Методы защиты информации от аварийных ситуаций

Защита информации от аварийных ситуаций заключается в создании средств предупреждения, контроля и организационных мер по исключению НСД на комплексе средств автоматизации в условиях отказов его функционирования, отказов системы защиты информации, систем жизнеобеспечения людей на объекте размещения и при возникновении стихийных бедствий.

Практика показывает, что хотя аварийная ситуация - событие редкое (вероятность ее появления зависит от многих причин, в том числе не зависящих от человека, и эти причины могут быть взаимосвязаны), защита от нее необходима, так как последствия в результате ее воздействия, как правило, могут оказаться весьма тяжелыми, а потери - безвозвратными. Затраты на защиту от аварийных ситуаций могут быть относительно малы, а эффект в случае аварии - большим.

Отказ функционирования АСОИ может повлечь за собой отказ системы защиты информации, может открыться доступ к ее носителям, что может привести к преднамеренному разрушению, хищению или подмене носителя. Несанкционированный доступ к внутреннему монтажу аппаратуры может привести к подключению посторонней аппаратуры, разрушению или изменению принципиальной электрической схемы.

Отказ системы жизнеобеспечения может привести к выводу из строя обслуживающего и контролирующего персонала. Стихийные бедствия: пожар, наводнение, землетрясение, удары молнии и т. д. - могут также привести к указанным выше последствиям. Аварийная ситуация может быть создана преднамеренно. Тогда применяются организационные мероприятия.

На случай отказа функционирования АСОИ подсистема контроля вскрытия аппаратуры снабжается автономным источником питания. Для исключения безвозвратной потери информации носители информации дублируются и хранятся в отдельном удаленном и безопасном месте. Для защиты от утечки информация должна храниться в закрытом криптографическим способом виде. В целях своевременного принятия мер по защите системы жизнеобеспечения устанавливаются соответствующие датчики, сигналы с которых поступают на централизованные системы, контроля и сигнализации.

Пожар – типичная угроза. Может возникнуть по вине обслуживающего персонала, при отказе аппаратуры, а также в результате стихийного бедствия.

Организационные мероприятия по защите информации в АСОИ заключаются в разработке и реализации административных и организационно-технических мер при подготовке и эксплуатации системы.

Организационные меры, по мнению зарубежных специалистов, несмотря на постоянное совершенствование технических мер, составляют значительную часть системы защиты. Они используются тогда, когда вычислительная система не может непосредственно контролировать использование информации. Кроме того, в некоторых ответственных случаях в целях повышения эффективности защиты полезно технические меры продублировать организационными.

Организационные меры по защите систем в процессе их подготовки и функционирования охватывают решения и процедуры, принимаемые руководством потребителя системы. Хотя некоторые из них могут определяться внешними факторами, например законами или правительственными постановлениями, большинство проблем решается внутри организации в контрольных условиях.

В большинстве исследований, посвященных проблемам защиты информации, и в существующих зарубежных публикациях основное внимание уделялось либо правовому аспекту и связанным с ним социальным и законодательным проблемам, либо техническим приемам решения специфических проблем защиты. По сравнению с ними организационным вопросам недоставало той четкой постановки, которая присуща техническим проблемам, и той эмоциональной окраски, которая свойственна правовым вопросам.

Составной частью любого плана мероприятий должно быть четкое указание целей, распределение ответственности и перечень организационных мер защиты. Распределение ответственности и функций по реализации защиты от организации к организации может изменяться, но тщательное планирование и точное распределение ответственности являются необходимыми условиями создания эффективной жизнеспособной системы защиты.

Организационные меры по защите информации в АСОИ должны охватывать этапы проектирования, разработки, изготовления, испытаний, подготовки к эксплуатации и эксплуатации системы.

В соответствии с требованиями технического задания в организации проектировщике наряду с техническими средствами разрабатываются и внедряются организационные мероприятия по защите информации на этапе создания системы. Под этапом создания понимаются проектирование, разработка, изготовление и испытание системы. При этом следует отличать мероприятия по защите информации, проводимые организацией-проектировщиком, разработчиком и изготовителем в процессе создания системы и рассчитанные на защиту от утечки информации в данной организации, и мероприятия, закладываемые в проект и разрабатываемую документацию на систему, которые касаются принципов организации защиты в самой системе и из которых вытекают организационные мероприятия, рекомендуемые в эксплуатационной документации организацией-разработчиком, на период ввода и эксплуатации системы. Выполнение этих рекомендации есть определенная гарантия защиты информации в АСОИ.

К организационным мероприятиям по защите информации, в процессе создания системы относятся:

Организация разработки, внедрения и использования средств;

Управление доступом персонала на территорию, в здания, и помещения;

Введение на необходимых участках проведения работ с режимом секретности;

Разработка должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкциями и положениями;

При необходимости выделение отдельных помещений с охранной сигнализацией и пропускной системой;

Разграничение задач по исполнителям и выпуску документации;

Присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учетом и контролем доступа исполнителей;

Постоянный контроль за соблюдением исполнителями режима и соответствующих инструкций;

Установление и распределение ответственных лиц за утечку информации.

Организационные мероприятия, закладываемые в инструкцию по эксплуатации на систему и рекомендуемые организации-потребителю, должны быть предусмотрены на периоды подготовки и эксплуатации системы.

Указанные мероприятия как метод защиты информации предполагают систему организационных мер, дополняющих и объединяющих перечисленные выше технические меры в единую систему безопасности информации

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

хорошую работу на сайт">

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

«Кто владеет информацией - тот владеет миром» - наверно, одно из самых правдивых выражений на сегодняшний день, которое выражает всю суть самой острой проблемы в мире. За всю историю человечества можно привести тысячи примеров кражи информации, которые приводили к самым неприятным и сложным последствиям. Именно поэтому, всю информацию, представляющую хоть какую-то ценность, необходимо защищать, потому что разведывательная деятельность не спит и только совершенствуется.

Несмотря на запреты, действующие в соответствии с Российским законодательством, вероятность утечки конфиденциальной информации, реализованной с помощью современных технических средств, является вполне высокой. Техника и технологии разведки совершенствуются, и это привело к тому, что некоторые способы добычи информации уже вполне обыденные, совсем недорогие и довольно продуктивные. Следовательно, возникает необходимость комплексного пресечения всех возможных каналов утечки информации, а не только наиболее простых и доступных.

Существует несколько каналов связи, по которым передается информация, и все они должны быть защищены надлежащим образом. Что бы избежать ситуаций с утечкой информации, используются различные технические средства, которые не позволяют информации распространяться дальше заданной зоны. Если информация распространилась за пределы контролируемой зоны, то такие каналы называются каналами утечки информации. Также, существует такое понятие, как несанкционированный доступ, к нему можно отнести случаи преднамеренных искажений, кражи, удаления информации со стороны злоумышленника.

В данной работе будут рассмотрены вопросы обеспечения информационной безопасности предприятия, а также возможные угрозы безопасности помещения, предназначенного для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну или конфиденциальную информацию (на примере кабинета руководителя предприятия).

Актуальностью данной работы является необходимость защиты конфиденциальных данных, информации и сведений, утеря, разглашение или искажение которых может повлечь за собой негативные последствия для организации, предприятия и государства, а также, необходимость соответствия информационной системы требованиям нормативно-правовых документов РФ.

Целью данной работы является разработка комплекса рекомендаций по обеспечению информационной безопасности на предприятии, исследование методов защиты информации от технических разведок и от ее утечки по техническим каналам, а также исследование и построение системы инженерно-технической защиты выделенного помещения, предназначенного для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну или конфиденциальную информацию.

Задачи работы

Исследовать угрозы и каналы утечки информации. Рассмотреть реализацию технических мер защиты информации.

Исследовать основные мероприятия по защите информации на предприятии.

Исследовать систему защиты помещения для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну или конфиденциальную информацию (далее помещение). Провести анализ существующей системы инженерно-технической защиты помещения и предложить возможные варианты модернизации системы инженерно-технической защиты помещения;

Работа выполнена в интересах электронно-промышленного предприятия.

На основе общих положений работы предприятия рекомендована политика безопасности и средства ее обеспечения. В работе, на основе анализа каналов утечки информации, предложена система защиты помещения, с учетом многоканального перехвата.

Практическая значимость данной работы состоит в том, чтобы снизить риски утечки конфиденциальной информации и государственной тайны по различным каналам в рассматриваемом кабинете руководителя электронно-промышленного предприятия.

1. ОБЩИЕ ПОНЯТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

информационный безопасность доступ вычислительный

1.1 Определение понятия «защита информации» и ее целей

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

Соблюдение конфиденциальности информации ограниченного доступа;

Реализацию права на доступ к информации.

На сегодняшний день можно выделить несколько видов защищаемой информации и каждый из них имеет свои особенности в области регламентации, организации и осуществления самой защиты. Стоит выделить несколько общих признаков защиты информации любого вида.

Например,

собственник информации сам организует и предпринимает меры по её защите;

защищая свою информацию, собственник ограничивает её от доступа третьих лиц, незаконного завладения или использования в ущерб своим интересам, а также сохраняет свои права на владение и распоряжение этой информацией;

для защиты информации необходимо осуществить комплекс мер по ограничению доступа к ней и создать условия, которые полностью исключат или затруднят несанкционированный доступ к засекреченной (конфиденциальной) информации и ее носителям.

Защита информации делится на решение двух основных групп задач:

a) Удовлетворение информационных потребностей, которые возникают в процессе какой-либо деятельности, то есть обеспечение специалистов организаций, фирм, предприятий секретной или конфиденциальной информацией.

Каждый специалист, в процессе работы может использовать информацию как открытого, так и закрытого типа. Информация открытого типа редко несет что-то стоящее, поэтому тут никаких ограничений нет. При снабжении специалиста засекреченной информацией действуют некоторые ограничения: наличие у этого человека соответствующего допуска (степень секретности информации, к которой он допущен) и разрешения на доступ к конкретной информации. В решении проблемы доступа специалиста к информации закрытого типа всегда существуют противоречия, с одной стороны -- необходимо максимально ограничить его доступ к засекреченной информации и тем самым снизить вероятность утечки этой информации, с другой стороны -- наиболее полно удовлетворить его потребности в информации, в том числе и засекреченной для обоснованного решения им служебных задач. В таком случае необходимо руководствоваться двумя факторами: его служебным положением и решаемой специалистом в настоящее время проблемой.

b) Ограждение засекреченной информации от несанкционированного доступа к ней в злонамеренных целях.

Эта группа, включает такие условия, как:

Создание условий эффективного использования информационных ресурсов;

Обеспечение безопасности защищаемой информации;

Сохранение секретности или конфиденциальности засекреченной информации в соответствии с установленными правилами ее защиты;

Обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальной персональной информации;

Недопущение безнаказанного растаскивания и незаконного использования интеллектуальной собственности;

Защита информационного суверенитета страны и расширение возможности государства по укреплению своего могущества за счет формирования и управления развитием своего информационного потенциала;

Виды защищаемой информации представлены на рисунке 1.

Рисунок 1. Виды защищаемой информации

1.2 Режим секретности или конфиденциальности

Понятие защита информации тесно переплетается с вопросом о режиме секретности или конфиденциальности. Режим секретности -- это осуществление системы защиты информации для определенного, конкретно заданного предприятия, фирмы, завода, лаборатории или конкретной программы, например, такой, как разработка новой продукции.

Вывод таков, что режим секретности или конфиденциальности это полный комплекс мер, выполняющий осуществление системы защиты информации, зависящий от всех факторов, которые имеют влияние на построение -- это системы защиты информации. Главная задача этого режима - обеспечение надлежащего уровня защиты информации. Всё зависит от степени её секретности, чем она выше, тем соответственно более высокий уровень защиты, и соответствующий режим секретности.

