А. Е. Кабанов техническая защита информации содержание Часть I. Правовые основы деятельности по защите информации. Тема Закон
Вид материала | Закон |
- Контрольная работа по дисциплине «Технические средства управления» на тему «Защита, 311.45kb.
- Гостехкомиссия росси и руководящий документ автоматизированные системы. Защита, 479.05kb.
- Аспекты информационной безопасности, 57.21kb.
- «Московский гуманитарный университет», 293.06kb.
- Ии повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность, 77.16kb.
- Курс лекций тема Экономическая информация как часть информационного ресурса общества, 909.13kb.
- Азербайджанской Республики "О телерадиовещании", 329.24kb.
- «Об информации, информационных технологиях и о защите информации», 274.57kb.
- Рабочей учебной программы дисциплины Б. 01. В. 03 «Правоведение», 663.71kb.
- Загрязнения окружающей природной среды, 120.92kb.
1 2
А.Е. Кабанов
ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Содержание
Часть I. Правовые основы деятельности по защите информации.
Тема 1. Закон «Об информации, информационных технологиях и о защите информации».
Тема 2. Конфиденциальная информация.
Тема 3. Закон Российской Федерации «О государственной тайне».
Тема 4. О мерах по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена.
Тема 5. Закон «О персональных данных».
Тема 6. Закон «О коммерческой тайне».
Часть II. Технические каналы утечки информации.
Тема 7. Определение и структура технического канала утечки информации.
Тема 8. Побочные электромагнитные излучения и наводки.
Тема 9. Визуально – оптический канал утечки информации.
Тема 10. Виброакустический канал утечки информации.
Часть III. Государственная система защиты информации.
Тема 11. Положение «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам».
Контрольные вопросы.
Часть I. ПРАВОВЫЕ ОСНОВЫ ДЕЯТЕЛЬНОСТИ ПО ЗАЩИТЕ
ИНФОРМАЦИИ.
Тема 1. ЗАКОН «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ» ОТ 27 ИЮЛЯ 2006 ГОДА
№ 149-ФЗ (в ред. Федеральных законов от 27.07.2010 № 227-ФЗ, от 06.04.2011 № 65-ФЗ, с изм., внесенными Федеральным законом от 21.07.2011 № 252-ФЗ).
Данный закон является базовым законодательным актом в сфере информатизации и защиты информации, регулирующим «отношения, возникающие при:
- осуществлении права на поиск, получение, передачу, производство и распространение информации;
- применении информационных технологий;
- обеспечении защиты информации».
Статья 2 посвящена определению основных понятий, используемых в данном законодательном акте. Так, понятие информация трактуется как «сведения (сообщения, данные) независимо от формы их представления;
информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
доступ к информации - возможность получения информации и её использования;
конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя;
предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
документированная информация - зафиксированная на материальном носителе путём документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах;
оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных».
Необходимо обратить внимание на крайне неудачное определение документированной информации. Во-первых, определяемое понятие определяется через самоё себя: «документированная информация - зафиксированная на материальном носителе путем документирования…». И, во-вторых, допускается «в установленных законодательством Российской Федерации случаях» считать документированной информацией её материальный носитель. По-видимому, целесообразней было бы воспользоваться определением документа из Федерального закона № 77-ФЗ «Об обязательном экземпляре документов»: документ-материальный носитель с зафиксированной на нём в любой форме информацией в виде текста, звукозаписи, изображения и (или) их сочетания, который имеет реквизиты, позволяющие его идентифицировать, и предназначен для передачи во времени и в пространстве в целях общественного использования и хранения.
Важнейшими принципами правового регулирования отношений в сфере информации, информационных технологий и защиты информации статья 3 декларирует:
«1)свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
2) установление ограничений доступа к информации только федеральными законами»
Пункт 2 статьи 5 вводит деление информации в зависимости от категории доступа к ней «на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Статья 6 определяет права и обязанности обладателя информации.
