Инженерно техническое обеспечение безопасности информации

Инженерно-техническое обеспечение безопасности 299

Инженерно-техническая защита — это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах обеспечения безопасности информационных систем.

Для эффективной работы аппаратуры технического противодействия средствам разведки необходимо сочетание трех составляющих:

— правильный подбор техники и ее соответствие техническим параметрам;

— грамотно составленный проект оборудования помещения в соответствии с его индивидуальными особенностями и качественный монтаж;

— соблюдение правил эксплуатации аппаратуры и соблюдение рекомендаций по оперативному использованию технических средств.

Исходя из номенклатуры разведывательной аппаратуры, минимальный набор аппаратуры технического противодействия, позволяющий эффективно обеспечить реальную информационную безопасность, должен в себя включать:

1. Систему подавления акустических закладок по радиоканалу.

2. Систему защиты стен, потолка, пола и оконных стекол от стетоскопов и лазерного микрофона.

3. Систему подавления телефонных закладок и автоматических диктофонов, подключаемых к телефонной линии.

4. Необходимое количество цифровых телефонных скремблеров.

5. Систему постановки помехи по сети питания 127-220 В.

Техническая защита информации

Инженерно-техническая защита (ИТЗ) — это совокупность специальных органов, технических средств и мероприятий по их использованию в целях защиты конфиденциальной информации. По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:

Физические средства , включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;

К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа-выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.

Эти средства (техническая защита информации) применяются для решения следующих задач:

1. охрана территории предприятия и наблюдение за ней;
2. охрана зданий, внутренних помещений и контроль за ними;
3. охрана оборудования, продукции, финансов и информации;
4. осуществление контролируемого доступа в здания и помещения.

Физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов — это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения и от других преступных действий. Средства пожаротушения относятся к системам ликвидации угроз.

В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:

• охранные и охранно-пожарные системы;
• охранное телевидение;
• охранное освещение;
• средства физической защиты.
• аппаратные средства.

Сюда входят приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. Основная задача аппаратных средств — обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;

Аппаратные средства защиты информации — это различные технические устройства, системы и сооружения (техническая защита информации), предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа.

Использование аппаратных средств защиты информации позволяет решать следующие задачи:

• проведение специальных исследований технических средств на наличие возможных каналов утечки информации;
• выявление каналов утечки информации на разных объектах и в помещениях;
• локализация каналов утечки информации;
• поиск и обнаружение средств промышленного шпионажа;
• противодействие НСД (несанкционированному доступу) к источникам конфиденциальной информации и другим действиям.

По назначению аппаратные средства классифицируют на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по техническим возможностям средства защиты информации могут быть общего назначения, рассчитанные на использование непрофессионалами с целью получения общих оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и измерения все характеристик средств промышленного шпионажа.
Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки.

Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств НСД. Аппаратура второго типа предназначается для выявления каналов утечки информации. Определяющими для такого рода систем являются оперативность исследования и надежность полученных результатов.
Профессиональная поисковая аппаратура, как правило, очень дорога, и требует высокой квалификации работающего с ней специалиста. В связи с этим, позволить ее могут себе организации, постоянно проводящие соответствующие обследования.

Программные средства. Программная защита информации — это система специальных программ, реализующих функции защиты информации.

Выделяют следующие направления использования программ для обеспечения безопасности конфиденциальной информации:

• защита информации от несанкционированного доступа;
• защита информации от копирования;
• защита информации от вирусов;
• программная защита каналов связи.
Защита информации от несанкционированного доступа
Для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:
• идентификация субъектов и объектов;
• разграничение доступа к вычислительным ресурсам и информации;
• контроль и регистрация действий с информацией и программами.

Процедура идентификации и подтверждения подлинности предполагает проверку, является ли субъект, осуществляющий доступ, тем, за кого себя выдает.
Наиболее распространенным методом идентификации является парольная идентификация. Практика показала, что парольная защита данных является слабым звеном, так как пароль можно подслушать или подсмотреть, пароль можно перехватить, а то и просто разгадать.

После выполнения процедур идентификации и установления подлинности пользователь получает доступ к вычислительной системе, и защита информации осуществляется на трех уровнях: аппаратуры, программного обеспечения и данных.

Защита от копирования

Средства защиты от копирования предотвращают использование нелегальных копий программного обеспечения и являются в настоящее время единственно надежным средством — защищающим авторское право разработчиков. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом (называемым ключевым) может быть определенная часть компьютера или специальное устройство.