Режим секретности - реализация на конкретно заданном объекте действующих норм и правил защиты данных и сведений, включающих в себя тайну, охраняемую законом (государственную, коммерческую и т.д.), определенных и упорядоченных соответствующими законодательными нормативными актами. Группы мер, которые включает в себя режим секретности:

Разрешительную систему, а именно точное определение сотрудников, имеющих доступ к той или иной защищаемой информации и в конкретные помещения, где проводятся работы.

Осуществление пропускного режима необходимого для конкретного режима секретности, необходимой объекту.

Точно установленные правила и порядок работы с секретной документацией или иными носителям защищаемой информации.

Постоянный контроль и предупредительные работы с персоналом, имеющим доступ засекреченные информации, что помогает предотвратить её утечку.

1.3 Информационная безопасность и её цели

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Другими словами, информационная безопасность - это комплекс мер, направленный на обеспечение безопасности информационных активов предприятия. Стоит подчеркнуть, что информационную безопасность можно обеспечить только в случае комплексного подхода. Рассмотрение и решение отдельных вопросов (например, технических или организационных) не решит проблему информационной безопасности предприятия целиком и полностью.

Стратегия информационной безопасности предприятия - комбинация из хорошо продуманных, запланированных действий и быстрых решений по адаптации предприятия к новым возможностям получения конкурентных преимуществ и новым угрозам ослабления её конкурентных позиций.

Главные цели информационной безопасности:

Конфиденциальность

Целостность

Пригодность

1.4 Политика информационной безопасности

Во многих российских предприятиях и компаниях дела с обеспечением информационной безопасности на низком уровне. Это подтверждают результаты статистических исследований и непосредственное общение со специалистами в данной области. Сегодня на предприятиях полноценной процедуры управления рисками информационной безопасности практически не существует. Большинство специалистов-практиков даже не берутся за эту задачу, они отдают предпочтение при решении проблем информационной безопасности руководствоваться только собственным опытом и интуицией. Убытки от нарушений информационной безопасности могут выражаться как в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак, так и материальными ценностями, например, мошенничество в финансовой сфере с применением компьютерных систем.

Политика информационной безопасности - совокупность документированных управленческих решений, нацеленных на защиту информации и ассоциированных с ней ресурсов.

Политику информационной безопасности можно разделить на три уровня.

К самому высокому уровню следует отнести решения, которые касаются организации в целом и исходят от руководства организации или предприятия. Такой список может включать в себя следующие элементы:

Формирование или пересмотр программы обеспечения информационной безопасности;

Постановка целей, которые должна преследовать организация в области информационной безопасности;

Обеспечение законодательной базы;

Формулировка управленческих решений по вопросам реализации программы информационной безопасности.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:

соблюдение существующих законов.

контроль действия лиц, ответственных за выработку программы безопасности.

обеспечение подчинения персонала, соответственно ввести систему поощрений и наказаний.

К среднему уровню относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Например, отношение к недостаточно проверенным технологиям, использование домашних или чужих компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика обеспечения информационной безопасности на среднем уровне должна освещать следующие темы:

Область применения;

Позиция предприятия;

Роли и обязанности;

Законопослушность;

Точки контакта;

Политика безопасности нижнего уровня можно отнести к конкретным сервисам. В нее входят цели и правила их достижения. Если сравнивать нижний уровень с двумя верхними, то он должен быть гораздо детальнее. Этот уровень очень важен для обеспечения режима информационной безопасности. Решения на этом уровне должны приниматься на управленческом, а не техническом уровне.

Политика нижнего уровня при формулировке целей может исходить из трех соображений: целостность, доступность и конфиденциальность.

Из этих целей должны быть выведены правила безопасности, которые описывают, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Но и слишком жесткие правила будут мешать работе, придется тратить время на то, чтобы их пересмотреть. Руководителю в такой ситуации необходимо найти рациональное решение, компромисс, когда за приемлемую цену будет обеспечен достойный уровень безопасности, а работники не будут сильно перегружены или скованны.

2. УГРОЗЫ И КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ, МЕРЫ ЗАЩИТЫ

2.1 Классификация угроз информации

Любые данные, представляющие хоть какую-то ценность всегда находятся под угрозой несанкционированного доступа к ним, случайного или преднамеренного разрушения, или их модификации.

Существует два вида угроз данным - это естественные угрозы и искусственные угрозы.

К естественным угрозам можно отнести угрозы, вызванные воздействиями на информационную систему и ее элементы объективных физических процессов или стихийных природных явлений, которые не зависят от человеческого фактора.

К искусственным угрозам можно отнести угрозы информационной системы и ее элементам, вызванные деятельностью человека. Исходя из мотивации действий, среди искусственных угроз стоит выделить:

преднамеренные (умышленные) преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко злоумышленниками ради получения личной выгоды.

непреднамеренные (неумышленные, случайные). Источником таких угроз может быть выход из строя аппаратных средств, неправильные действия работников или ее пользователей, ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным;

По отношению к информационной системе стоит выделить два варианта источника угроз: внешние и внутренние. Классификация угроз сохранности информации приведена на рисунке 2.

Размещено на http://www.allbest.ru/

Рисунок 2. Классификация угроз сохранности информации

2.2 Модель угроз безопасности информации, обрабатываемой на объекте вычислительной техники

Угроза безопасности информации - совокупность условий и факторов, создающих опасность нарушения информационной безопасности. Другими словами, это потенциальная возможность воздействия на объект защиты (преднамеренная или случайная), из-за которой может произойти потеря или утечка информации, следовательно, будет нанесен ущерб владельцу информации.

Модель угроз безопасности информации представлена на рисунке 3.

Рисунок 3. Модель угроз безопасности информации

2.3 Классификация каналов утечки информации

Каналы утечки информации -- пути и методы утечки информации из информационной системы.

a) Электромагнитный канал. Причиной его возникновения является электромагнитное поле. Электрический ток, протекая в технических средствах обработки информации создает электромагнитное поле. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки).

Электромагнитный канал в свою очередь делится на:

Радиоканал (высокочастотные излучения).

Низкочастотный канал.

Сетевой канал (наводки на провода заземления).

Канал заземления (наводки на провода заземления).

Линейный канал (наводки на линии связи между компьютерами).

b) Акустический канал. Он связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации.

c) Канал несанкционированного копирования.

d) Канал несанкционированного доступа.

Основные каналы утечки представлены на рисунке 4.

Рисунок 4. Основные каналы утечки информации

2.4 Каналы утечки информации на объекте вычислительной техники

2.4.1 Угроза безопасности информации через акустический канал утечки

Несанкционированный доступ к конфиденциальной информации по акустическому каналу утечки (рисунок 5) может осуществляться:

путем непосредственного прослушивания;

с помощью технических средств.

Непосредственное прослушивание переговоров (разговоров) злоумышленником может быть осуществлено:

через дверь;

через открытое окно (форточку);

через стены, перегородки;

через вентиляционные каналы.

Прослушивание переговоров через дверь возможно при условии, если вход в комнату для переговоров выполнен с нарушением требований по звукоизоляции. Не следует также вести переговоры при открытых окнах либо форточках. В этих условиях может быть непосредственный доступ к содержанию переговоров.

Стены, перегородки, потолки, да и пол комнат для ведения переговоров не являются гарантированной защитой от прослушивания, если они не проверены на звукоизоляцию и нет уверенности в том, что они отвечают требованиям по звукоизоляции.

Очень опасными с точки зрения несанкционированного доступа к содержанию переговоров являются вентиляционные каналы. Они позволяют прослушивать разговор в комнате на значительном удалении. Поэтому к оборудованию вентиляционных каналов предъявляются высокие требования.

Использование для прослушивания разговоров направленных микрофонов в настоящее время имеет широкое распространение. При этом дистанция прослушивания в зависимости от реальной помеховой обстановки может достигать сотен метров.

В качестве направленных микрофонов злоумышленники могут использовать:

микрофоны с параболическим отражателем;

резонансные микрофоны;

щелевые микрофоны;

лазерные микрофоны.

Для прослушивания злоумышленники применяют и так называемые проводные микрофоны. Чаще всего используются микрофоны со специально проложенными проводами для передачи информации, а также микрофоны с передачей информации по линии сети 220 в.

Не исключено использование для передачи прослушиваемой информации и других видов коммуникаций (провода сигнализации, радиотрансляции, часофикации и т.д.).

Поэтому при проведении всевозможных ремонтов и реконструкций на это необходимо уделять особое внимание, ибо в противном случае не исключена возможность внедрения таких подслушивающих устройств. Широкое применение у злоумышленников для прослушивания переговоров (разговоров) находят радиомикрофоны. В настоящее-время их насчитывается более 200 различных типов. Обобщенные характеристики радиомикрофонов следующие:

Диапазон частот: 27 - 1500 мГц;

Вес: единицы грамм - сотни грамм;

Дальность действия: 10 - 1600м;

Время непрерывной работы: от нескольких часов-до нескольких лет (в зависимости от способа питания).

Данные устройства представляют собой большую угрозу безопасности ведения переговоров (разговоров). Поэтому необходимо делать все возможное для исключения их наличия в комнатах для переговоров.

В последнее десятилетие злоумышленники стали применять устройства, позволяющие прослушивать разговоры в помещениях на значительном удалении от них (из других районов, городов и т.д.), используя телефонные линии.

Размещено на http://www.allbest.ru/

Рисунок 5. Модель угроз информации через акустический канал утечки

2.4.2 Угроза безопасности информации за счет высокочастотного Навязывания

Сущность прослушивания переговоров с помощью высокочастотного навязывания состоит в подключении к телефонной линии генератора частоты и последующего приема «отраженного» от телефонного аппарата промодулированного ведущимся в комнате разговором сигнала.

Таким образом, анализ угроз конфиденциальной информации, которые содержатся при ведении переговоров (разговоров) показывает, что если не принять мер защиты, то возможен доступ злоумышленников к ее содержанию.

Размещено на http://www.allbest.ru/

Рисунок 6. Модель угроз информации за счет высокочастотного навязывания

2.4.3 Угроза безопасности информации по оптическому каналу утечки

Если переговоры ведутся в комнате, где окна не оборудованы шторами, жалюзями, то в этом случае у злоумышленника появляется возможность с помощью оптических приборов с большим усилением (бинокли, подзорные трубы) просматривать помещение. Видеть, кто в нем находится и что делает.

Лазерный

Рисунок 7. Модель угроз информации по оптическому каналу

2.4.4 Угроза безопасности информации через виброакустический канал утечки

Несанкционированный доступ к содержанию переговоров (разговоров) злоумышленниками может быть также осуществлен (рисунок 8) с помощью стетоскопов и гидроакустических датчиков.

Размещено на http://www.allbest.ru/

Рисунок 8. Модель угроз информации через виброакустический канал утечки

С помощью стетоскопов возможно прослушивание переговоров (разговоров) через стены толщиной до 1 м 20 см (в зависимости от материала).

В зависимости от вида канала передачи информации от самого вибродатчика стетоскопы подразделяются на:

Проводные (проводной канал передачи);

Радио (канал передачи по радио);

Инфракрасные (инфракрасный канал передачи).

Не исключена возможность использования злоумышленниками и гидроакустических датчиков, позволяющих прослушивать разговоры в помещениях, используя трубы водообеспечения и отопления.

2.4.5 Угрозы безопасности информации, вызванные умышленными факторами

Угрозы, вызванные умышленными факторами, могут исходить как со стороны недобросовестных сотрудников организации (лиц, имеющих доступ на объект вычислительной техники (ВТ), пользователей), так и со стороны посторонних лиц (злоумышленников). Некоторые виды умышленных угроз могут быть отнесены к обоим признакам, однако, рассматривать их целесообразно отдельно.

Угрозы, исходящие со стороны пользователей.

К этому виду угроз относятся:

использование штатного способа доступа к системе с целью навязывания запрещенных действий (нештатное изменение атрибутов доступа);

использование служебного положения для получения привилегированного доступа к информации (на объект ВТ) или отмены ограничений, обусловленных требованиями по защите информации;

физическое разрушение системы или вывод из строя ее компонентов;

отключение или вывод из строя подсистем обеспечения безопасности информации;

хищение носителей информации и несанкционированное их копирование;

чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств (просмотр «мусора»);

внедрение аппаратных и программных “закладок”, “вирусов” и “троянских” программ, позволяющих скрытно и незаконно получать информацию с объекта ВТ или получать доступ к модификации (уничтожению) информации обрабатываемой на объекте ВТ.

Угрозы, исходящие со стороны посторонних лиц (злоумышленников).

маскировка под истинного пользователя путем навязывания характеристик его авторизации (использование подобранных или подсмотренных паролей, ключей шифрования, похищенных идентификационных карточек, пропусков и т. п.);

маскировка под истинного пользователя после получения им доступа;

подкуп или шантаж персонала, имеющего определенные полномочия;

хищение носителей информации;

внедрение аппаратных и программных “закладок”, “вирусов” и “троянских” программ, позволяющих скрытно и незаконно получать информацию с объекта ВТ или получать доступ к модификации (уничтожению) информации обрабатываемой на объекте ВТ;

незаконное подключение к линиям связи;

перехват данных, передаваемых по каналам связи;

перехват информации за счет закладных устройств;

2.5 Реализация технических мер защиты информации на объекте ВТ

Для реализации первичных технических мер защиты требуется обеспечить:

* блокирование каналов утечки информации и несанкционированного доступа к ее носителям;

* проверку исправности и работоспособность технических средств объекта ВТ;

* установить средства выявления и индикации угроз, проверить их работоспособность;

* установить защищенные средства обработки информации, средства защиты информации и проверить их работоспособность;

* применить программные средства защиты в средствах вычислительной техники, автоматизированных системах, осуществить их функциональное тестирование и тестирование на соответствие требованиям защищенности;

* использовать специальные инженерно-технические сооружения и средства (системы).

Выбор средств обеспечения защиты информации обусловлен фрагментарным или комплексным способом защиты информации.

Фрагментарная защита обеспечивает противодействие определенной угрозе.

Комплексная защита обеспечивает одновременное противодействие множеству угроз.

Блокирование каналов утечки информации может осуществляться:

* демонтажем технических средств, линий связи, сигнализации и управления, энергетических сетей, использование которых не связано с жизнеобеспечением предприятия и обработкой информации;

* удалением отдельных элементов технических средств, представляющих собой среду распространения полей и сигналов, из помещений, где циркулирует информация;

* временным отключением технических средств, не участвующих в обработке информации, от линий связи, сигнализации, управления и энергетических сетей;

* применением способов и схемных решений по защите информации, не нарушающих основные технические характеристики средств обеспечения информационных данных.

Блокирование несанкционированного доступа к информации или ее носителям может осуществляться:

* созданием условий работы в пределах установленного регламента;

* исключением возможности использования не прошедших проверку (испытания) программных, программно-аппаратных средств.

Средства выявления и индикации угроз применяются для сигнализации и оповещения владельца (пользователя, распорядителя) информации об утечке информации или нарушении ее целостности. Средства защиты информации применяются для пассивного или активного скрытия информации.

Для пассивного скрытия применяются фильтры-ограничители, линейные фильтры, специальные абонентские устройства защиты и электромагнитные экраны.

Для активного скрытия применяются узкополосные и широкополосные генераторы линейного и пространственного зашумления.

Программные средства применяются для обеспечения:

* идентификации и аутентификации пользователей, персонала и ресурсов системы обработки информации;

* разграничения доступа пользователей к информации, средствам вычислительной техники и техническим средствам автоматизированных систем;

* целостности информации и конфигурации автоматизированных систем;

* регистрации и учета действий пользователей;

* маскирования обрабатываемой информации;

* реагирования (сигнализации, отключения, приостановки работ, отказа в запросе) на попытки несанкционированных действий.

По результатам выполнения рекомендаций акта обследования и реализации мер защиты информации следует составить в произвольной форме акт приемки работ по защите информации, который должен быть подписан исполнителем работ, лицом, ответственным за защиту информации, и утвержден руководителем предприятия.

Для определения полноты и качества работ по защите информации следует провести аттестацию. Аттестация выполняется организациями, имеющими лицензии на право деятельности в области защиты информации. Объектами аттестации являются компоненты информационной системы и их отдельные элементы, в которых циркулирует информация, подлежащая технической защите. В ходе аттестации требуется:

Установить соответствие аттестуемого объекта требованиям защиты информации;

Оценить качество и надежность мер защиты информации;

Оценить полноту и достаточность технической документации для объекта аттестации;

Определить необходимость внесения изменений и дополнений в организационно-распорядительные документы.

Технические меры по защите информации на объекте ВТ должны предусматривать:

Ограничение доступа внутрь корпуса компьютера путем установления механических запорных устройств.

Уничтожение всей информации на винчестере компьютера при ее отправке в ремонт с использованием средств низкоуровневого форматирования.

Организацию питания компьютера от отдельного источника питания или от общей (городской) электросети через стабилизатор напряжения (сетевой фильтр) или мотор-генератор.

Использование для отображения информации жидкокристаллических или плазменных дисплеев, а для печати - струйных или лазерных принтеров.

Размещение дисплея, системного блока, клавиатуры и принтера на расстоянии не менее 2,5-3,0 метров от устройств освещения, кондиционирования воздуха, связи (телефона), металлических труб, телевизионной и радиоаппаратуры, а также других компьютеров, не использующихся для обработки конфиденциальной информации.

Отключение компьютера от локальной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случая передачи этой информации по сети.

Установка принтера и клавиатуры на мягкие прокладки с целью снижения утечки информации по акустическому каналу.

Во время обработки ценной информации на компьютере рекомендуется включать устройства, создающие дополнительный шумовой фон (кондиционеры, вентиляторы), а также обрабатывать другую информацию на рядом стоящих компьютерах. Эти устройства должны быть расположены на расстоянии не менее 2,5-3,0 метров.

Уничтожение информации непосредственно после ее использования.

3. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ

3.1 Задачи и принципы организации службы информационной безопасности

На многих предприятиях организуют отделы службы безопасности. В обязанности такой службы входит организация защиты сведений, непосредственно связанных с государственной и коммерческой тайной, обучение сотрудников хранить секреты своей фирмы, разъяснение правил соблюдения защиты информации и политики конфиденциальности фирмы, создание методических документов. Служба безопасности собирает всё необходимое о наличии секретной информации, сроках её хранения, коммерческой тайне данного предприятия, определяет круг лиц, имеющих к ней доступ и контролирует его, чтобы доступ был обеспечен только тем сотрудникам, которым она нужна непосредственно по службе. Так же на службу безопасности обычно возложены такие обязанности, как отслеживание информации о состоянии рынка, конкурентах, анализировать и контролировать попытки конкурирующих фирм получить доступ к защищаемой информации, а также уметь четко и быстро устранять недостатки в области защиты коммерческой тайны.

Организуется специальная система доступа к конфиденциальной информации - целый комплекс административно-правовых норм, организующий доступ информации исполнителями или руководителем секретных работ. Целью этой системы является обезопасить работу от несанкционированного получения секретной информации. Подразделяется эта система на:

разрешительную систему доступа к секретной документации;

систему шифров и пропусков для доступа в помещения, где ведутся секретные работы.

Обеспечивает физическую сохранность носителей секретной информации и предотвращение доступа посторонних на территорию секретных работ система охраны. Система охраны - комплекс мероприятий, средств, сил и мероприятий, преграждающих доступ посторонних к защищаемой информации.

Комплекс мер, направленных на защиту конфиденциальной информации, осуществляемый руководством, администрацией и системой безопасности, это:

ежедневный контроль над соблюдением сотрудниками правил защиты информации;

соблюдение всеми сотрудниками правил внутреннего распорядка, пожарной безопасности, инструкций по защите сведений и т.д.;

контроль над прохождением на территорию посторонних лиц и отслеживание их передвижений;

выявления каналов утечки информации и меры по их перекрытию;

предотвращение разглашения защищаемой информации в открытых публикациях;

работа с клиентами, ведение переговоров с партнерами и т.д., важно заключение взаимовыгодных соглашений, а не получение информации о защищаемой информации.

Правовая защита информации.

Правовые меры, регулирующие вопросы защиты секретной и конфиденциальной информации, делят на две группы:

нормативные акты, регламентирующие правила и процедуры защиты информации;

нормативные акты, устанавливающие ответственность за покушение на сведения.

Уголовно-правовые нормы по своему содержанию являются, с одной стороны, запрещающими, то есть они под страхом применения мер уголовного наказания запрещают гражданам нарушать свои обязанности и совершать преступления, а с другой стороны, они обязывают соответствующие органы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершении преступления, к уголовной ответственности.
Кроме того, нарушения режима секретности, правил сохранения государственной и коммерческой тайны, не являющиеся преступлением, могут повлечь материальное, дисциплинарное или административное взыскание в соответствии с действующими нормативными актами: отстранение от работы, связанной с секретами или перевод на другую работу, менее оплачиваемую и тоже не связанную с засекреченной информацией.

Организационная защита информации.

Эта группа мер преследует цель организации работы по выполнению правил, процедур и требований защиты государственной и коммерческой тайны на основе правил, установленных законами и подзаконными правовыми актами (инструкциями, положениями и т.п.).

Организационные меры по защите информации подразумевают, прежде всего, работу с кадрами, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации. Нормативно-правовые организационные режимные меры-это основа для решения вопрос защиты информации о соблюдение принципа максимального ограничения числа лиц, которые имеют к секретным работам и документам. Организационные меры защиты информации требуют детального соблюдения правил секретного делопроизводства, чтобы исключить или свести к минимуму утрату секретных документов. Основное назначение организационных мер защиты информации -- предупредить несанкционированный доступ к государственным или коммерческим секретам и утечку защищаемой информации.

Инженерно-техническая защита информации.

Это отдельное направление защиты информации. Развитие технических средств разведки (ТСР) потребовало от государства создания целой системы мер противодействия сбору разведывательной информации с помощью ТСР.

Инженерно-технические меры защиты информации -- это комплекс организационных и инженерно-технических мероприятий, направленных на исключение или существенное затруднение добыванию с помощью ТСР защищаемой информации. Главное здесь, что каждое действие требует противодействие. Противостоять ТСР с помощью только организационных режимных мер явно недостаточно, так как ТСР не знают границ и на их деятельность не влияют погодные условия.

Инженерно-технические меры защиты информации делятся на три группы:

Обще предупредительные меры, включающие правовое регулирование использования технических средств в процессе осуществления международных связей; установление и поддержание режимов, направленных на предотвращение утечки защищаемой информации по каналам, доступным ТСР и др.;

организационные меры включают в себя такие мероприятия, как анализ и обобщение информации о ТСР и выработка путей защиты этих параметров;

технические меры включают комплекс инженерно-технических средств и мероприятий, используемых для скрытия от ТСР защищаемых сведений об объектах защиты и технической дезинформации соперника.

3.2 Охраняемые сведения и объекты защиты информации предприятия

Целью мероприятий по защите информации, проводимых на объектах предприятия, является снижение риска получения ущерба в условиях действия преднамеренных и непреднамеренных угроз информационной безопасности. Достижение требуемого уровня информационной безопасности должно быть обеспечено системным применением организационных, организационно-технических, технических и программно-технических мер на всех этапах эксплуатации объектов предприятия.

Указанная цель достигается путем рационального и взаимосвязанного решения на объектах предприятия следующих задач, увязанных единым замыслом:

a. определения сведений, информационных ресурсов и процессов, которые необходимо защитить;

b. анализа демаскирующих признаков, раскрывающих охраняемые сведения об объектах защиты, каналов утечки, хищения, несанкционированного доступа и воздействия на защищаемую информацию;

c. оценки возможностей технических разведок и криминальных структур по получению защищаемой информации, несанкционированному доступу и воздействию на информационные ресурсы и процессы, оценки реальной опасности утечки информации, искажения, модификации, уничтожения или блокирования информационных ресурсов и процессов;

d. разработки и внедрения технически и экономически обоснованных мероприятий по защите информации с учетом выявленных возможных каналов ее утечки, воздействий и доступа;

e. организации и проведения контроля эффективности защиты информации на объектах информатизации предприятия.

К охраняемым сведениям, защищаемым информационным ресурсам и процессам на всех этапах жизненного цикла объектов предприятия относятся:

a) Речевая информация, содержащая сведения, отнесенные к государственной тайне.

b) Информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, представленные в виде носителей на магнитной и оптической основе, информативных электрических сигналов, электромагнитных полей, информационных массивов и баз данных.

При анализе безопасности охраняемых сведений и информационных ресурсов, должны рассматриваться все возможные виды угроз.

Подлежащие защите объекты информатизации предприятия по требованиям обеспечения информационной безопасности относятся к одной из трех групп:

a. Первая группа - основные технические средства и системы, а также их комплектующие с помещениями, в которых они размещены.

b. Вторая группа - выделенные помещения, специально предназначенные для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну, а также оборудованные средствами правительственной связи и иных видов специальной связи

c. Третья группа - вспомогательные технические средства и системы, установленные в выделенных помещениях.

К основным техническим средствам относятся:

a) Отдельные автоматизированные рабочие места структурных подразделений предприятия, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну.

b) Средства обработки речевой, графической, видео информации, используемой для обработки секретной информации.

c) Средства для изготовления и размножения секретных документов.

d) Средства и системы связи, в которых циркулирует секретная информация.

К выделенным помещениям III категории относятся служебные кабинеты и рабочие комнаты подразделений предприятия, в которых проводятся обсуждения и переговоры по вопросам со степенью секретности не выше «секретно», а также актовые залы, предназначенные для закрытых мероприятий.

К выделенным помещениям II категории относятся помещения, специально выделенные для проведения совещаний по совершенно секретным вопросам, а также служебные кабинеты руководящего состава предприятия и основных его подразделений в которых могут вестись обсуждения и переговоры по совершенно секретным вопросам.

К вспомогательным относятся технические средства и системы, не предназначенные для обработки, передачи и хранения секретной информации, размещенные в выделенных помещениях, а также совместно с основными техническими средствами и системами.

3.3 Организационные и технические мероприятия по защите информации

Защита информации на объектах предприятия должна осуществляться посредством выполнения комплекса мероприятий, направленных на: скрытие или существенное затруднение добывания с помощью технических средств разведки охраняемых сведений об объектах защиты; предотвращение утечки информации или воздействия на информационные ресурсы и процессы по техническим каналам и за счет несанкционированного доступа к ним; предупреждение преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации (информационных технологий) в процессе ее обработки, передачи и хранения или нарушения работоспособности технических средств.

Исходя из перечня основных угроз информационной безопасности, в комплексе мероприятий по защите информации на объектах предприятия можно выделить несколько направлений:

Защита от утечки по техническим каналам секретной речевой (акустической) информации, обсуждаемой в помещениях объектов предприятия.

Защита основных технических средств и систем от утечки информации, составляющей государственную тайну, по каналам побочных электромагнитных излучений и наводок

Защита информации от несанкционированного доступа, в том числе от компьютерных вирусов и других программно-технических воздействий, от хищения технических средств с находящейся в них информацией или отдельных носителей информации.

Защита информации от воздействия источников дестабилизирующих (разрушающих) электромагнитных излучений, а также от уничтожения и искажения информации через специально внедренные электронные и программные средства (закладки).

Организация защиты от утечки по техническим каналам секретной речевой (акустической) информации предполагает проведение комплекса организационно-технических мероприятий, направленных на устранение акустического и виброакустического каналов утечки информации, а также технических каналов, возникающих при эксплуатации вспомогательных технических средств и за счет внедрения электронных устройств перехвата информации.

Проведение специальной проверки выделенных помещений, а также размещенных в них технических средств иностранного производства с целью выявления возможно внедренных в них электронных устройств перехвата информации (закладок).

Выполнение организационно-режимных мероприятий по допуску и охране выделенных помещений.

Установка в выделенных помещениях технических средств (оконечных устройств телефонной связи, радиотрансляции, сигнализации, электрочасофикации и т.д.), сертифицированных по требованиям безопасности информации либо защищенных по результатам специальных исследований сертифицированными средствами защиты.

Исключение использования в выделенных помещениях радиотелефонов, оконечных устройств сотовой связи.

Выполнение требований по звукоизоляции и виброакустической защите ограждающих конструкций выделенных помещений, их систем вентиляции и кондиционирования. Повышение звукоизоляции ограждающих конструкций помещений или установка активных средств защиты проводятся по результатам проведенных измерений отношения информативный сигнал/шум в местах возможного перехвата информации.

Оформление технических паспортов по вопросам защиты информации на выделенные помещения осуществляет главный специалист по информационной безопасности предприятия с привлечением подразделений, эксплуатирующих здания, системы электроснабжения, коммуникации и технические средства, а также подразделений, располагающихся в выделенных помещениях.

Организация и проведение аттестации выделенных помещений по требованиям безопасности информации с оформлением "Аттестата соответствия". Аттестация проводится организацией, имеющей соответствующую лицензию ФСТЭК России.

В целях защиты информации, обрабатываемой всеми видами основных технических средств и систем, организуется и проводится комплекс организационно-технических мероприятий, направленный на исключение или существенное снижения уровня побочных электромагнитных излучений и наводок в линиях связи и коммуникациях, имеющих выход за пределы контролируемой зоны объектов предприятия.

К таким мероприятиям относятся:

Проведение специальной проверки основных технических средств иностранного производства с целью выявления возможно внедренных в них электронных устройств перехвата информации (закладок).

Проведение специальных исследований основных технических средств и систем и выдача предписания на эксплуатацию.

Выполнение требований предписаний на эксплуатацию по размещению основных технических средств и систем относительно границ контролируемой зоны.

Выполнение требований предписаний на эксплуатацию по размещению основных технических средств и систем относительно вспомогательных технических средств и систем, имеющих выход за пределы контролируемой зоны.

Выполнение требований предписаний на эксплуатацию по защите системы электропитания основных технических средств и систем.

Выполнение требований предписаний на эксплуатацию по защите системы заземления основных технических средств и систем.

Оформление технических паспортов по вопросам защиты информации на основные технические средства и системы осуществляет главный специалист по информационной безопасности предприятия совместно с подразделением, эксплуатирующим данные средства.

В целях защиты информации и информационных процессов (технологий) в системах информатизации (автоматизированных системах) проводятся мероприятия по их защите от несанкционированного доступа и программно-технических воздействий, в том числе от компьютерных вирусов. Защите подлежат автоматизированные системы, предназначенные для обработки информации, составляющей государственную тайну.

Мероприятия по защите автоматизированных систем, предназначенных для обработки информации, составляющей государственную тайну, от несанкционированного доступа к информации направлены на достижение трех основных свойств защищаемой информации: конфиденциальность, целостность, доступность.

Мероприятия по защите информации при нахождении на объектах предприятия иностранных представителей, порядок их реализации и ответственность должностных лиц за их выполнение определяются отдельной инструкцией о приеме иностранных граждан.

Мероприятия по обеспечению информационной безопасности выполняются на всех этапах жизненного цикла объектов предприятия и являются неотъемлемой частью работ по их созданию и эксплуатации.

На стадии эксплуатации объекта предприятия, системы информатизации и средств защиты информации в ее составе осуществляются:

Администрирование систем информатизации и связи с целью обеспечения информационной безопасности при их эксплуатации, в том числе:

управление доступом в систему и к ее элементам;

формирование и распределение реквизитов полномочий пользователей в соответствии с установленными правилами разграничения доступа;

формирование и распределение ключевой и парольной информации;

регистрация и учет действий в системе;

учет носителей информации;

обеспечение сигнализации о попытках нарушения защиты;

поддержание функционирования криптографической подсистемы защиты информации;

поддержание функционирования технических и программных средств и систем защиты информации в установленных эксплуатационной документацией режимах;

контроль целостности эксплуатируемого на средствах вычислительной техники программного обеспечения с целью выявления несанкционированных изменений в нем, а также выполнения мероприятий по антивирусной защите носителей информации и сообщений, получаемых по каналам связи;

инструктаж персонала и пользователей технических средств передачи, обработки и хранения информации по правилам работы со средствами защиты информации;

участие в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации.

Организация и контроль эксплуатации средств физической защиты, исключающих несанкционированный доступ к объектам защиты и техническим средствам, их хищение и нарушение работоспособности.

Периодическая проверка помещений на отсутствие возможно внедренных радиоэлектронных средств перехвата информации.

Периодическое обследование выделенных помещений, средств и систем информатизации.

Периодическая проверка автоматизированных рабочих мест на выполнение требований по антивирусной защите.

Периодическая аттестация объектов защиты.

Контроль проведения ремонтных и сервисных работ в выделенных помещениях, а также на технических средствах и их коммуникациях

3.4 Программно-технические методы и средства защиты информации от несанкционированного доступа на объекте ВТ

Технической основой системы защиты информации от несанкционированного доступа являются программно-технические методы и средства.

Для того чтобы сформировать оптимальный комплекс программно-технических методов и средств защиты информации, необходимо пройти следующие этапы:

Определение информационных и технических ресурсов, подлежащих защите;

Выявление полного множества потенциально возможных угроз и каналов утечки;

Проведение оценки уязвимости информации для выявленных угроз и каналов утечки;

Определение требований к системе защиты информации;

Осуществление выбора средств защиты информации и их характеристик;

Внедрение и организация использования выбранных мер, способов и средств защиты;

Осуществление контроля целостности и управление системой защиты.

Совокупность защитных методов и средств включает в себя:

Программные средства и методы;

Аппаратные средства;

Защитные (криптографические) преобразования;

Организационные мероприятия.

Программные методы защиты - это совокупность алгоритмов и программ, обеспечивающих разграничение доступа и исключение несанкционированного использования информации.

Сущность аппаратной или схемной защиты состоит в том, что в устройствах и технических средствах обработки информации предусматривается наличие специальных технических решений, обеспечивающих защиту и контроль информации, например, экранирующие устройства, локализующие электромагнитные излучения или схемы проверки информации на четность, осуществляющей контроль правильности передачи информации между различными устройствами информационной системы.

Подобные документы

Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.

контрольная работа , добавлен 09.04.2011


Наиболее распространённые пути несанкционированного доступа к информации, каналы ее утечки. Методы защиты информации от угроз природного (аварийного) характера, от случайных угроз. Криптография как средство защиты информации. Промышленный шпионаж.

реферат , добавлен 04.06.2013


Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".

курсовая работа , добавлен 05.09.2013


Варианты управления компьютером при автономном режиме. Классификация угроз безопасности, каналов утечки информации. Программно-аппаратные комплексы и криптографические методы защиты информации на ПЭВМ. Программная система "Кобра", утилиты наблюдения.

контрольная работа , добавлен 20.11.2011


Пути несанкционированного доступа, классификация угроз и объектов защиты. Методы защиты информации в системах управления производством. Основные каналы утечки информации при обработке ее на компьютере. Информационные потоки организации ООО "ТД Искра".

курсовая работа , добавлен 15.03.2016


Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".

дипломная работа , добавлен 05.06.2011


Понятие и типы мобильной системы связи. Особенности построения и функционирования. Система обеспечения защиты информации. Понятие и классификация угроз. Виды представления информации и возможные каналы ее утечки. Сценарии несанкционированного доступа.

курсовая работа , добавлен 23.11.2013


Моделирование объектов защиты информации. Структурирование защищаемой информации. Моделирование угроз безопасности: способы физического проникновения, технические каналы утечки информации, угрозы от стихийных источников. Инженерно-техническое мероприятия.

курсовая работа , добавлен 13.07.2012


Анализ информации, обрабатываемой на объекте, и программно-аппаратных средств обработки информации. Организационные методы контроля доступа. Программно-аппаратные и технические устройства защиты, датчикового контроля, видеонаблюдения и сигнализации.

реферат , добавлен 22.11.2014


Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.

ХОРЕВ Анатолий Анатольевич, доктор технических наук, профессор

Организация защиты информации от утечки по техническим каналам

Общие положения

К защищаемой информацииотносится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации . Это, как правило, информация ограниченного доступа, содержащая сведения, отнесенные к государственной тайне, а также сведения конфиденциального характера.

Защита информации ограниченного доступа (далее - защищаемой информации) от утечки по техническим каналам осуществляется на основе Конституции Российской Федерации, требований законов Российской Федерации “Об информации, информатизации и защите информации”, “О государственной тайне”, “О коммерческой тайне”, других законодательных актов Российской Федерации, “Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам”, утвержденного Постановлением Правительства РФ от 15.09.93 № 912-51, “Положения о лицензировании деятельности предприятий, организаций и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны”, утвержденного Постановлением Правительства РФ от 15 апреля 1995 г. № 333, “Положения о государственном лицензировании деятельности в области защиты информации”, утвержденного Постановлением Правительства РФ от 27 апреля 1994 г. № 10, “Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации” утвержденного Постановлением Правительства РФ от 27 мая 2002 г. № 348, с изменениями и дополнениями от 3 октября 2002 г. № 731, “Положения о сертификации средств защиты информации”, утвержденного Постановлением Правительства РФ от 26 июня 1995 г. № 608, Постановлений Правительства Российской Федерации “О лицензировании деятельности по технической защите конфиденциальной информации” (от 30 апреля 2002 г. № 290, с изменениями и дополнениями от 23 сентября 2002 г. № 689 и от 6 февраля 2003 г. № 64), “О лицензировании отдельных видов деятельности” (от 11 февраля 2002 г. № 135), а также “Положения по аттестации объектов информатизации по требованиям безопасности информации”, утвержденного Председателем Гостехкомиссии России 25 ноября 1994 г., и других нормативных документов.

Требования и рекомендации нормативных документов распространяются на защиту государственных информационных ресурсов. При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования нормативных документов носят рекомендательный характер.

Режим защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (далее - конфиденциальной информации), устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством Российской Федерации.

Мероприятия по защите конфиденциальной информации от утечки по техническим каналам (далее - технической защите информации) являются составной частью деятельности предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению их информационной безопасности.

Защита конфиденциальной информации от утечки по техническим каналам должна осуществляться посредством выполнения комплекса организационных и технических мероприятий, составляющих систему технической защиты информации на защищаемом объекте (СТЗИ), и должна быть дифференцированной в зависимости от установленной категории объекта информатизации или выделенного (защищаемого) помещения (далее – объекта защиты).

Организационные мероприятия по защите информации от утечки по техническим каналам в основном основываются на учете ряда рекомендаций при выборе помещений для установки технических средств обработки конфиденциальной информации (ТСОИ) и ведения конфиденциальных переговоров, введении ограничений на используемые ТСОИ, вспомогательные технические средства и системы (ВТСС) и их размещение, а также введении определенного режима доступа сотрудников предприятия (организации, фирмы) на объекты информатизации и в выделенные помещения.

Технические мероприятия по защите информации от утечки по техническим каналам основываются на применении технических средств защиты и реализации специальных проектных и конструкторских решений.

Техническая защита информации осуществляется подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководителями организаций для проведения таких работ. Для разработки мер по защите информации могут привлекаться сторонние организации, имеющие лицензии ФСТЭК или ФСБ России на право проведения соответствующих работ.

Перечень необходимых мер защиты информации определяется по результатам специального обследования объекта защиты, сертификационных испытаний и специальных исследований технических средств, предназначенных для обработки конфиденциальной информации.

Уровень технической защиты информации должен соответствовать соотношению затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов.

Защищаемые объекты должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России на соответствие установленным нормам и требованиям по защите информации. По результатам аттестации дается разрешение (аттестат соответствия) на обработку конфиденциальной информации на данном объекте.

Ответственность за обеспечение требований по технической защите информации возлагается на руководителей организаций, эксплуатирующих защищаемые объекты.

В целях своевременного выявления и предотвращения утечки информации по техническим каналам должен осуществляться контроль состояния и эффективности защиты информации. Контроль заключается в проверке по действующим методикам выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Защита информации считается эффективной, если принятые меры соответствуют установленным требованиям и нормам. Организация работ по защите информации возлагается на руководителей подразделений, эксплуатирующих защищаемые объекты, а контроль за обеспечением защиты информации - на руководителей подразделений по защите информации (служб безопасности).

Установка технических средств обработки конфиденциальной информации, а также средств защиты информации должна выполняться в соответствии с техническим проектом или техническим решением. Разработка технических решений и технических проектов на установку и монтаж ТСОИ, а также средств защиты информации производится подразделениями по защите информации (службами безопасности предприятий) или проектными организациями, имеющими лицензию ФСТЭК, на основании технических заданий на проектирование, выдаваемых заказчиками.

Технические решения по защите информации от утечки по техническим каналам являются составной частью технологических, планировочных, архитектурных и конструктивных решений и составляют основу системы технической защиты конфиденциальной информации.

Непосредственную организацию работ по созданию СТЗИ осуществляет должностное лицо, обеспечивающее научно-техническое руководство проектированием объекта защиты.

Разработка и внедрение СТЗИ может осуществляться как силами предприятий (организаций, фирм), так и другими специализированными организациями, имеющими лицензии ФСТЭК и (или) ФСБ России на соответствующий вид деятельности.

В случае разработки СТЗИ или ее отдельных компонентов специализированными организациями в организации - заказчике определяются подразделения или отдельные специалисты, ответственные за организацию и проведение мероприятий по защите информации, которые должны осуществлять методическое руководство и участвовать в специальном обследовании защищаемых объектов, аналитическом обосновании необходимости создания СТЗИ, согласовании выбора ТСОИ, технических и программных средств защиты, разработке технического задания на создание СТЗИ, организации работ по внедрению СТЗИ и аттестации объектов защиты.

Порядок организации на предприятии работ по созданию и эксплуатации объектов информатизации и выделенных (защищаемых) помещений определяется в специальном “Положении о порядке организации и проведения на предприятии работ по защите информации от ее утечки по техническим каналам” с учетом конкретных условий, которое должно определять:

• порядок определения защищаемой информации;
• порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СТЗИ, их задачи и функции на различных стадиях создания и эксплуатации защищаемого объекта;
• порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
• порядок разработки, ввода в действие и эксплуатацию защищаемых объектов;
• ответственность должностных лиц за своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СТЗИ.

На предприятии (учреждении, фирме) должен быть документально оформлен перечень сведений, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

При организации работ по защите утечки по техническим каналам информации на защищаемом объекте можно выделить три этапа :

• первый этап (подготовительный, предпроектный);
• второй этап (проектирование СТЗИ);
• третий этап (этап ввода в эксплуатацию защищаемого объекта и системы технической защиты информации).

Подготовительный этап создания системы технической защиты информации

На первом этапе осуществляется подготовка к созданию системы технической защиты информации на защищаемых объектах, в процессе которой проводится специальное обследование защищаемых объектов, разрабатывается аналитическое обоснование необходимости создания СТЗИ и техническое (частное техническое) задание на ее создание.

При проведении специального обследования защищаемых объектов с привлечением соответствующих специалистов проводится оценка потенциальных технических каналов утечки информации.

Для анализа возможных технических каналов утечки на объекте изучаются :

• план (в масштабе) прилегающей к зданию местности в радиусе до 150 - 300 м с указанием (по возможности) принадлежности зданий и границы контролируемой зоны;
• поэтажные планы здания с указанием всех помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
• план-схема инженерных коммуникаций всего здания, включая систему вентиляции;
• план-схема системы заземления объекта с указанием места расположения заземлителя;
• план-схема системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
• план-схема прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
• план-схема систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок.

Устанавливается: когда был построен объект (здание), какие организации привлекались для строительства, какие организации в нем ранее располагались.

При анализе условий расположения объекта определяются граница контролируемой зоны, места стоянки автомашин, а также здания, находящиеся в прямой видимости из окон защищаемых помещений за пределами контролируемой зоны. Определяются (по возможности) принадлежность этих зданий и режим доступа в них.

Путем визуального наблюдения или фотографирования из окон защищаемых помещений устанавливаются окна близлежащих зданий, а также места стоянки автомашин, находящиеся в прямой видимости. Проводится оценка возможности ведения из них разведки с использованием направленных микрофонов и лазерных акустических систем разведки, а также средств визуального наблюдения и съемки.

Устанавливается месторасположение трансформаторной подстанции, электрощитовой, распределительных щитов. Определяются здания и помещения, находящиеся за пределами контролируемой зоны, которые запитываются от той же низковольтной шины трансформаторной подстанции, что и защищаемые объекты. Измеряется длина линий электропитания от защищаемых объектов до возможных мест подключения средств перехвата информации (распределительных щитов, помещений и т.п.), находящихся за пределами контролируемой зоны. Проводится оценка возможности приема информации, передаваемой сетевыми закладками (при их установке в защищаемых помещениях), за пределами контролируемой зоны.

Определяются помещения, смежные с защищаемыми и находящиеся за пределами контролируемой зоны. Устанавливаются их принадлежность и режим доступа в них. Определяется возможность доступа с внешней стороны к окнам защищаемых помещений. Проводится оценка возможности утечки речевой информации из защищаемых помещений по акустовибрационным каналам.

Определяются соединительные линии вспомогательных технических средств и систем (линии телефонной связи, оповещения, систем охранной и пожарной сигнализации, часофикации и т.п.), выходящие за пределы контролируемой зоны, места расположения их распределительных коробок. Измеряется длина линий от защищаемых объектов до мест возможного подключения средств перехвата информации за пределами контролируемой зоны. Проводится оценка возможности утечки речевой информации из защищаемых помещений по акустоэлектрическим каналам.

Определяются инженерные коммуникации и посторонние проводники, выходящие за пределы контролируемой зоны, измеряется их длина от защищаемых объектов до мест возможного подключения средств перехвата информации.

Устанавливается месторасположение заземлителя, к которому подключен контур заземления защищаемого объекта. Определяются помещения, расположенные за пределами контролируемой зоны, которые подключены к тому же заземлителю.

Определяются места установки на объектах информатизации ТСОИ и прокладки их соединительных линий.

Проводится оценка возможности перехвата информации, обрабатываемой ТСОИ, специальными техническими средствами по электромагнитным и электрическим каналам утечки информации.

В современных условиях целесообразно провести технический контроль по оценке реальных экранирующих свойств конструкций здания звуко- и виброизоляции помещений в целях учета их результатов при выработке мер защиты ТСОИ и выделенных помещений.

Предпроектное обследование может быть поручено специализированной организации, имеющей соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям организации - заказчика при методической помощи специализированной организации.

Ознакомление специалистов этой организации с защищаемыми сведениями осуществляется в установленном в организации - заказчике порядке.

После проведения предпроектного специального обследования защищаемого объекта группой (комиссией), назначенной руководителем предприятия (организации, фирмы), проводится аналитическое обоснование необходимости создания СТЗИ, в процессе которого:

• определяется перечень сведений, подлежащих защите (перечень сведений конфиденциального характера утверждается руководителем организации);
• проводится категорирование сведений конфиденциального характера, подлежащих защите;
• определяется перечень лиц, допущенных до сведений конфиденциального характера, подлежащих защите;
• определяется степень участия персонала в обработке (обсуждении, передаче, хранении и т.п.) информации, характер их взаимодействия между собой и со службой безопасности;
• разрабатывается матрица допуска персонала к сведениям конфиденциального характера, подлежащих защите;
• определяется (уточняется) модель вероятного противника (злоумышленника, нарушителя);
• проводятся классификация и категорирование объектов информатизации и выделенных помещений;
• проводится обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования и внедрения СТЗИ;
• проводится оценка материальных, трудовых и финансовых затрат на разработку и внедрение СТЗИ;
• определяются ориентировочные сроки разработки и внедрения СТЗИ.

Основным признаком конфиденциальной информации является ее ценность для потенциального противника (конкурентов). Поэтому, определяя перечень сведений конфиденциального характера, их обладатель должен определить эту ценность через меру ущерба, который может быть нанесен предприятию при их утечке (разглашении). В зависимости от величины ущерба (или негативных последствий), который может быть нанесен при утечке (разглашении) информации, вводятся следующие категории важности информации:

• 1 категория
– информация, утечка которой может привести к потере экономической или финансовой самостоятельности предприятия или потери ее репутации (потери доверия потребителей, смежников, поставщиков и т.п.);
• 2 категория
– информация, утечка которой может привести к существенному экономическому ущербу или снижению ее репутации;
• 3 категория
– информация, утечка разглашение которой может нанести экономический ущерб предприятию.

С точки зрения распространения информации ее можно разделить на две группы:

• первая группа (1)
– конфиденциальная информация, которая циркулирует только на предприятии и не предназначенная для передачи другой стороне;
• вторая группа (2)
– конфиденциальная информация, которая предполагается к передаче другой стороне или получаемая от другой стороны.

Следовательно, целесообразно установить шесть уровней конфиденциальности информации (табл. 1).

Таблица 1. Уровни конфиденциальности информации

Величина ущерба (негативных последствий), который может быть нанесен при разглашении конкретной информации	Уровень конфиденциальности информации
	информация, не подлежащая передаче другим предприятиям (организациям)	информация, предназначенная для передачи другим предприятиям (организациям) или полученная от них
Утечка информации может привести к потере экономической или финансовой самостоятельности предприятия или потери ее репутации
Утечка информации может привести к существенному экономическому ущербу или снижению репутации предприятия
Утечка информации может нанести экономический ущерб предприятию

При установлении режима доступа к конфиденциальной информации необходимо руководствоваться принципом - чем больше ущерб от разглашения информации, тем меньше круг лиц, которые к ней допущены.

Режимы доступа к конфиденциальной информации должны быть увязаны с должностными обязанностями сотрудников.

В целях ограничения круга лиц, допущенных к сведениям, составляющим коммерческую тайну, целесообразно введение следующих режимов доступа к ней:

• режим 1
– обеспечивает доступ ко всему перечню сведений конфиденциального характера. Устанавливается руководящему составу предприятия;
• режим 2
– обеспечивает доступ к сведениям при выполнении конкретных видов деятельности (финансовая, производственная, кадры, безопасность и т.п.). Устанавливается для руководящего состава отделов и служб;
• режим 3
– обеспечивает доступ к определенному перечню сведений при выполнении конкретных видов деятельности. Устанавливается для сотрудников - специалистов конкретного отдела (службы) в соответствии с должностными обязанностями.

Таким образом, после составления перечня сведений конфиденциального характера необходимо установить уровень их конфиденциальности, а также режим доступа к ним сотрудников.

Разграничение доступа сотрудников предприятия (фирмы) к сведениям конфиденциального характера целесообразно осуществлять или по уровням (кольцам) конфиденциальности в соответствии с режимами доступа, или по так называемым матрицам полномочий, в которых в строках перечислены должности сотрудников предприятия (фирмы), а столбцах - сведения, включенные в перечень сведений, составляющих коммерческую тайну. Элементы матрицы содержат информацию об уровне полномочий соответствующих должностных лиц (например, “+” – доступ к сведениям разрешен, “-” – доступ к сведениям запрещен).

Далее определяется (уточняется) модель вероятного противника (злоумышленника, нарушителя), которая включает определение уровня оснащения противника, заинтересованного в получении информации, и его возможностей по использованию тех или иных технических средств разведки для перехвата информации.

В зависимости от финансового обеспечения, а также возможностей доступа к тем или иным средствам разведки, противник имеет различные возможности по перехвату информации. Например, средства разведки побочных электромагнитных излучений и наводок, электронные устройства перехвата информации, внедряемые в технические средства, лазерные акустические системы разведки могут использовать, как правило, разведывательные и специальные службы государств.

Для обеспечения дифференцированного подхода к организации защиты информации от утечки по техническим каналам защищаемые объекты должны быть отнесены к соответствующим категориям и классам.

Классификация объектов проводится по задачам технической защиты информации и устанавливает требования к объему и характеру комплекса мероприятий, направленных на защиту конфиденциальной информации от утечки по техническим каналам в процессе эксплуатации защищаемого объекта.

Защищаемые объекты целесообразно разделить на два класса защиты (табл. 2).

К классу защиты А относятся объекты, на которых осуществляется полное скрытие информационных сигналов, которые возникают при обработке информации или ведении переговоров (скрытие факта обработки конфиденциальной информации на объекте).

К классу защиты Б относятся объекты, на которых осуществляется скрытие параметров информационных сигналов, возникающих при обработке информации или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте).

Таблица 2. Классы защиты объектов информатизации и выделенных помещений

При установлении категории защищаемого объекта учитываются класс его защиты, а также финансовые возможности предприятия по закрытию потенциальных технических каналов утечки информации. Защищаемые объекты целесообразно разделить на три категории.

Категорирование защищаемых объектов информатизации и выделенных помещений проводится комиссиями, назначенными руководителями предприятий, в ведении которых они находятся. В состав комиссий, как правило, включаются представители подразделений, ответственных за обеспечение безопасности информации, и представители подразделений, эксплуатирующих защищаемые объекты.

• определяются объекты информатизации и выделенные помещения, подлежащие защите;
• определяется уровень конфиденциальности информации, обрабатываемой ТСОИ или обсуждаемой в выделенном помещении, и производится оценка стоимости ущерба, который может быть нанесен предприятию (организации, фирме) вследствие ее утечки;
• для каждого объекта защиты устанавливается класс защиты (А или Б) и определяются потенциальные технические каналы утечки информации и специальные технические средства, которые могут использоваться для перехвата информации (табл. 3, 4);
• определяется рациональный состав средств защиты, а также разрабатываются организационные мероприятия по закрытию конкретного технического канала утечки информации для каждого объекта защиты;
• для информации, отнесенной к конфиденциальной и предоставленной другой стороной, определяется достаточность мер, принятых по ее защите (меры или нормы по защите информации определяются соответствующим договором);
• проводится оценка стоимости мероприятий (организационных и технических) по закрытию конкретного технического канала утечки информации для каждого объекта защиты;
• с учетом оценки возможностей вероятного противника (конкурента, злоумышленника) по использованию для перехвата информации тех или иных технических средств разведки, а также с учетом стоимости закрытия каждого канала утечки информации и стоимости ущерба, который может быть нанесен предприятию вследствие ее утечки, определяется целесообразность закрытия тех или иных технических каналов утечки информации;
• после принятия решения о том, какие технические каналы утечки информации необходимо закрывать, устанавливается категория объекта информатизации или выделенного помещения (табл. 5).

Результаты работы комиссии оформляются актом, который утверждается должностным лицом, назначившим комиссию.

Таблица 3. Потенциальные технические каналы утечки информации, обрабатываемой ПЭВМ

Технические каналы утечки информации	для перехвата информации
Электромагнитный (перехват побочных электромагнитных излучений ТСОИ)	Средства разведки побочных электромагнитных излучений и наводок (ПЭМИН), установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны
Электрический (перехват наведенных электрических сигналов)	Средства разведки ПЭМИН, подключаемые к линиям электропитания ТСОИ, соединительным линиям ВТСС, посторонним проводникам, цепям заземления ТСОИ за пределами контролируемой зоны
Высокочастотное облучение ТСОИ	Аппаратура “высокочастотного облучения”, установленная в ближайших строениях или смежных помещениях, находящихся за пределами контролируемой зоны
Внедрение в ТСОИ электронных устройств перехвата информации	Аппаратные закладки модульного типа, устанавливаемые в системный блок или периферийные устройства в процессе сборки, эксплуатации и ремонта ПЭВМ: аппаратные закладки для перехвата изображений, выводимых на экран монитора, устанавливаемые в мониторы ПЭВМ; аппаратные закладки для перехвата информации, вводимой с клавиатуры ПЭВМ, устанавливаемые в клавиатуру; аппаратные закладки для перехвата информации, выводимой на печать, устанавливаемые в принтер; аппаратные закладки для перехвата информации, записываемой на жесткий диск ПЭВМ, устанавливаемые в системный блок. Аппаратные закладки, скрытно внедряемые в блоки, узлы, платы и отдельные элементы схем ПЭВМ на стадии их изготовления

Таблица 4. Потенциальные технические каналы утечки речевой информации

Технические каналы утечки информации	Специальные технические средства, используемые для перехвата информации
Прямой акустический (через щели, окна, двери, технологические проемы, вентиляционные каналы и т.д.)	направленные микрофоны, установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны; специальные высокочувствительные микрофоны, установленные в воздуховодах или в смежных помещениях, принадлежащих другим организациям; электронные устройства перехвата речевой информации с датчиками микрофонного типа, установленные в воздуховодах, при условии неконтролируемого доступа к ним посторонних лиц; прослушивание разговоров, ведущихся в выделенном помещении, без применения технических средств посторонними лицами (посетителями, техническим персоналом) при их нахождении в коридорах и смежных с выделенным помещениях (непреднамеренное прослушивание)
Акустовибрационный (через ограждающие конструкции, трубы инженерных коммуникаций и т.д.)	электронные стетоскопы, установленные в смежных помещениях, принадлежащих другим организациям; электронные устройства перехвата речевой информации с датчиками контактного типа, установленные на инженерно-технических коммуникациях (трубы водоснабжения, отопления, канализации, воздуховоды и т.п.) и внешних ограждающих конструкциях (стены, потолки, полы, двери, оконные рамы и т.п.) выделенного помещения, при условии неконтролируемого доступа к ним посторонних лиц
Акустооптический (через оконные	лазерные акустические локационные системы, установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны
Акустоэлектрический (через соединительные линии ВТСС)	специальные низкочастотные усилители, подключаемые к соединительным линиям ВТСС, обладающим “микрофонным” эффектом, за пределами контролируемой зоны; аппаратура “высокочастотного навязывания”, подключаемая к соединительным линиям ВТСС, обладающим “микрофонным” эффектом, за пределами контролируемой зоны
Акустоэлектромагнитный (параметрический)	специальные радиоприемные устройства, установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны, перехватывающие ПЭМИ на частотах работы высокочастотных генераторов, входящих в состав ВТСС, обладающих “микрофонным” эффектом; аппаратура “высокочастотного облучения”, установленная в ближайших строениях или смежных помещениях, находящихся за пределами контролируемой зоны

Задача технической защиты информации	Закрываемые технические каналы утечки информации
Полное скрытие информационных сигналов, возникающих при обработке информации техническим средством или ведении переговоров (скрытие факта обработки конфиденциальной информации на объекте)
Скрытие параметров информационных сигналов, возникающих при обработке информации техническим средством или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте)	все потенциальные технические каналы утечки информации
Скрытие параметров информационных сигналов, возникающих при обработке информации техническим средством или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте)	наиболее опасные технические каналы утечки информации

После установления категории объекта защиты оцениваются возможности по созданию и внедрению СТЗИ силами предприятия (организации, фирмы) или проводится обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования и внедрения СТЗИ. Проводится оценка материальных, трудовых и финансовых затрат на разработку и внедрение СТЗИ, определяются ориентировочные сроки разработки и внедрения СТЗИ.

Результаты аналитического обоснования необходимости создания СТЗИ оформляются пояснительной запиской, которая должна содержать :

• перечень сведений конфиденциального характера с указанием их уровня конфиденциальности;
• перечень сотрудников предприятия, допущенных до конфиденциальной информации, с указанием их режима доступа, а при необходимости и матрицы доступа;
• информационную характеристику и организационную структуру объектов защиты;
• перечень объектов информатизации, подлежащих защите, с указанием их категорий;
• перечень выделенных помещений, подлежащих защите, с указанием их категорий;
• перечень и характеристику технических средств обработки конфиденциальной информации с указанием их места установки;
• перечень и характеристику вспомогательных технических средств и систем с указанием их места установки;
• предполагаемый уровень оснащения вероятного противника (конкурента, злоумышленника);
• технические каналы утечки информации, подлежащие закрытию (устранению);
• организационные мероприятия по закрытию технических каналов утечки информации;
• перечень и характеристику предлагаемых к использованию технических средств защиты информации с указанием их места установки;
• методы и порядок контроля эффективности защиты информации;
• обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования;
• оценку материальных, трудовых и финансовых затрат на разработку и внедрение СТЗИ;
• ориентировочные сроки разработки и внедрения СТЗИ;
• перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования СТЗИ.

Пояснительная записка подписывается руководителем группы (комиссии), проводившей аналитическое обоснование, согласовывается с руководителем службы безопасности и утверждается руководителем предприятия.

На основе аналитического обоснования и действующих нормативно-методических документов по защите информации от утечки по техническим каналам, с учетом установленного класса и категории защищаемого объекта задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СТЗИ.

Техническое задание (ТЗ) на разработку СТЗИ должно содержать:

• обоснование разработки;
• исходные данные объекта защиты в техническом, программном, информационном и организационном аспектах;
• ссылку на нормативно-методические документы, с учетом которых будет разрабатываться и приниматься в эксплуатацию СТЗИ;
• конкретные требования к СТЗИ;
• перечень предполагаемых к использованию технических средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения;
• перечень подрядных организаций - исполнителей различных видов работ;
• перечень предъявляемой заказчику научно-технической продукции и документации.

Техническое задание на проектирование СТЗИ защищаемого объекта оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Стадия проектирования системы технической защиты информации

Для разработки технического проекта на создание системы технической защиты информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Технический проект СТЗИ должен содержать:

• титульный лист;
• схемы систем активной защиты (если они предусмотрены техническими заданием на проектирование);
• инструкции и руководства по эксплуатации технических средств защиты для пользователей и ответственных за обеспечение безопасности информации на объекте информатизации.

Технический проект, рабочие чертежи, смета и другая проектная документация должны быть учтены в установленном порядке.

Технический проект согласовывается со службой (специалистом) безопасности заказчика, органа по защите информации проектной организации, представителями подрядных организаций - исполнителей видов работ и утверждается руководителем проектной организации.

При разработке технического проекта необходимо учитывать следующие рекомендации :

• в выделенных помещениях необходимо устанавливать сертифицированные технические средства обработки информации и вспомогательные технические средства;
• для размещения ТСОИ целесообразно выбирать подвальные и полуподвальные помещения (они обладают экранирующими свойствами);

• кабинеты руководителей организации, а также особо важные выделенные помещения рекомендуется располагать на верхних этажах (за исключением последнего) со стороны, менее опасной с точки зрения ведения разведки;
• необходимо предусмотреть подвод всех коммуникаций (водоснабжение, отопление, канализация, телефония, электросеть и т.д.) к зданию в одном месте. Вводы коммуникаций в здание целесообразно сразу ввести в щитовое помещение и обеспечить закрытие его входа и установку сигнализации или охраны;
• в случае если разделительный трансформатор (трансформаторная подстанция), от которой осуществляется электропитание защищаемых технических средств и выделенных помещений, расположен за пределами контролируемой зоны, необходимо предусмотреть отключение от низковольтных шин подстанции, от которых осуществляется питание защищаемых объектов, потребителей, находящихся за контролируемой зоной;
• электросиловые кабели рекомендуется прокладывать от общего силового щита по принципу вертикальной разводки на этажи с горизонтальной поэтажной разводкой и с установкой на каждом этаже своего силового щитка. Аналогичным образом должны прокладываться соединительные кабели вспомогательных технических средств, в том числе кабели систем связи;
• число вводов коммуникаций в зону защищаемых помещений должно быть минимальным и соответствовать числу коммуникаций. Незадействованные посторонние проводники, проходящие через защищаемые помещения, а также кабели (линии) незадействованных вспомогательных технических средств должны быть демонтированы;
• прокладка информационных цепей, а также цепей питания и заземления защищаемых технических средств должна планироваться таким образом, чтобы был исключен или уменьшен до допустимых пределов их параллельный пробег с различными посторонними проводниками, имеющими выход за пределы контролируемой зоны;
• для заземления технических средств (в том числе вспомогательных), установленных в выделенных помещениях, необходимо предусмотреть отдельный собственный контур заземления, расположенный в пределах контролируемой зоны. Если это невозможно, необходимо предусмотреть линейное зашумление системы заземления объекта;
• необходимо исключить выходы посторонних проводников (различных трубопроводов, воздухопроводов, металлоконструкций здания и т.п.), в которых присутствуют наведенные информативные сигналы, за пределы контролируемой зоны. Если это невозможно, необходимо предусмотреть линейное зашумление посторонних проводников;
• прокладку трубопроводов и коммуникаций горизонтальной разводки рекомендуется осуществлять открытым способом или за фальшпанелями, допускающими их демонтаж и осмотр;
• в местах выхода трубопроводов технических коммуникаций за пределы выделенных помещений рекомендуется устанавливать гибкие виброизолирующие вставки с заполнением пространства между ними и строительной конструкцией раствором на всю толщину конструкции. В случае невозможности установки вставок потребуется оборудование трубопроводов системой вибрационного зашумления;
• необходимо предусматривать прокладку вертикальных стояков коммуникаций различного назначения вне пределов зоны выделенных помещений;
• ограждающие конструкции выделенных помещений, смежные с другими помещениями организации, не должны иметь проемы, ниши, а также сквозные каналы для прокладки коммуникаций;
• систему приточно-вытяжной вентиляции и воздухообмена зоны выделенных помещений целесообразно сделать отдельной, она не должна быть связана с системой вентиляции других помещений организации и иметь свой отдельный забор и выброс воздуха;
• короба системы вентиляции рекомендуется выполнять из неметаллических материалов. Внешняя поверхность коробов вентиляционной системы, выходящих из выделенной зоны или отдельных важных помещений, должна предусматривать их отделку звукопоглощающим материалом. В местах выхода коробов вентиляционных систем из выделенных помещений рекомендуется установить мягкие виброизолирующие вставки из гибкого материала, например брезента или плотной ткани. Выходы вентиляционных каналов за пределами зоны выделенных помещений должны быть закрыты металлической сеткой;
• в помещениях, оборудованных системой звукоусиления, целесообразно применять облицовку внутренних поверхностей ограждающих конструкций звукопоглощающими материалами;
• дверные проемы в особо важных помещениях необходимо оборудовать тамбурами;
• декоративные панели отопительных батарей должны быть съемными для осмотра;
• в особо важных выделенных помещениях не рекомендуется использование подвесных потолков, особенно неразборной конструкции;
• для остекления особо важных выделенных помещений рекомендуется применение солнцезащитных и теплозащитных стеклопакетов;
• полы особо важных выделенных помещений целесообразно делать без плинтусов;
• в выделенных помещениях не рекомендуется применять светильники люминесцентного освещения. Светильники с лампами накаливания следует выбирать на полное сетевое напряжение без применения трансформаторов и выпрямителей.

Ввод в эксплуатацию системы технической защиты информации

На третьем этапе силами монтажных и строительных организаций осуществляется выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам по монтажу технических средств обработки информации, вспомогательных технических средств, а также проведения технических мероприятий по защите информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Монтажной организацией или заказчиком проводятся закупка сертифицированных ТСОИ и специальная проверка несертифицированных ТСОИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации (“закладок”) и их специальные исследования.

По результатам специальных исследований ТСОИ уточняются мероприятия по защите информации. В случае необходимости вносятся соответствующие изменения в технический проект, которые согласовываются с проектной организацией и заказчиком.

Проводятся закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка в соответствии с техническим проектом.

Службой (специалистом) безопасности организуется контроль проведения всех мероприятий по защите информации, предусмотренных техническим проектом.

В период установки и монтажа ТСОИ и средств защиты информации особое внимание должно уделяться обеспечению режима и охране защищаемого объекта.

• организацию охраны и физической защиты помещений объекта информатизации и выделенных помещений, исключающих несанкционированный доступ к ТСОИ, их хищение и нарушение работоспособности, хищение носителей информации;
• при проведении реконструкции объекта должен быть организован контроль и учет лиц и транспортных средств, прибывших и покинувших территорию проводимых работ;
• рекомендуется организовать допуск строителей на территорию и в здание по временным пропускам или ежедневным спискам;
• копии строительных чертежей, особенно поэтажных планов помещений, схем линий электропитания, связи, систем охранной и пожарной сигнализации и т.п. должны быть учтены, а их число ограничено. По окончании монтажных работ копии чертежей, планов, схем и т.п. подлежат уничтожению установленным порядком;
• необходимо обеспечить хранение комплектующих и строительных материалов на складе под охраной;
• не рекомендуется допускать случаев проведения монтажных операций и отделочных работ, выполняемых одиночными рабочими, особенно в ночное время;
• на этапе отделочных работ необходимо обеспечить ночную охрану здания.

К некоторым мероприятиям по организации контроля в этот период можно отнести:

• перед монтажом необходимо обеспечить скрытную проверку всех монтируемых конструкций, особенно установочного оборудования, на наличие разного рода меток и отличий их друг от друга, а также закладных устройств;
• необходимо организовать периодический осмотр зон выделенных помещений в вечернее или в нерабочее время при отсутствии в нем строителей в цельях выявления подозрительных участков и мест;
• организовать контроль за ходом всех видов строительных работ на территории и в здании. Основная функция контроля заключается в подтверждении правильности технологии строительно-монтажных работ и соответствия их техническому проекту;
• организовать осмотр мест и участков конструкций, которые по технологии подлежат закрытию другими конструкциями. Такой контроль может быть организован легально под легендой необходимости проверки качества монтажа и материалов или скрытно;
• необходимо тщательно проверять соответствие монтажных схем и количество прокладываемых проводов техническому проекту. Особое внимание необходимо уделять этапу ввода проводных коммуникаций и кабелей в зону выделенных помещений. Все прокладываемые резервные провода и кабели необходимо нанести на план-схему с указанием мест их начала и окончания.