Важнейшим положением закона является определение категорий информации доступ, к которым не может быть ограничен:
- нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
- информации о состоянии окружающей среды;
- информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
- информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
- иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
Пункт 4 Статьи 11 декларирует, что «в целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами».
Таковы основные моменты и положения этого законодательного акта, на которые хотелось бы обратить особое внимание.
Тема 2. КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ.
Вкупе с рассмотренным законом «Об информации…» практически всегда рассматривается указ Президента № 188 от 6 марта 1997 года «Об утверждении перечня сведений конфиденциального характера» (в ред. Указа Президента РФ от 23.09.2005 N 1111), конкретизирующий деление информации в зависимости от категории доступа. В шести пунктах перечислены категории информации, являющиеся конфиденциальными:
«1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них».
Таким образом, информация ограниченного доступа делится на информацию, являющуюся конфиденциальной в соответствии данным указом, и информацию, составляющую секретные сведения в соответствии с законом «О государственной тайне» от 21 июня 1993 г. № 5485-I, который будет рассмотрен далее.
Всё вышесказанное графически можно проиллюстрировать следующим образом.
-
Информация по категориям доступа
(ФЗ «Об информации, информационных технологиях и о защите информации»
от 27 июля 2006 года № 149-ФЗ)
Общедоступная информация | Информация ограниченного доступа (доступ к информации ограничен федеральными законами) |
| Информация, составляющая государственную тайну | Информация, соблюдение конфиденциальности, которой установлено ФЗ |
ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I | ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»; ФЗ от 27 июля 2006 г.N152 «О персональных данных»; Указ Президента РФ от 6 марта 1997 года г. № 188 «Об утверждении перечня сведений конфиденциального характера» |
Тема 3. ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ «О ГОСУДАРСТВЕННОЙ ТАЙНЕ» ОТ 21 ИЮНЯ 1993 Г. № 5485-I. ((в ред. Федеральных законов от 06.10.1997 N 131-ФЗ, от 30.06.2003 N 86-ФЗ, от 11.11.2003 N 153-ФЗ,
от 29.06.2004 N 58-ФЗ, от 22.08.2004 N 122-ФЗ, от 01.12.2007 N 294-ФЗ, от 01.12.2007 N 318-ФЗ, от 18.07.2009 N 180-ФЗ, от 15.11.2010 N 299-ФЗ,
от 18.07.2011 N 242-ФЗ, от 19.07.2011 N 248-ФЗ, от 08.11.2011 N 309-ФЗ,
с изм., внесенными Постановлением Конституционного Суда РФ от 27.03.1996 N 8-П, определениями Конституционного Суда РФ от 10.11.2002 N 293-О, от 10.11.2002 N 314-О))
Данный закон регулирует сферу, связанную с обработкой и защитой информации, составляющую государственную тайну.
