015.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →