情報セキュリティの基本。 パート2.情報と保護手段

情報セキュリティの基礎の最初の部分では、情報セキュリティに対する主要な脅威の種類を調べました。 情報保護ツールの選択を進めるには、情報の概念に起因するものをより詳細に検討する必要があります。

情報とその分類

「情報」には多くの定義と分類があります。 最も簡潔かつ同時に包括的な定義は、2006年7月27日の連邦法No. 149-FZ （2017年7月29日修正） 「情報、情報技術、および情報の保護」 、第2条：情報は情報です（メッセージ、データ）、プレゼンテーションの形式に関係なく。」



情報はいくつかのタイプに分類でき、そのアクセスのカテゴリに応じて、 公開 データと 、アクセスが制限されている情報（ 機密データと状態の秘密 ）に分けられます 。



提供または配布の手順に応じた情報は、情報に分割されます。

1. フリーウェア
2. 関連する関係者の合意により提供される
3. 連邦法に従って、規定または配布の対象となるもの
4. ロシア連邦で制限または禁止されている配布

目的のための情報は、次のタイプです。

1. 質量 -些細な情報を含み、社会のほとんどが理解できる一連の概念で動作します。
2. 特別 -社会の大部分によって理解されないかもしれないが、この情報が使用される狭い社会グループ内で必要であり理解できる概念の特定のセットを含みます。
3. 秘密 -狭いサークルの人々に、および閉じた（保護された）チャンネルを通じてアクセスが許可されます。
4. 個人（プライベート） -社会的地位と社会的相互作用のタイプを決定する個人に関する情報のセット。

情報保護手段は、制限されている情報アクセスに直接適用する必要があります 。これは、 状態の秘密および機密データです。



1993年 7月21日のロシア連邦法N 5485-1 （ 2015年 3月8日に修正）によると、 「国家秘密」、第5条「国家秘密を構成する情報のリスト」には、

1. 軍事分野の情報。
2. 経済学、科学技術の分野の情報。
3. 外交政策および経済学の分野の情報。
4. intelligence報、反in報および作戦捜索活動の分野、ならびにテロとの闘争の分野、および国家保護措置を適用する決定がなされた人物の安全を確保する分野の情報。

機密情報を構成する可能性のある情報のリストは、1997年3月6日の大統領令 第188号 （2015年7月13日修正） 「機密情報リストの承認について」に含まれています。



機密データとは、州の法律および企業が自ら確立した規則に従ってアクセスが制限されている情報です。 次の種類の機密データを区別できます。

• 個人の機密データ：連邦法によって確立された場合にメディアで配信される情報を除き、市民の私生活の事実、出来事、および状況に関する情報。彼は彼の性格（個人データ）を識別できます。 例外は、メディアで配布される情報のみです。
• 公式の機密データ：公式情報。ロシア連邦民法および連邦法（公的秘密）に従って公的機関によってアクセスが制限されています。
• 司法機密データ：裁判官、法執行機関、規制当局の国家保護について。 被害者、証人、および刑事訴訟の他の参加者の国家保護について。 有罪判決を受けた人の個人ファイルに含まれる情報、ならびに司法行為、他の機関および役人の行為に関する情報。ただし、2007年10月2日の連邦法に従って公に入手可能な情報を除きます。 。
• 商業機密データ：商取引（利益）に関連するすべての種類の情報およびアクセスは法律によって制限されているか、企業によるそれらの情報の公式な公開（秘密の開発、生産技術など）の前に発明、実用新案または工業デザインの本質に関する情報が制限されています）
• 職業上の機密データ：ロシア連邦憲法および連邦法（医療、公証、弁護士の秘密、通信の秘密、電話での会話、郵便、電信またはその他のメッセージなど）に従ってアクセスが制限されている職業活動に関連する情報

図1.情報の種類の分類。

個人データ

また、注意を払い、個人データを考慮する必要があります。 2006年7月27日の連邦法No. 152-FZ （2017年7月29日修正） 「個人データについて」 、第4条： 個人データとは、特定または決定可能な自然人（個人データの主題）に直接的または間接的に関連する情報。



個人データ運営者とは、個人データを処理および（または）処理する他の個人と独立してまたは共同で、個人データを処理する目的、処理する個人データの構成、アクション（操作）個人データにコミットします。



個人データ処理 -自動化ツールを使用して、または収集、記録、体系化、蓄積、保存、明確化（更新、変更）、検索などの個人データでそのようなツールを使用せずに実行されるアクション（操作）またはアクションのセット（操作）個人データの使用、転送（配布、提供、アクセス）、非個人化、ブロック、削除、破壊。



個人データを処理する権利は、RoskomnadzorまたはFSTECによって発行された個人情報を扱うための州機関、連邦法、ライセンスに関する規制に定められています。



Roskomnadzorによって維持されているレジストリを入力する必要があります。たとえば、仮想サーバーのホスティング会社や通信事業者など、幅広い人々の個人データを専門的に扱う企業はレジストリに登録する必要があります。



たとえば、当社の仮想サーバーVPS.HOUSEのホスティングは、ロシア連邦の法律に基づき、電気通信、情報技術およびマスコミュニケーション分野の監督のための連邦サービスのライセンスに従って、 2015年12月25日付けの129322（テレマティックコミュニケーションサービス）および25.12付けの139323に従ってい ます。 .2015（音声情報を送信する目的でデータを送信するための通信サービスを除く、データを転送するための通信サービス）



これに基づいて、個人データに関連する情報が示され、その後処理されるユーザー登録フォームがあるサイトは、個人データオペレーターです。



法第152-FZ 「個人データについて」 第 7条を考慮すると、オペレーターおよび個人データへのアクセス権を取得した他の人は、連邦法で別途規定されていない限り、第三者に開示せず、個人データの主題の同意なしに個人データを配布しないことを要求されます したがって、個人データの運営者は、この情報に必要なセキュリティと機密性を提供する必要があります。



情報のセキュリティと機密性を確保するために、どの種類の情報キャリアが存在し、どの情報キャリアへのアクセスがオープンかクローズかを判断する必要があります。 したがって、保護の方法と手段は、メディアのタイプに応じて同じ方法で選択されます。



主記憶媒体：

• 印刷および電子メディア、ソーシャルネットワーク、インターネット上のその他のリソース。
• 友好的、家族的、専門的なつながりに基づいて情報にアクセスできる組織の従業員。
• 情報を送信または保存する通信施設：電話、電話交換、その他の通信機器。
• すべての種類の文書：個人、公式、州;
• 特にそのバージョンが特定の企業向けに特別に開発された場合、独立した情報オブジェクトとしてのソフトウェア。
• データを自動的に処理する電子ストレージメディア。

どの情報が保護の対象であるか、情報キャリア、および開示中に起こりうる損害を判断したら、必要な保護手段を選択できます。

情報セキュリティの分類

2006年7月27日の連邦法No.149- （2017年7月29日修正）に基づき 、 「情報、情報技術、および情報の保護について」 、第7条、第1項、および第4項：



1.情報保護とは、以下を目的とする法的、組織的および技術的手段の採用です 。

• 不正アクセス、破壊、変更、ブロック、コピー、提供、配布、およびそのような情報に関連する他の違法行為からの情報の保護を確保する 。
• アクセスが制限された情報の機密性の尊重 ;
• 情報にアクセスする権利の実現 。

4.情報の所有者、情報システムの運用者は、ロシア連邦の法律によって制定された場合、以下を保証する必要があります。

• 情報への不正アクセスおよび（または）情報にアクセスする権利を持たない人への転送の防止 。
• 情報への不正アクセスのタイムリーな検出 。
• 情報へのアクセス手順違反の悪影響の可能性の防止 ;
• 情報処理の技術的手段への影響の防止 。その結果、機能が中断されます。
• 不正なアクセスにより変更または破壊された情報を直ちに復元する機能。
• 情報セキュリティのレベルを確保するための継続的な制御 。
• ロシア連邦市民の個人データの収集、記録、体系化、蓄積、保存、更新（更新、変更）、検索が行われる情報のロシア連邦データベースの領域での検索（第7項は、2014年7月21日の連邦法 242-連邦法 ）。

法律No. 149-FZに基づいて、情報保護はいくつかのレベルに分けることもできます。

1. 法的レベルは、情報セキュリティの分野における州の基準への準拠を保証し、著作権、法令、特許、および職務記述書が含まれます。
   
   適切に構築された保護システムは、ユーザーの権利とデータ処理の標準に違反しません。
2. 組織レベルでは、ユーザーが機密情報を操作したり、人員を選択したり、ドキュメントやデータキャリアを使用して作業を整理したりするためのルールを作成できます。
   
   機密情報を持つユーザーの作業規則は、アクセス制御規則と呼ばれます。 ルールは、セキュリティサービスおよびセキュリティシステムを実装するサプライヤーと一緒に、会社の経営陣によって確立されます。 目標は、各ユーザーの情報リソースへのアクセス条件（たとえば、機密文書の読み取り、編集、送信の権利）を作成することです。
   
   アクセス制御ルールは、組織レベルで開発され、システムの技術的なコンポーネントとの作業段階で実装されます。
3. 技術レベルは、従来、物理、ハードウェア、ソフトウェア、および数学（暗号）に分けられています。

情報セキュリティツール

情報セキュリティツールは通常、 規制（非公式）と技術（ 非公式）に分けられます 。

情報セキュリティの非公式手段

情報保護の非公式の手段は、規範的（立法的）、管理的（組織的）、および道徳的および倫理的手段であり、文書、規則、出来事が含まれます。



情報セキュリティの法的根拠（ 立法手段 ）は州によって提供されています。 情報保護は、国際条約、憲法、「情報、情報技術および情報保護に関する連邦法」、ロシア連邦の法律「セキュリティ」、「通信」、「国家秘密」、およびさまざまな条例によって規制されています。



また、上記の法律の一部は、情報セキュリティの法的根拠として上記で引用および検討されました。 これらの法律を順守しないと、情報セキュリティに対する脅威が伴い、重大な結果を招く可能性があり、これらの法律に従って刑事責任を問われる可能性があります。



州はまた、情報セキュリティの分野における法律の規定の違反に対する責任の尺度を決定します。 たとえば、ロシア連邦刑法の第28章「コンピューター情報分野の犯罪」には3つの記事が含まれています。

• 第272条「コンピューター情報への違法アクセス」。
• 第273条「悪意のあるコンピュータープログラムの作成、使用、配布」
• 第274条「コンピューター情報および情報および電気通信ネットワークの保管、処理、または送信の手段の運用に関する規則の違反」。

管理（組織）対策は、信頼できる情報保護メカニズムを作成する上で重要な役割を果たします。 機密情報の不正使用の可能性は、主に技術的な側面ではなく、悪意のある行為によって決定されるためです。 たとえば、ユーザーまたはセキュリティ担当者の過失、過失および過失。



これらの側面の影響を減らすには、機密情報に対する脅威の可能性を排除または最小限に抑える組織的および法的および組織的および技術的な手段の組み合わせが必要です。



セキュリティサービスの従業員の情報を保護するためのこの管理および組織の活動には、創造性の範囲があります。



これらは、会議室と管理室をリスニングから保護し、情報へのさまざまなレベルのアクセスを確立するアーキテクチャおよび計画ソリューションです。



人員の活動を規制するという観点からは、インターネット、外部の電子メール、およびその他のリソースへのアクセスを要求するシステムを完成させることが重要です。 別の要素は、電子メールを介して州機関に送信される金融およびその他の情報のセキュリティを強化するための電子デジタル署名の受信です。



道徳的および倫理的手段には、社会または特定の集団で発展した道徳的基準または倫理的規則が含まれ、その遵守は情報の保護に寄与し、その違反は社会または集団の行動規則の非遵守に相当します。 これらの規範は法的に承認された規範であるため、義務ではありませんが、これらの規範を遵守しないと、権限が低下し、個人または組織の名声が低下します。

正式な情報セキュリティ

正式なセキュリティ機能は、物理、ハードウェア、ソフトウェア、暗号化に分類できる特別なハードウェアとソフトウェアです。



情報保護の物理的手段は 、情報システムとは独立して動作し、それらへのアクセスに障害を引き起こす機械的、電気的、電子的なメカニズムです。



電子ロック、スクリーン、ブラインドを含むロックは、不安定化要因がシステムと接触するための障害を作成するように設計されています。 このグループは、例えばビデオカメラ、DVR、センサーなどのセキュリティシステムによって補足され、情報を取得するための技術機器の場所の領域における電磁放射の動きまたは過剰度を検出します。



ハードウェア情報セキュリティとは、情報および通信システムに組み込まれている電気、電子、光学、レーザー、およびその他のデバイス（特別なコンピューター、従業員管理システム、サーバー、企業ネットワーク保護）を意味します。 偽装を含め、情報へのアクセスを妨げます。



ハードウェアには、ノイズジェネレータ、サージプロテクタ、スキャンラジオ、および情報漏洩の潜在的なチャネルを「ブロック」または検出できるその他の多くのデバイスが含まれます。



情報セキュリティソフトウェアは、情報セキュリティの確保に関連する問題を解決するために設計されたシンプルで包括的なプログラムです。



統合ソリューションの例は、DLPシステムとSIEMシステムです。



DLPシステム （「データ漏洩防止」、文字通り「データ漏洩の防止」）は、それぞれ漏洩の防止、情報の再フォーマット、および情報フローのリダイレクトに役立ちます。



SIEMシステム （「イベントおよび情報セキュリティ管理」を意味する「セキュリティ情報およびイベント管理」）は、ネットワークデバイスおよびアプリケーションからのセキュリティイベント（アラーム）のリアルタイム分析を提供します。 SIEMは、アプリケーション、デバイス、またはサービスによって表され、他のビジネスデータとの互換性のためのデータロギングおよびレポートにも使用されます。



ソフトウェアはハードウェアデバイスの能力を要求するため、インストール中に追加の予備を用意する必要があります。



数学（暗号化） -企業ネットワークまたはグローバルネットワークを介した安全な送信のための暗号化および速記によるデータ保護方法の導入。



暗号化は、データへのアクセスではなく情報自体を保護するため、データを保護する最も信頼できる方法の1つと考えられています。 暗号化された情報は高度に保護されています。



暗号情報保護手段の導入には、ハードウェアとソフトウェアの複合体の作成が含まれ、そのアーキテクチャと構成は、特定の顧客のニーズ、法的要件、タスクと必要な方法、および暗号化アルゴリズムに基づいて決定されます。



これには、暗号化ソフトウェアコンポーネント（暗号化プロバイダー）、VPN組織ツール、認証ツール、キー生成および検証ツール、電子デジタル署名が含まれる場合があります。



暗号化ツールは、GOST暗号化アルゴリズムをサポートし、必要な保護の程度、規制の枠組み、および外部システムを含む他との互換性要件に応じて、必要な暗号保護クラスを提供できます。 同時に、暗号化ツールは、ファイル、ファイルディレクトリ、物理および仮想ストレージメディア、サーバー全体、データストレージシステムなど、情報コンポーネントのセット全体を保護します。



情報保護の主要な方法と手段、および情報の分類を簡単に確認した第2部の結論として、次のことが言えます。情報セキュリティの確保は、保護のすべての側面を含む対策の複合体であるというよく知られた理論が再び確認されたという事実情報の作成と提供に最も慎重かつ真剣に取り組む必要があります。



ゴールデンルールに違反してはならないことを厳守する必要があります。これは統合アプローチです。



情報保護ツールのより視覚的な表現、つまり、分割できない一連の対策として、以下の図2に示します。各ブリックは特定のセグメントの情報保護を表し、ブリックの1つを削除すると、セキュリティリスクが発生します。





図2.情報セキュリティツールの分類。