По определению из статьи 2 государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
В законе подробно перечисляются полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты
Статья 5 содержит совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством. «Государственную тайну составляют:
1) сведения в военной области:
- о содержании стратегических и оперативных планов, …;
- о планах строительства Вооруженных Сил Российской Федерации,…;
- о разработке, технологии, производстве, об объемах производства, о хранении, об утилизации ядерных боеприпасов,…;
- о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники,…;
- о дислокации, назначении, степени готовности, защищенности режимных и особо важных объектов,…;
- о дислокации, действительных наименованиях, об организационной структуре, о вооружении, численности войск и состоянии их боевого обеспечения, а также о военно-политической и (или) оперативной обстановке;
2) сведения в области экономики, науки и техники:
- о содержании планов подготовки Российской Федерации и ее отдельных регионов к возможным военным действиям,…;
- об использовании инфраструктуры Российской Федерации в целях обеспечения обороноспособности и безопасности государства;
- о силах и средствах гражданской обороны,…;
- об объемах, о планах (заданиях) государственного оборонного заказа,…;
- о достижениях науки и техники, … влияющих на безопасность государства;
- о запасах платины, металлов платиновой группы, природных алмазов в Государственном фонде драгоценных металлов и драгоценных камней Российской Федерации, … а также об объемах запасов в недрах, добычи, производства и потребления стратегических видов полезных ископаемых…;
3) сведения в области внешней политики и экономики:
- о внешнеполитической, внешнеэкономической деятельности Российской Федерации, преждевременное распространение которых может нанести ущерб безопасности государства;
- о финансовой политике в отношении иностранных государств (за исключением обобщенных показателей по внешней задолженности), а также о финансовой или денежно-кредитной деятельности, преждевременное распространение которых может нанести ущерб безопасности государства;
4) сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму:
- о силах, средствах, об источниках, о методах, планах и результатах разведывательной, контрразведывательной и оперативно-розыскной деятельности и деятельности по противодействию терроризму,…;
- о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими разведывательную, контрразведывательную и оперативно-розыскную деятельность;
- об организации, о силах, средствах и методах обеспечения безопасности объектов государственной охраны,…;
- о системе президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи,…;
- о методах и средствах защиты секретной информации;
- об организации и о фактическом состоянии защиты государственной тайны;
- о защите Государственной границы Российской Федерации, исключительной экономической зоны и континентального шельфа Российской Федерации;
- о расходах федерального бюджета, связанных с обеспечением обороны, безопасности государства и правоохранительной деятельности в Российской Федерации;
- о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства;
- о мерах по обеспечению защищенности критически важных объектов и потенциально опасных объектов инфраструктуры Российской Федерации от террористических актов;
-_о результатах финансового мониторинга в отношении организаций и физических лиц, полученных в связи с проверкой их возможной причастности к террористической деятельности».
Статья 7 перечисляет сведения, не подлежащие засекречиванию:
«- о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан,…;
- о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
- о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
- о фактах нарушения прав и свобод человека и гражданина;
- о размерах золотого запаса и государственных валютных резервах Российской Федерации;
- о состоянии здоровья высших должностных лиц Российской Федерации;
- о фактах нарушения законности органами государственной власти и их должностными лицами».
Таким образом, эти сведения по данному закону относятся к общедоступным.
В зависимости тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения сведений, составляющих государственную тайну, устанавливается три степени секретности сведений: и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно».
Далее, закон подробно описывает порядок отнесения сведений к государственной тайне и порядок засекречивания сведений и их носителей.
Статья 20 закона определяет органы защиты государственной тайны. К таковым относятся:
«- межведомственная комиссия по защите государственной тайны;
- федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности,
- федеральный орган исполнительной власти, уполномоченный в области обороны,
- федеральный орган исполнительной власти, уполномоченный в области внешней разведки,
- федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы;
- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны».
Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности.
«Лицензия на проведение работ с использованием сведений, составляющих государственную тайну, выдается предприятию, учреждению, организации при выполнении ими следующих условий:
выполнение требований нормативных документов, утверждаемых Правительством Российской Федерации, по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
наличие в их структуре подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны;
наличие у них сертифицированных средств защиты информации».
Тема 4. О МЕРАХ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ МЕЖДУНАРОДНОГО ИНФОРМАЦИОННОГО ОБМЕНА.
Также в паре с законом «О государственной тайне»» в контексте информационной безопасности необходимо упомянуть указ Президента от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» (в ред. Указов Президента РФ от 21.10.2008 N 1510, от 14.01.2011 N 38).
В подпункте а) пункта 1 этого указа говорится о недопустимости подключения сетей, в которых обрабатывается, хранится или передаётся информация, содержащая сведения, составляющую государственную или служебную тайну к сетям общего пользования.
Но, в случае необходимости (?), как говорится в подпункте б), такое возможно «…только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю». В других руководящих документах этот случай нигде более не упоминается. По-видимому, лучше придерживается положения подпункта а).
Подпункт г) декларирует возможность размещения технических средств, подключаемых к сетям международного информационного обмена, в выделенных помещениях, «только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях».
Пункт 3 обязывает высшие органы власти страны «осуществлять взаимодействие с сетью «Интернет» и представлять в нее информацию через сегмент сети «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, находящийся в ведении Федеральной службы охраны Российской Федерации. В исключительных случаях по согласованию с Федеральной службой охраны Российской Федерации указанные государственные органы могут осуществлять взаимодействие с сетью «Интернет» и представлять в нее информацию через сегменты сети «Интернет» и технологические серверные площадки, находящиеся в ведении федеральных органов исполнительной власти, подведомственных им учреждений и организаций, Российской академии наук, научных академий и иных научных организаций, имеющих государственный статус, а также государственных образовательных учреждений высшего профессионального образования».
Таковы основные положения рассмотренных нормативных актов, регламентирующих работу с секретной и служебной информацией, на которые хотелось бы обратить внимание.
Тема 5 . ЗАКОН «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ОТ 27 ИЮЛЯ 2006Г.
№ 152-ФЗ (в ред. Федеральных законов от 25.11.2009 N 266-ФЗ, от
27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ от 23.12.2010 N 359-ФЗ, от
04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ).
Рассмотрим основные положения данного закона, регулирующего «отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным».
Прежде всего, - как определяет закон само понятие персональных данных.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В определении понятия «обработка персональных данных» следует обратить внимание на то, что сам факт хранения ПДн является их обработкой:
«обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
И ещё один термин, на который хотелось бы обратить особое внимание, - понятие автоматизированной обработки: «обработка персональных данных с помощью средств вычислительной техники».
В статье 5 перечисляются принципы обработки персональных данных, третий из которых констатирует: «Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой».
Статья 6 перечисляет условия обработки персональных данных. Их одиннадцать. Из которых только один требует согласия субъекта на обработку:
«1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом»
Обязательным условием обработки персональных данных является конфиденциальность. Этому посвящена статья 7: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».
Статья 9 закона описывает форму получения согласия субъекта персональных данных на обработку его персональных данных:
«Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных».
Закон подробно определяет также условия доступа субъекта к обрабатываемым оператором данным, взаимоотношения оператора и субъекта, и что особенно важно, даёт субъекту право в любой момент отозвать согласие на обработку его персональных данных.
Часть 1 статьи 10 устанавливает, что «Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи». Причём, согласие на обработку ПДн в данном случае предусмотрено только в письменной форме, в отличие от согласия на обработку прочих категорий, когда «равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью».
Статья 14 констатирует «право субъекта персональных данных на доступ к его персональным данным», а именно: «Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав».
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами:
«1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства».
Статьи 18, 18.1, и 19 посвящены обязанностям оператора при сборе персональных данных, мерам, направленным на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом и мерам по обеспечению безопасности персональных данных при их обработке. Перечислим некоторые из них. Это - и «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных», и «издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных», причём «оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных». Оператор осуществляет «внутренний контроль и (или) аудит соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора». Оператор должен оценить вред, «который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом». Оператор знакомит работников, «непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных».
Часть 4 статьи 18.1 устанавливает: «оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных».
В статье 19 подробно перечисляются меры по обеспечению безопасности персональных данных.
Статья 22 описывает информацию, которую должен направить оператор в регулирующий орган (Роскомнадзор) в виде уведомления перед началом обработки персональных данных. Перечисляются также девять пунктов, когда этого не требуется.
Тема 6 . ЗАКОН «О КОММЕРЧЕСКОЙ ТАЙНЕ». ОТ 29 ИЮЛЯ 2004 Г. № 98-ФЗ (В РЕД. ФЕДЕРАЛЬНЫХ ЗАКОНОВ ОТ 02.02.2006 № 19-ФЗ, ОТ 18.12.2006 № 231-ФЗ, ОТ 24.07.2007 № 214-ФЗ, от 11.07.2011 № 200-ФЗ)
Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау).
Закон следующим образом определяет понятие коммерческой тайны:
«коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду». То есть, как режим конфиденциальности информации. А вот саму информацию, составляющую коммерческую тайну (секрет производства), как «сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны».
Следует обратить внимание на то, что в отличие от государственной тайны «право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений настоящего Федерального закона».
В Статье 5 перечисляются сведения, которые не могут составлять коммерческую тайну:
1) содержащиеся «в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры»;
2) содержащиеся «в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия, которых или недопустимость ограничения доступа, к которым установлена иными федеральными законами».
Режим коммерческой тайны считается установленным, если обладателем информации выполнены следующие условия:
«1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)».
Перечисленное выше не исключает использование, по усмотрению обладателя, иных средств и мер технической защиты информации, не противоречащих законодательству Российской Федерации.
В рамках трудовых отношений работодатель обязан ознакомить работника под расписку с перечнем информации, составляющей коммерческую тайну, с мерами режима коммерческая тайна и его нарушениями, создать работнику условия для выполнения этих требований.
В статье 14 закона говорится, что «нарушение настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации».
ЧАСТЬ II. ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ.
(С использованием материалов Хорев А.А. Техническая защита информации: учеб. пособие для студентов вузов. В 3 т. Том 1. Технические каналы утечки информации. - М.: НПЦ «Аналитика», 2008. - 436 с.: ил. )
Тема 7 . ОПРЕДЕЛЕНИЕ И СТРУКТУРА ТЕХНИЧЕСКОГО КАНАЛА УТЕЧКИ ИНФОРМАЦИИ.
Техническое определение канала утечки информации:
«Под техническим каналом утечки информации понимают совокупность объекта разведки, технических средств разведки, с помощью которых добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал».
Структура технического канала утечки информации:
Оперативное определение канала утечки информации:
«Под техническим каналом утечки информации, обрабатываемой с помощью средств информатизации, понимают способ получения с помощью технических средств разведки разведывательной информации об объекте».
Под разведывательной информацией обычно понимаются сведения или совокупность данных об объектах разведки, составляющие государственную или коммерческую тайну, независимо от формы их представления.
Возможные режимы обработки информации, характерные для типового средства вычислительной техники:
- вывод информации на экран монитора;
- ввод данных с клавиатуры;
- запись информации на накопители на магнитных носителях;
- чтение информации с накопителей на магнитных носителях;
- передача данных в каналы связи;
- вывод данных на периферийные устройства - принтеры, плоттеры;
- запись данных со сканера на магнитный носитель (ОЗУ),
Краткая характеристика источников информативного сигнала:
- вид кодирования сигнала - импульсный, потенциальный, смешанный потенциально-импульсный;
- разрядность информативного сигнала - от 1 до 512;
- частота повторения информативных импульсов - от единиц герц до сотен мегагерц;
- длительность информативного импульса – от сотен миллисекунд до единиц наносекунд;
- амплитуда информативного сигнала - от единиц милливольт до единиц киловольт;
- ширина спектра, занимаемая сигналом - от сотен герц до сотен мегагерц.
Краткая характеристика случайных антенн:
- геометрические размеры (единицы миллиметров - сотни метров);
- поляризация - линейная, эллиптическая (круговая);
- характеристики направленности (слабонаправленные для случайных антенн в виде проводников, средненаправленные - для случайных антенн щелевого типа);
- прогнозируемый вид паразитной связи случайной антенны с источником информативного сигнала (гальваническое подключение, ёмкостной, индуктивный, трансформаторный, комбинированный);
- прогнозируемые резонансные частоты в диапазоне частот информативного сигнала (четвертьволновые и полуволновые вибраторы).
Тема 8. ПОБОЧНЫЕ ЭЛЕКТРОМАГНИТНЫЕ ИЗЛУЧЕНИЯ И НАВОДКИ.
Структура канала ПЭМИН:
Объект разведки Среда распространения Средства разведки
информационного сигнала
Работающий компьютер, помимо исполнения своей основной функции - обработки информации, выполняет ещё и роль широкополосного передатчика, передающего в эфир, в том числе и обрабатываемую информацию. Для ПК эти излучения регистрируются в диапазоне до 2 ГГц с максимумом в полосе 50 МГц-300 МГц на расстоянии до одного километра. Основным «поставщиком» информации для канала ПЭМИН в случае компьютера являются: связка видеокарта-монитор и клавиатура. Клавиатура характеризуется достаточно высоким уровнем излучения. В тоже время с неё вводится высококритичная с точки зрения безопасности информация, включая пароли пользователей и администратора системы. Излучение клавиатуры относительно узкополосное и сосредоточено, в основном, в КВ и УКВ диапазонах. Данные, поступающие с клавиатуры, вводятся в последовательном коде. В силу этого они могут быть легко интерпретированы. Механизм появления канала ПЭМИ видеотракта хорошо иллюстрируется нижеследующим рисунком.
Излучения, создаваемые клавиатурой, вкупе с «картинкой»” связки видеокарта - монитор следует считать наиболее опасными, дающими полное представление об информации, обрабатываемой в данный момент.
Для блокирования канала ПЭМИН компьютера используют:
- доработку ПК с целью минимизации уровня излучений;
- электромагнитную экранировку помещений, в которых расположены компьютеры;
- активную радиотехническую маскировку.
Доработка ПК осуществляется организациями, имеющими лицензии ФСТЭК России. Для этих целей используются различные радиопоглощающие материалы и схемотехнические решения.
Электромагнитная экранировка помещений в широком диапазоне частот является достаточно сложной технической задачей, требующей значительных затрат и, в силу этого не всегда применима.
Активная радиотехническая маскировка предполагает генерирование в непосредственной близости от компьютера шумоподобного сигнала. Различают энергетический и неэнергетический методы активной защиты.
При энергетической маскировке генерируется шумовой сигнал с уровнем, значительно превышающим во всём частотном диапазоне уровень излучений ПК. Одновременно происходит наводка шумовых колебаний в отходящие токопроводящие цепи. Метод легко реализуем и дёшев, но имеет два недостатка. Во-первых, мощность «накрывающего» шумового сигнала не должна превышать установленных санитарных правил и норм «Электромагнитные излучения радиочастотного диапазона (ЭМИ РЧ)». И, во-вторых, не должна превышать установленных норм на допускаемые радиопомехи. Иначе это устройство будет создавать помехи различным радиоустройствам, расположенным поблизости от защищаемого объекта и потребуется согласование его установки со службой радиоконтроля.
Ниже перечисляются некоторые из устройств активной энергетической маскировки:
«Гном-3» - Диапазон рабочих частот:0,01-1000 МГц.Выходная мощность:3Вт;
«ЛГШ-501» - Диапазон рабочих частот: 0,01-1800 МГц;
«ЛГШ-503» - Диапазон рабочих частот: 0,01-2000 Мгц. Генератор по цепям электропитания, заземления и ПЭМИ;
«ГШ-1000М» - Диапазон рабочих частот: 0,1-1000 МГц. ПЭМИ;
«ГШ-2500» - Диапазон рабочих частот: 0,1-2000 МГц.
Неэнергетический или статистический метод активной защиты заключается в изменении вероятностной структуры сигнала, который будет приниматься приёмником вероятного злоумышленника. При этом устройство неэнергетической активной защиты анализирует информативный сигнал ПК по спектру частот и мощности, и генерирует зашумляющую составляющую по мощности не превосходящую сигнала видеотракта компьютера. Ясно, что такие устройства лишены недостатков устройств активной энергетической маскировки, то есть не требуется согласования со службой радиоконтроля и выполняются требования СанПиН.
В качестве неэнергетического устройства защиты можно привести пример САЗ «Салют».
Тема 9. ВИЗУАЛЬНО – ОПТИЧЕСКИЙ КАНАЛ УТЕЧКИ ИНФОРМАЦИИ.
Структура визуально – оптического канала утечки информации:
Объект разведки Среда распространения Средства разведки
информационного сигнала
Зрительное восприятие объекта является результатом решения трех задач:
- обнаружение - наблюдатель выделяет из окружающего фона объект, характер которого остается для него неясным;
- различение - наблюдатель определяет крупные детали объекта, раздельно воспринимает два объекта, расположенные рядом;
- идентификация - наблюдатель, различая отдельные мелкие детали, выделяет характерные признаки объекта и может отличить этот объект от других, находящихся в поле его зрения.
Образование визуального канала утечки информации зависит от ряда психофизиологических особенностей восприятия человеком объекта:
- угловые размеры объекта;
- контраст объект-фон;
- уровни адаптационной яркости;
- время восприятия;
- зашумленность изображения.
Угловые размеры объекта наблюдения определяются по формуле
α = 2arctg (l/2D),
где l - линейный размер изображения объекта, а D -расстояние от глаза наблюдателя до плоскости наблюдения. Эти характеристики напрямую связаны с физиологическими особенностями конкретного человека. У большинства людей абсолютный порог обнаружения αпор= 0, 5" (тонкая чёрная линия на светлом фоне). С этим показателем связана другая характеристика наблюдения - острота зрения, равная 1/αпор. Острота зрения зависит от расстояния между соседними светочувствительными элементами сетчатки глаза. Она максимальна в центральной части сетчатки (угол зрения - 7°).
Важнейшим моментом восприятия изображения объекта является яркостный контраст объект – фон К= (Вф - Во)/Вф, где Вф – яркость фона и Во – яркость объекта в случае Вф > Во и К= (Во - Вф )/Во в случае Во > Вф.
Контраст выражается в относительных единицах или процентах. Минимальное значение К, при котором глаз различает объект (порог контрастной чувствительности), равен 2-3% в случае, когда точно известно направление на объект, и 7-9% при нефиксированном наблюдении.
Весь диапазон яркостей, которые наш глаз способен воспринять, огромен: по одним данным он составляет от 10−6 кд/м² для глаза, полностью адаптированного к темноте, до 106 кд/м² для глаза, полностью адаптированного к свету, по другим - лежит в пределах 10-7 - 105 кд/м2. Но так или иначе – это 12 порядков яркости!
Существенное влияние оказывают условия временных характеристик восприятия, что связано с инерцией зрения и имеет большое значение при наблюдении за перемещающимися объектами или объектами кратковременного попадания в поле зрения наблюдателя. При этом эффект кратковременности усиливается эффективной яркостью объекта, которая при коротких раздражениях может быть существенно меньше действительной яркости. В этой ситуации яркостный контраст движущегося объекта может быть существенно меньше неподвижного.
Зашумлённость изображения связана с состоянием трассы наблюдения: от чистого воздуха до очень сильного тумана или пылевого загрязнения, соответствующее по метеорологическому коду от 10 до 0, что определяет метеорологическую дальность возможного обнаружения и наблюдения объектов.
Несколько примеров, характеризующих возможности технических разведок, использующих данный канал утечки информации.
Так, аппаратура спутника – шпиона “Key Hole 12” имеет разрешающую способность 10 см. при идеальной трассе наблюдения.
Современные длиннофокусные фотоаппараты способны запечатлеть документ формата А4 с расстояния 5 км.
Миниатюрная телевизионная камера JT-241s (39×39×20 мм.) позволяет вести наблюдение через отверстие 0,3-1,2 мм при угле поля зрения 110° при условиях почти полной темноты (0,04 лк).