Защита информации от разрушения

Одной из задач обеспечения безопасности для всех случаев пользования компьютером является защита информации от разрушения. Так как причины разрушения информации весьма разнообразны (несанкционированные действия, ошибки программ и оборудования, компьютерные вирусы и пр.), то проведение защитных мероприятий обязательно для всех, кто пользуется компьютером.
Необходимо специально отметить опасность компьютерных вирусов. Вирус компьютерный — небольшая, достаточно сложнаяя и опасная программа, которая может самостоятельно размножаться, прикрепляться к чужим программам и передаваться по информационным сетям. Вирус обычно создается для нарушения работы компьютера различными способами — от «безобидной» выдачи какого-либо сообщения до стирания, разрушения файлов. Антивирус — программа, обнаруживающая и удаляющая вирусы.

Криптографические средства — это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Техническая защита информации путем ее преобразования, исключаю¬щего ее прочтение посторонними лицами, волновала человека с давних времен. Криптография должна обеспечивать такой уровень секретности, чтобы можно было надежно защитить критическую информацию от расшифровки крупными организациями — такими, как мафия, транснациональные корпорации и крупные государства. Криптография в прошлом использовалась лишь в военных целях. Однако сейчас, со станов¬лением информационного общества, она становится инструментом для обеспечения конфиденциальности, доверия, авторизации, электронных платежей, корпоративной безопасности и бесчисленного множества других важных вещей. Почему проблема использования криптографических методов стала в настоящий момент особо актуальна?
С одной стороны, расширилось использование компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера, не допускающего возможность доступа к ней посторонних лиц.
С другой стороны, появление новых мощных компьютеров, технологий сетевых и нейронных вычислений сделало возможным дискредитацию криптографических систем, еще недавно считавшихся практически не раскрываемыми.

Проблемой защиты информации путем ее преобразования занимается криптология (kryptos — тайный, logos — наука). Криптология разделяется на два направления — криптографию и криптоанализ. Цели этих направлений прямо противоположны.
Криптография занимается поиском и исследованием математических методов преобразования информации.
Сфера интересов криптоанализа — исследование возможности расшифровывания информации без знания ключей.

Современная криптография включает в себя 4 крупных раздела:

• Симметричные криптосистемы.
• Криптосистемы с открытым ключом.
• Системы электронной подписи.
• Управление ключами.

Основные направления использования криптографических методов — передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообще¬ний, хранение информации (документов, баз данных) на носителях в за¬шифрованном виде. Криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возмож¬но только при знании ключа.

3.3 Организационно-техническое обеспечение компьютерной безопасности

Организационное обеспечение – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий (101).

Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий: *

Организационно-административные мероприятия предполагают (101): *

минимизацию утечки информации через персонал (организация мероприятий по подбору и расстановке кадров, создание благоприятного климата в коллективе и т. д.); *

организацию специального делопроизводства и документооборота для конфиденциальной информации, устанавливающих порядок подготовки, использования, хранения, уничтожения и учета документированной информации на любых видах носителей; *

выделение специальных защищенных помещений для размещения средств вычислительной техники и связи, а также хранения носителей информации; *

выделение специальных средств компьютерной техники для обработки конфиденциальной информации; *

организацию хранения конфиденциальной информации на промаркированных отчуждаемых носителях в специально отведенных для этой цели местах; *

использование в работе сертифицированных технических и программных средств, установленных в аттестованных помещениях; организацию регламентированного доступа пользователей к работе со средствами компьютерной техники, связи и в хранилище (архив) носителей конфиденциальной информации; *

установление запрета на использование открытых каналов связи для передачи конфиденциальной информации; *

контроль соблюдения требований по защите конфиденциальной информации.

Система организационных мероприятий, направленных на максимальное предотвращение утечки информации через персонал включает: *

оценка у претендентов на вакантные должности при подборе кадров таких личностных качеств, как порядочность, надежность, честность и т. д.; *

ограничение круга лиц, допускаемых к конфиденциальной информации; *

проверка надежности сотрудников, допускаемых к конфиденциальной информации, письменное оформление допуска; *

развитие и поддержание у работников компании корпоративного духа, создание внутренней среды, способствующей проявлению у сотрудников чувства принадлежности к своей организации, позитивного отношения человека к организации в целом (лояльность); *

проведение инструктажа работников, участвующих в мероприятиях, непосредственно относящихся к одному из возможных каналов утечки информации.

Все лица, принимаемые на работу, проходят инструктаж и знакомятся с памяткой о сохранении служебной или коммерческой тайны. Памятка разрабатывается системой безопасности с учетом специфики организации.

Сотрудник, получивший доступ к конфиденциальной информации, подписывает индивидуальное письменное обязательство об ее неразглашении. Обязательство составляется в одном экземпляре и храниться в личном деле сотрудника не менее 5 лет после его увольнения. При увольнении из организации сотрудником дается подписка. Функции отобрания обязательства и подписок возлагаются на кадровый аппарат организации.

Служащий организации, подписывая подобного рода документ, должен четко представлять, что конкретно из конфиденциальной информации является тайной организации. В том числе по этой причине необходимо, чтобы вся конфиденциальная информация была обособлена от остальных сведений, а документы, ее содержащие, носили соответствующий гриф.

Использование обязательств о сохранении конфиденциальной информации позволяет обеспечить ее юридическую защиту, к которой имеет (или имел) доступ персонал организации.

Все руководители, сотрудники и технический персонал должны быть охвачены регулярной подготовкой по вопросам обеспечения информационной безопасности. При этом должно быть два вида обучения: первоначальное и систематическое.

С увольняющимися сотрудниками проводятся беседы, направленные на предотвращение разглашения конфиденциальной информации. Эти обязательства, как правило, подкрепляются соответствующей подпиской.

Организацией конфиденциального делопроизводства является:

– учет документов и организация документооборота;

– обеспечение надежного хранения документов;

– проверка наличия, своевременности и правильности их исполнения;

– своевременное уничтожение документов.

В табл. 4 изложены организационные мероприятия, обеспечивающие защиту документальной информации (106).

Обеспечение информационной безопасности организации

Таблица 4 Составные части делопроизводства Функции обеспечения ИБ при работе с документами Способы выполнения Документирование Предупреждение:

– необоснованного изготовления документов;

– включение в документы избыточной конфиденциальной информации;

– необоснованного завышения степени конфиденциальности документов;

Определение перечня документов

Осуществление контроля за содержанием документов и степени конфиденциальности содержания

Определение реальной степени конфиденциальности сведений, включенных в документ

Осуществление контроля за размножением и рассылкой документов Учет документов Предупреждение утраты (хищения) документов Контроль за местонахождением документа Организация документооборота Предупреждение:

– необоснованного ознакомления с документами;

– неконтролируемой передачи документов

Установление разрешительной системы доступа исполнителей к документам

Установление порядка приема-передачи документов между сотрудниками Хранение документов Обеспечение сохранности документов

Исключение из оборота документов, потерявших ценность Выделение специально оборудованных помещений для хранения документов, исключающих доступ к ним посторонних лиц

Установление порядка подготовки документов для уничтожения Уничтожение документов Исключение доступа к бумажной «стружке» Обеспечение необходимых условий уничтожения

Осуществление контроля за правильностью и своевременностью уничтожения документов Контроль наличия, своевременности и правильности исполнения документов Контроль наличия документов, выполнения требований обработки, учета, исполнения и сдачи Установление порядка проведения наличия документов и порядка их обработки

При выборе и оборудовании специальных защищенных помещений для размещения СКТ и связи, а также хранения носителей информации рекомендуется придерживаться следующих требований (101). Оптимальной формой помещения является квадратная или близкая к ней. Помещение не должно быть проходным для обеспечения контроля доступа, желательно размещать его недалеко от постов охраны, что снижает шансы незаконного проникновения.

Помещение должно быть оборудовано пожарной и охранной сигнализацией, системой пожаротушения, рабочим и аварийным освещением, кондиционированием, средствами связи.

Рабочие помещения должны быть закрыты от посещения посторонних лиц. Всех посетителей (кроме деловых партнеров) должны встречать и сопровождать по территории фирмы работники кадрового аппарата, службы безопасности или охраны. Посетителям взамен удостоверений личности, выдаются разовые карточки гостя, размещаемые на груди или лацкане пиджака. Исключается доступ посторонних лиц в хранилища конфиденциальных документов, зал совещаний, отдел маркетинга, службу безопасности и т.д.

Хранение конфиденциальной информации, полученной в результате резервного копирования, должно осуществляться на промаркированных отчуждаемых носителях в специально отведенных для этой цели местах.

Комплекс организационно-технических мероприятий состоит: *

в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля; *

в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых экранов; *

в организации передачи такой информации по каналам связи только с использованием специальных инженерно-технических средств; *

в организации нейтрализации утечки информации по электромагнитным и акустическим каналам; *

в организации защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации; *

в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.

Организационно-технические мероприятия по обеспечению компьютерной безопасности предполагают активное использование инженерно-технических средств защиты.

Например, в открытых сетях для защиты информации применяют межсетевые экраны (МЭ).

Межсетевые экраны – это локальное или функционально-распределенное программно-аппаратное средство (комплекс средств), реализующее контроль за информацией, поступающей в автоматизированные системы или выходящей из них.

Проведение организационно-экономических мероприятий по обеспечению компьютерной безопасности предполагает: *

стандартизацию методов и средств защиты информации; *

сертификацию средств компьютерной техники и их сетей по требованиям информационной безопасности; *

страхование информационных рисков, связанных с функционированием компьютерных систем и сетей; *

лицензирование деятельности в сфере защиты информации.

Инженерно-техническое обеспечение компьютерной безопасности – это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах обеспечения безопасности предприятия (101).

По области применения технические средства противодействия подразделяются на две категории:

1. Устройства пассивного противодействия: *

средства защиты помещений; *

средства защиты телефонных аппаратов и линий связи; *

средства защиты информации от утечки по оптическому каналу; *

генераторы акустического шума; *

средства защиты компьютерной техники и периферийных устройств и др.

2. Устройства активного противодействия: *

системы поиска и уничтожения технических средств разведки; *

устройства постановки помех.

Принципы обеспечения информационной безопасности на основе инженерно-технического обеспечения (ИТО). Противодействие угрозам несанкционированного доступа к информации (утечке) с помощью специальных технических средств основывается на двух ключевых идеях:

– ликвидация (ослабление) канала утечки информации;

– исключение возможности злоумышленника принимать и воспринимать информацию.

Методы обеспечения информационной безопасности организации на основе ИТО. Методы обеспечения информационной безопасности организации в части угроз НСД к информации реализуют вышеизложенные принципы. Противодействие утечке (НСД) информации осуществляется методом скрытия информации. На рис. 13 приведена классификация методов обеспечения информационной безопасности, основанных на использовании инженерно-технических средств. (101)

Рис. 13 Классификация методов обеспечения информационной безопасности на основе технических средств

Для эффективного применения технических средств обеспечения информационной безопасности необходимо комплексное проведение организационных (в части технических средств), организационно-технических и технических мероприятий. В настоящее время существует развитый арсенал мер и средств обеспечения информационной безопасности от воздействия угроз НСД. Многие из них являются альтернативными, поэтому необходимо выбрать их оптимальный состав.

Для выявления утечки информации необходим систематический контроль возможности образования каналов утечки и оценки их энергетической опасности на границах контролируемой зоны (территории, помещения).

Одним из основных направлений противодействия утечке информации по техническим каналам и обеспечения безопасности информационных ресурсов является проведение специальных проверок (СП) по выявлению электронных устройств перехвата информации и специальных исследований (СИ) на побочные электромагнитные излучения и наводки технических средств обработки информации, аппаратуры и оборудования, в том числе и бытовых приборов.

Защита информации от утечки по техническим каналам в общем плане сводится к следующим действиям: *

Своевременному определению возможных каналов утечки информации. *

Определению энергетических характеристик канала утечки на границе контролируемой зоны (территории, кабинета). *

Оценке возможности средств злоумышленников обеспечить контроль этих каналов. *

Обеспечению исключения или ослабления энергетики каналов утечки соответствующими организационными, организационно-техническими или техническими мерами и средствами.

Защита информации от утечки по визуально-оптическому каналу – это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет распространения световой энергии.

С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется: *

располагать объекты защиты так, чтобы исключить отражение света в стороны возможного расположения злоумышленника (пространственные ограждения); *

уменьшить отражательные свойства объекта защиты; *

уменьшить освещенность объекта защиты (энергетические ограничения); *

использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие преграждающие среды, преграды; *

применять средства маскирования, имитации и другие с целью защиты и введение в заблуждение злоумышленника; *

использовать средства пассивной и активной защиты источника от неконтролируемого распространения отражательного или излученного света и других излучений; *

осуществлять маскировку объектов защиты, варьируя отражательными свойствами и контрастом фона; *

применять маскирующие средства сокрытия объектов можно в виде аэрозольных завес и маскирующих сеток, красок, укрытий.

В качестве оперативных средств сокрытия находят широкое применение аэрозольные завесы.

Аэрозольные образования в виде маскирующих завес обеспечивают индивидуальную или групповую защиту объектов и техники, в том числе и выпускаемую продукцию.

Защита информации по акустическому каналу – это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.

Основными мероприятиями в этом виде защиты выступают организационные и организационно-технические меры.

Организационные меры предполагают проведение архитектурно-планировочных, пространственных и режимных мероприятий, а организационно-технические – пассивных (звукоизоляция, звукопоглощение) и активных (звукоподавление) мероприятий. Не исключается проведение и технических мероприятий за счет применения специальных защищенных средств ведения конфиденциальных переговоров.

Архитектурно-планировочные меры предусматривают предъявление определенных требований на этапе проектирования зданий и помещений или их реконструкцию и приспособление с целью исключения или ослабления неконтролируемого распространения звуковых полей непосредственно в воздушном пространстве или в строительных конструкциях в виде структурного звука. Эти требования могут предусматривать как выбор расположения помещений в пространственном плане, так и их оборудование необходимыми для акустической безопасности элементами, исключающими прямое или отраженное в сторону возможного расположения злоумышленника распространение звука. В этих целях двери оборудуются тамбурами, окна ориентируются в сторону охраняемой (контролируемо) от присутствия посторонних лиц территории и пр.

Режимные меры предусматривают строгий контроль пребывания в контролируемой зоне сотрудников и посетителей.

Организационно-технические меры предусматривают использование звукопоглощающих средств. Пористые и мягкие материалы типа ваты, ворсистые ковры, пенобетон, пористая сухая штукатурка являются хорошими звукоизолирующими и звукопоглощающими материалами – в них очень много поверхностей раздела между воздухом и твердым телом, что приводит к многократному отражению и поглощению звуковых колебаний.

В тех случаях, когда пассивные меры не обеспечивают необходимого уровня безопасности, используются активные средства. К активным средствам относятся генераторы шума – технические устройства, вырабатывающие шумоподобные электронные сигналы.

Эти сигналы подаются на соответствующие датчики акустического или вибрационного преобразования. Акустические датчики предназначены для создания акустического шума в помещениях или вне их, а вибрационные – для маскирующего шума в ограждающих конструкциях. Вибрационные датчики приклеиваются к защищаемым конструкциям, создавая в них звуковые колебания.

Защита информации от утечки по электромагнитным каналам – это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.

Конструкторско-технологические мероприятия по локализации возможности образования условий возникновения каналов утечки информации за счет побочных электромагнитных излучений и наводок в технических средствах обработки и передачи информации сводятся к рациональным конструкторско-технологическим решениям, к числу которых относятся: *

экранирование элементов и узлов аппаратуры; ослабление электромагнитной, емкостной, индуктивной связи между элементами и токонесущими проводами; *

фильтрация сигналов в цепях питания и заземления и другие меры, связанные с использованием ограничителей, развязывающих цепей, систем взаимной компенсации.

Экранирование позволяет защитить их от нежелательных воздействий акустических и электромагнитных сигналов и излучений собственных электромагнитных полей, а также ослабить (или исключить) паразитное влияние внешних излучений.

Эксплуатационные меры ориентированы на выбор мест установки технических средств с учетом особенностей их электромагнитных полей с таким расчетом, чтобы исключить их выход за пределы контролируемой зоны. В этих целях возможно осуществлять экранирование помещений, в которых находятся средства с большим уровнем побочных электромагнитных излучений (ПЭМИ).

Защита от прослушивания средствами ИТО обеспечивается:

– применением звукопоглощающих облицовок, специальных дополнительных тамбуров дверных проемов, двойных оконных переплетов (при использовании направленного микрофона и стетоскопа);

– оклеиванием стекол светопрозрачным материалом, рассеивающим лазерный луч (при использовании лазерных средств);

– использованием специальных аттестованных помещений, исключающих появление каналов утечки акустической конфиденциальной информации.

Средства обнаружения закладных микрофонов включают:

– средства радиоконтроля помещений;

– средства поиска неизлучающих закладных устройств;

– средства подавления закладных устройств.

Защита информации от утечки по материально-вещественному каналу – это комплекс мероприятий, исключающих или уменьшающих возможность неконтролируемого выхода информации за пределы контролируемой зоны в виде производственных или промышленных отходов.

В практике производственной и трудовой деятельности отношение к отходам, прямо скажем, бросовое. В зависимости от профиля работы предприятия отходы могут быть в виде испорченных накладных, фрагментов исполняемых документов, черновиков, бракованных заготовок деталей, панелей, кожухов и других устройств для разрабатываемых моделей новой техники или изделий.

По виду отходы могут быть твердыми, жидкими, газообразными. И каждый из них может бесконтрольно выходить за пределы охраняемой территории. Жидкости сливаются в канализацию, газы уходят в атмосферу, твердые отходы – зачастую просто на свалку. Особенно опасны твердые отходы. Это и документы, и технология и используемые материалы, и испорченные комплектующие. Все это совершенно достоверные, конкретные данные.

Меры защиты этого канала в особых комментариях не нуждаются.

Следует отметить, что при защите информации от утечки по любому из рассмотренных каналов следует придерживаться следующего порядка действий: 1.

Выявление возможных каналов утечки. 2.

Обнаружение реальных каналов. 3.

Оценка опасности реальных каналов. 4.

Локализация опасных каналов утечки информации. 5.

Систематический контроль за наличием каналов и качеством их защиты.

Защита информации от утечки по техническим каналам – это комплекс мероприятий, исключающих или ослабляющих бесконтрольный выход конфиденциальной информации за пределы контролируемой зоны.

Постулаты такой защиты: 1.

Безопасных технических средств нет. 2.

Любой электронный элемент при определенных условиях может стать источником образования канала утечки информации. 3.

Любой канал утечки информации может быть обнаружен и локализован. «На каждый яд есть противоядие». 4.

Канал утечки информации легче локализовать, чем обнаружить.

Для непосредственной организации обеспечения информационной безопасности структурой и штатным расписанием предусматриваются специальные подразделения и сотрудники. Основные функции таких служб заключаются в следующем:

1. На этапе проектирования (совершенствования) системы информационной безопасности:

– формирование требований к системе информационной безопасности;

– участие в разработке компонентов и системы информационной безопасности в целом.

2. На этапе эксплуатации:

– планирование, организация и обеспечение функционирования системы информационной безопасности;

– обучение пользователей и технического персонала организации формам и методам эксплуатации технических средств;

– контроль за соблюдение пользователями и техническим персоналом правил работы и эксплуатации технических средств в части обеспечения информационной безопасности.

Организационно-правовой статус службы безопасности. Многогранность организационной сферы обеспечения безопасности обуславливает создание специальной службы безопасности (СБ), осуществляющей все организационные мероприятия. СБ формируется на основе анализа, оценки и прогнозирования деятельности организации в части решения задач обеспечения ее безопасности.

Служба безопасности – система штатных органов управления и подразделений, предназначенных для обеспечения безопасности организации.

Правовой основой формирования СБ является решение руководства о создании СБ, оформленное соответствующим приказом или распоряжением, либо решением вышестоящей организации, в состав которой входит данная организация.

СБ предприятия подчиняется руководителю службы безопасности, который находится в подчинении руководителя организации. Штатная структура и численность СБ определяется реальными потребностями организации.

Структура и задачи службы безопасности представлены на рис. 14 (106).

Техническое обеспечение безопасности.

Техническое обеспечение безопасности должно базироваться на:

  • системе стандартизации и унификации;
  • системе лицензирования деятельности;
  • системах сертификации средств защиты;
  • системе сертификации технических средств и объектов информатизации;
  • системе аттестации защищенных объектов информатизации.

Основными составляющими обеспечения безопасности ресурсов коммерческого предприятия являются:

  • система физической защиты (безопасности) материальных объекте и финансовых ресурсов;
  • система безопасности информационных ресурсов.

Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:

  • систему инженерно-технических и организационных мер охраны;
  • систему регулирования доступа;
  • систему мер (режима) и контроля вероятных каналов утечки информации;
  • систему мер возврата материальных ценностей.

Система охранных мер должна предусматривать:

  • многорубежность построения охраны (территории, здания, помещения) по нарастающей к наиболее ценной оберегаемой конкретности;
  • комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
  • надежное инженерно-техническое перекрытие вероятных путей несанкционированного вторжения в охраняемые пределы;
  • устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;
  • высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию преступным действиям;
  • самоохрану персонала.

Система регулирования доступа должна предусматривать:

  • объективное определение «надежности» лиц, допускаемых к работе;
  • максимальное ограничение количества лиц, допускаемых на объекты коммерческого предприятия;
  • установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;
  • четкое определение порядка выдачи разрешений и оформления документов для входа (въезда) на объект;
  • определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;
  • оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;
  • высокую подготовленность и защищенность персонала (нарядов) контрольно-пропускных пунктов.

Система мер (режим) сохранности ценностей и контроля должна предусматривать:

  • строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения финансов);
  • максимальное ограничение посещений режимных зон лицами, не участвующими в работе;
  • максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;
  • организацию и осуществление присутственного (явочного) и дистанционного — по техническим каналам (скрытого) контроля за соблюдением режима безопасности;
  • организацию тщательного контроля любых предметов и веществ перемещаемых за пределы режимных зон;
  • обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;
  • соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;
  • организацию тщательного контроля на каналах возможной утечки информации;
  • оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.

Система мер возврата утраченных материальных и финансовых ресурсов слагается из совместных усилий объектовых служб безопасности и государственных органов охраны правопорядка и безопасности.

На объектовую службу безопасности возлагаются:

  • обнаружение противоправного изъятия материальных и финансовых средств из обращения или хранения;
  • оперативное информирование правоохранительных органов о событиях и критических ситуациях;
  • установление субъекта преступления;
  • проведение поиска возможного «схоронения» утраченных средств в районе объекта.

Дальнейший поиск и возврат пропавших ресурсов организуются в установленном порядке через соответствующие органы правопорядка и безопасности.

Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.

При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:

  • защита информационных ресурсов от разглашения; от хищения, уничтожения, искажения и подделки за счет несанкционированного доступа и специальных воздействий;
  • защита информации от утечки вследствие наличия физических полей за счет ПЭМИН (побочные электромагнитные излучения и наводки) на электрические цепи, трубопроводы и конструкции зданий.

В рамках указанных направлений технической политики обеспечения информационной безопасности необходимы:

  • реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;
  • ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатизации, на которых обрабатывается (хранится) информация конфиденциального характера;
  • разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
  • учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;
  • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
  • снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;
  • снижение уровня акустических излучений;
  • электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
  • активное зашумление в различных диапазонах;
  • противодействие оптическим и лазерным средствам наблюдения;
  • проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств («жучков»);
  • предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.

Защита информационных ресурсов от несанкционированного доступа должна предусматривать:

  • обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;
  • персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
  • надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
  • разграничение информации по уровню конфиденциальности, заключающееся в предупреждении размещения сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
  • контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;
  • очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;
  • целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающуюся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.

Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям. В ней устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы)! для каких действий или для какого вида доступа может предоставить и при каких условиях. Система допуска предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Персональная ответственность достигается путем:

  • росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
  • индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
  • проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности при доступе как в автоматизированные системы, так и в выделенные помещения (зоны).

Условие надежности хранения реализуется с помощью:

  • хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;
  • выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;
  • использования криптографического преобразования информации в автоматизированных системах.

Правило разграничения информации по уровню конфиденциальности реализуется с помощью:

  • предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.

Система контроля за действиями исполнителей реализуется посредством:

  • организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;
  • регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;
  • сигнализации о несанкционированных действиях пользователей.

Очистка памяти осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и организационных мероприятий.

Защита информации от утечки за счет ПЭМИН.

Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до уровня, определяемого «Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН», при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.

Первый способ реализуется выбором системно-технических и конструкторских решений при создании технических средств ЭВТ в «защищенном исполнении», а также рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.

Второй способ реализуется в основном за счет применения активных средств защиты в виде «генераторов шума» и специальной системы антенн.

Защита информации в линиях связи.

К основным видам линий связи, используемых для передачи информации, можно отнести проводные (телефонные, телеграфные), радио- и радиорелейные, тропосферные и космические линии связи.

При необходимости передачи по ним конфиденциальной информации основным способом защиты ее от перехвата, искажения и навязывания ложной информации является использование криптографического преобразования информации, а на небольших расстояниях, кроме того, — использование защищенных волоконно-оптических линий связи.

Безопасное использование технических средств информатизации.

Одним из методов технической разведки и промышленного шпионажа является внедрение в конструкцию различных технических средств закладных устройств перехвата, трансляции информации или вывода технических средств из строя.

В целях противодействия такому методу воздействия на объекты технических средств информатизации, предназначенных для обработки конфиденциальной информации, в обязательном порядке проводится проверка этих средств, осуществляемая специализированными организациями с помощью специального оборудования, как правило, в стационарных условиях в соответствии с установленными требованиями.

Защита речевой информации при проведении конфиденциальных переговоров.

Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения закладных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами.

Обеспечение качества работ в системе безопасности.

Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно-технических и методических документов по безопасности, утвержденных федеральными органами государственного управления в соответствии с их компетенцией и определяющих нормы защищенности информации и требования к различным направлениям защиты информации.

В соответствии с этими требованиями должны проводиться предпроектное обследование и проектирование информационных систем, заказ средств защиты информации и контроля, предполагаемых к использованию в этих системах, аттестация объектов информатики, а также контроль защищенности информационных ресурсов.

К основным стандартам и нормативно-техническим документам в области защиты информации от НСД относятся: комплект руководящих документов Гостехкомиссии России (1992 г.), в том числе «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации», «Положение по организации разработки, изготовления и эксплуатации программ и технических средств защиты информации от НСД в АС и ЭВТ».

В совокупности с системой стандартизации единую систему обеспечения качества продукции и услуг по требованиям безопасности информации составляют:

  • сертификация средств и систем вычислительной техники и связи по требованиям безопасности информации;
  • лицензирование деятельности по оказанию услуг в области защиты информации;
  • аттестация средств автоматизации объектов по требованиям безопасности информации.

В соответствии с требованиями, право оказывать услуги сторонним организациям в области защиты информации, предоставлено только организациям, имеющим на этот вид деятельности разрешение (лицензию). Средства и системы вычислительной техники и связи, предназначенные для обработки (передачи) секретной информации, средства защиты и контроля эффективности защиты такой информации, подлежат обязательной сертификации по требованиям безопасности информацию. А объекты информатики, предназначенные для обработки секретной и иной конфиденциальной информации, а также для ведения секретных переговоров, подлежат обязательной аттестации по требованиям безопасности информации.

При разработке системы комплексной защиты информации объекта необходимо максимально использовать имеющиеся сертифицированные по требованиям безопасности информации средства вычислительной техники и связи, средства защиты и контроля защищенности, разрабатывая или заказывая оригинальные технические или программные средства защиты только в случаях, когда имеющимися средствами нельзя достигнуть необходимых результатов. Исходя из этого, при разработке автоматизированных систем различного уровня и назначения, серьезное внимание следует уделить выбору технических средств и общесистемного матобеспечения. Этими же обстоятельствами следует руководствоваться при выборе стратегии развития систем информатизации.

Еще по теме:

  • Билеты пдд онлайн категории cd в гибдд Билеты ПДД CD 2018 Билеты ПДД категорий «CD» и подкатегорий «C1» «D1» для подготовки к экзамену в ГИБДД. Содержание билетов по Правилам Дорожного Движения полностью соответствует […]
  • Юридическая помощь самара СКОРАЯ ЮРИДИЧЕСКАЯ ПОМОЩЬ Юридические услуги по всем отраслям права! Получить консультацию БЕСПЛАТНО Добро пожаловать! Зачастую в нашей жизни возникают ситуации, справиться с которыми без […]
  • Жк рф дом под снос Какими правами обладают собственники жилья, подлежащего сносу? Юридический Яндекс Дзен! Там наши особенные юридические материалы в удобном и красивом формате. Подпишитесь прямо сейчас. В […]
  • Статья 255 упк рф Уголовный процесс Сайт Константина Калиновского Калиновский К. Б., Смирнов А. В. Комментарий к Уголовно-процессуальному кодексу Российской Федерации Постатейный. / Под общ. ред. А.В. […]
  • Протокол согласования цены форма Оформление нового протокола согласования цен для розницы. Печать протокола согласования цен на жизненно важные лекарственные средства. Для печати нового протокола согласования цен на […]
  • Форма договора дарения земельного участка с постройками Договор дарения земельного участка Юридический Яндекс Дзен! Там наши особенные юридические материалы в удобном и красивом формате. Подпишитесь прямо сейчас. Оформление В соответствии с […]