Для блокирования визуально – оптического канала используют шторы или жалюзи на окнах, маскировку объектов на местности. То есть уменьшают величину контраста объект-фон до минимума и т.д..
Тема 10. ВИБРОАКУСТИЧЕСКИЙ КАНАЛ УТЕЧКИ ИНФОРМАЦИИ.
Структура виброакустического канала утечки информации:
Объект разведки Среда распространения Средства разведки
информационного сигнала
В качестве аппаратуры ведения разведки в случае виброакустического канала используются два типа датчиков: акустические микрофоны для преобразования акустических сигналов, распространяющихся в воздушной среде и контактные микрофоны или вибродатчики для преобразования виброакустических сигналов, распространяющихся по строительным конструкциям и инженерным коммуникациям зданий.
Закладные устройства («жучки») с датчиками первого типа устанавливаются или непосредственно в служебных помещениях, предназначенных для проведения конфиденциальных переговоров (выделенные помещения), или же в выходах кондиционеров и каналах систем вентиляции смежных с выделенными помещений. В них используются микрофоны с чувствительностью 30-50 мВ/Па, обеспечивающие регистрацию тихой речи (уровень громкости 64 дБ) на удалении до 15 м от её источника.
Если физический доступ в интересующее помещение не возможен, то используют закладные устройства с датчиками контактного типа, позволяющими перехватывать речевую информацию через ограждающие железобетонные и кирпичные стены толщиной до 1 м, а по трубопроводам - через 1-2 этажа. Чувствительность контактных микрофонов составляет 50-100 мкВ/Па.
В обычном исполнении (без камуфлирования подо что-то) объем закладного устройства без элементов питания составляет от 0,5-1,3 см3 до
10-20 см3.
Питание закладок осуществляется либо от аккумуляторов или батарей, либо от электросети, либо от телефонной сети.
Перехватываемая закладками информация либо записывается на носители, либо передаётся на пункт сбора информации по радио- и оптическому каналам, электросети, телефонным линиям и т.д.
Закладки, передающие информацию по радиоканалу, называются радиозакладками. Для передачи информации используются VHF (метровый), UHF (дециметровый) и GHz (ГГц) диапазоны длин волн. Наиболее часто используются диапазоны частот: 130-174 МГц; 350-450 МГц; 850-950 МГц и 1100-1300 МГц.
Дальность передачи зависит от мощности передатчика и вида используемой модуляции. Например, при мощности передатчика 1 мВт и узкополосной частотной модуляции (NFM) дальность передачи информации составляет до 100 м. Как правило, без использования ретрансляторов, дальность не превышает 300-500 м.
Для повышения скрытности передачи информации применяются различные способы кодирования и шифрования. Иногда используется разделение этапов съёма и передачи информации. Такие устройства имеют в своём составе цифровой накопитель, и специальный передатчик для ускоренной передачи информации. В течение некоторого времени осуществляется перехват информации, преобразование её в цифровой вид и запись в память закладки. Передача информации осуществляется либо через определенные промежутки времени, либо по команде с пункта управления. Соотношение времени накопления и времени передачи составляет от 40:1 до 120:1.
Для повышения скрытности передачи информации используются также закладные устройства, передающие информацию по оптическому каналу в инфракрасном диапазоне (0,8 - 1,1 мкм). Дальность передачи информации составляет несколько сот метров (до 500 м.).
Кроме радио и ИК канала для передачи информации используются линии электропитания сети 220 В (сетевые закладки). Они внедряются в электророзетки, удлинители, бытовую аппаратуру, питающуюся от сети переменного тока. Для приёма информации, передаваемой ими, используются приёмники, подключаемые к силовой сети в пределах здания (до трансформаторной подстанции). Частотный диапазон, в котором они работают, составляет от 40 до 600 кГц, иногда до 5-10 МГц.
Ниже приведена классификация электронных устройств перехвата речевой информации.