При проведении контроля особое внимание необходимо обращать на следующие моменты:

• несогласованное с заказчиком изменение количественного состава бригад, изменение их персонального состава, особенно в период длительных по времени однотипных процессов;
• наличие отклонений от согласованной или стандартной технологии строительно-монтажных работ;
• недопустимы большие задержки по времени выполнения стандартных монтажных операций;
• неожиданная замена типов строительных материалов и элементов конструкций;
• изменение схем и порядка монтажа конструкций;
• проведение работ в обеденное или в нерабочее время, особенно ночью;
• психологические факторы поведения отдельных строителей в присутствии контролирующих и т.п.

Перед установкой в выделенные помещения и на объекты информатизации мебели и предметов интерьера технические устройства и средства оргтехники должны проверяться на отсутствие закладных устройств. Одновременно целесообразно провести проверку технических средств на уровни побочных электромагнитных излучений. Такую проверку целесообразно проводить в специально оборудованном помещении или на промежуточном складе.

После отделки рекомендуется провести всесторонний анализ здания на возможность утечки информации по акустическим и вибрационным каналам. По результатам измерений с учетом реальной ситуации по режиму охраны должны быть разработаны дополнительные рекомендации по усилению мер защиты, если имеет место невыполнение требований по защите.

До начала монтажа ТСОИ и средств защиты информации заказчиком определяются подразделения и лица, планируемые к назначению ответственными за эксплуатацию СТЗИ. В процессе монтажа средств защиты и их опытной эксплуатации происходит обучение назначенных лиц специфике работ по защите информации.

Совместно с представителями проектной и монтажной организаций ответственными за эксплуатацию СТЗИ осуществляется разработка эксплуатационной документации на объект информатизации и выделенные помещения (технических паспортов объектов, инструкций, приказов и других документов).

Технический паспорт на объект защиты разрабатывается лицом, назначенным ответственным за эксплуатацию и безопасность информации на данном объекте, и включает:

• пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
• перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
• перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
• перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
• перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
• перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
• схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границ контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
• технологические поэтажные планы здания (в масштабе) с указанием мест расположения объектов информатизации и выделенных помещений, характеристик их стен, перекрытий, материалов отделки, типов дверей и окон;
• планы объектов информатизации (в масштабе) с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
• план-схему инженерных коммуникаций всего здания, включая систему вентиляции;
• план-схему системы заземления объекта, с указанием места расположения заземлителя;
• план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
• план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
• план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
• схемы систем активной защиты (если они предусмотрены).

К техническому паспорту прилагаются:

• предписания на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
• сертификаты соответствия требованиям безопасности информации на ВТСС;
• сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
• акты на проведенные скрытые работы;
• протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин;
• протоколы измерения величины сопротивления заземления;
• протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки.

После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.

По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.

По завершении ввода в эксплуатацию СТЗИ проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации.

При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (“закладных устройств”), возможно внедренных в выделенные помещения, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.

В период эксплуатации периодически должны проводиться специальные обследования и проверки выделенных помещений и объектов информатизации. Специальные обследования должны проводиться под легендой для сотрудников организации или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей организации и сотрудников службы безопасности).

Литература

1. Абалмазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам. – М.: Гротек, 1997, с. 248.
2. Гавриш В.Ф. Практическое пособие по защите коммерческой тайны. – Симферополь: Таврида, 1994, с. 112.
3. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. (Принят и введен в действие Постановлением Госстандарта России от 12 мая 1999 г. № 160).
4. Доктрина информационной безопасности Российской Федерации (Принята 9 сентября 2000 г. № ПР-1895).
5. Организация и современные методы защиты информации. Информационно-справочное пособие. – М.: Ассоциация "Безопасность", 1996, c. 440с.
6. Противодействие экономическому шпионажу: сборник публикаций журнала “Защита информации. Конфидент” 1994 – 2000. – Санкт-Петербург: Конфидент, 2000, c. 344.
7. Максимов Ю.Н., Сонников В.Г., Петров В.Г. и др. Технические методы и средства защиты информации. – Санкт-Петербург: ООО Издательство Полигон, 2000, c. 320.
8. Торокин А.А. Инженерно-техническая защита информации: Учеб. пособие для студентов, обучающихся по специальностям в обл. информ. безопасности. – М.: Гелиос АРВ, 2005, c. 960.
9. Хорев А.А. Способы и средства защиты информации: Учеб. пособие. – М.: МО РФ, 2000, c. 316.

5.1. Разработка мер, и обеспечение защиты конфиденциальной информации осуществляются подразделением по защите конфиденциальной информации (службой безопасности) или отдельными специалистами, назначаемыми руководителем органа исполнительной власти для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии ФСТЭК России и ФСБ России на право осуществления соответствующих работ.

5.2. Для защиты конфиденциальной информации, используются сертифицированные по требованиям безопасности технические средства защиты.

5.3. Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России.

5.4. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителя органа исполнительной власти, эксплуатирующего объекты информатизации.

5.5. Техническая защита информации в защищаемых помещениях.

К основным мероприятиям по технической защите конфиденциальной информации в ЗП относятся:

5.5.1. Определение перечня ЗП по результатам анализа циркулирующей в них конфиденциальной информации и условий ее обмена (обработки), в соответствии с нормативными документами ФСТЭК России.

5.5.2. Назначение сотрудников, ответственных за выполнение требований по технической защите конфиденциальной информации в ЗП, далее сотрудники, ответственные за безопасность информации.

5.5.3. Разработка частных инструкций по обеспечению безопасности информации в ЗП.

5.5.4. Обеспечение эффективного контроля за доступом в ЗП, а также в смежные помещения.

5.5.5. Инструктирование сотрудников, работающих в ЗП о правилах эксплуатации ПЭВМ, других технических средств обработки информации, средств связи с соблюдением требований по технической защите конфиденциальной информации.

5.5.6. Проведение в ЗП обязательных визуальных (непосредственно перед совещаниями) и инструментальных (перед ответственными совещаниями и периодически раз в квартал) проверок на наличие внедренных закладных устройств, в том числе осуществление контроля всех посторонних предметов, подарков, сувениров и прочих предметов, оставляемых в ЗП.

5.5.7. Исключение неконтролируемого доступа к линиям связи, управления и сигнализации в ЗП, а также в смежных помещениях и в коридоре.

5.5.8. Оснащение телефонных аппаратов городской АТС, расположенных в ЗП, устройствами высокочастотной развязки подавления слабых сигналов, а также поддержание их в работоспособном состоянии. Для спаренных телефонов достаточно одного устройства на линию, выходящую за пределы ЗП.

5.5.9. Осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.

5.5.10. Обеспечение требуемого уровня звукоизоляции входных дверей ЗП.

5.5.11. Обеспечение требуемого уровня звукоизоляции окон ЗП.

5.5.12. Демонтирование или заземление (с обеих сторон) лишних (незадействованных) в ЗП проводников и кабелей.

5.5.13. Отключение при проведении совещаний в ЗП всех неиспользуемых электро- и радиоприборов от сетей питания и трансляции.

5.5.14. Выполнение перед проведением совещаний следующих условий:

окна должны быть плотно закрыты и зашторены;

двери плотно прикрыты;

5.6. Защита информации, циркулирующей в ОТСС и наводящейся в ВТСС.

5.6.1. При эксплуатации ОТСС и ВТСС необходимо неукоснительное выполнение требований, определенных в предписании на эксплуатацию.

5.6.2. При невозможности обеспечения контролируемой зоны заданных размеров рекомендуется проведение следующих мероприятий:

Применение систем электромагнитного пространственного зашумления (СПЗ) в районе размещения защищаемого ОТСС.

Применение средств линейного электромагнитного зашумления (СЛЗ) линий электропитания, радиотрансляции, заземления, связи.

5.6.3. Техническая защита информации в средствах вычислительной техники (СВТ) и автоматизированных системах (АС) от несанкционированного доступа в соответствии с требованиями руководящих документов Гостехкомиссии России должна обеспечиваться путем:

проведения классификации СВТ и АС;

выполнения необходимых организационных мер защиты;

установки сертифицированных программных и аппаратно-технических средств защиты информации от НСД.

защита каналов связи, предназначенных для передачи конфиденциальной информации.

защиты информации от воздействия программ-закладок и компьютерных вирусов.

5.7. Организация и проведение работ по антивирусной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при ее обработке техническими средствами определяются настоящим документом, действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России.

Организации антивирусной защиты информации на объектах информатизации достигается путём:

установки и применения средств антивирусной защиты информации;

обновления баз данных средств антивирусной защиты информации;

действий должностных лиц при обнаружении заражения информационно-вычислительных ресурсов программными вирусами.

5.7.1. Организация работ по антивирусной защите информации возлагается на руководителей структурных подразделений и должностных лиц, осуществляющих контроль за антивирусной защитой, а методическое руководство и контроль над эффективностью предусмотренных мер защиты информации на руководителя подразделения по защите конфиденциальной информации (ответственного) ОИВ.

5.7.2. Защита информации от воздействия программных вирусов на объектах информатизации должна осуществляться посредством применения средств антивирусной защиты. Порядок применения средств антивирусной защиты устанавливается с учетом следующих требований:

обязательный входной контроль на отсутствие программных вирусов всех поступающих на объект информатизации носителей информации, информационных массивов, программных средств общего и специального назначения;

периодическая проверка пользователями жестких магнитных дисков (не реже одного раза в неделю) и обязательная проверка используемых в работе носителей информации перед началом работы с ними на отсутствие программных вирусов;

внеплановая проверка носителей информации на отсутствие программных вирусов в случае подозрения на наличие программного вируса;

восстановление работоспособности программных средств и информационных массивов в случае их повреждения программными вирусами.

5.7.3. К использованию допускается только лицензированные, сертифицированные по требованиям ФСТЭК России антивирусные средства.

5.7.4. Порядок применения средств антивирусной защиты во всех случаях устанавливается с учетом следующих требований:

Входной антивирусный контроль всей поступающей на внешних носителях информации и программных средств любого назначения.

Входной антивирусный контроль всей информации поступающей с электронной почтой;

Входной антивирусный контроль всей поступающей информации из сети Internet;

Выходной антивирусный контроль всей исходящей информации на любых внешних носителях и/или передаваемой по локальной сети на другие рабочие станции/сервера, а так же передача информации посредством электронной почты;

Периодическая антивирусная проверка на отсутствие компьютерных вирусов на жестких дисках рабочих станций и серверов;

Обязательная антивирусная проверка используемых в работе внешних носителей информации;

Постоянный антивирусный контроль на рабочих станциях и серверах с использованием резидентных антивирусных мониторов в автоматическом режиме;

Обеспечение получения обновлений антивирусных программ в автоматическом режиме, включая обновления вирусных баз и непосредственно новых версий программ;

Внеплановая антивирусная проверка внешних носителей и жестких дисков рабочих станций и серверов на отсутствие компьютерных вирусов в случае подозрения на наличие компьютерного вируса;

Восстановление работоспособности программных и аппаратных средств, а так же непосредственно информации в случае их повреждения компьютерными вирусами.

5.7.5.Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке и руководством по эксплуатации конкретного антивирусного программного продукта.

5.7.6. При обнаружении на носителе информации или в полученных файлах программных вирусов пользователи докладывают об этом в подразделение по защите конфиденциальной информации или ответственному сотруднику, и принимают меры по восстановлению работоспособности программных средств и данных.

О факте обнаружения программных вирусов сообщается в орган, от которых поступили зараженные файлы, для принятия мер по локализации и устранению программных вирусов.

Перед отправкой массивов информации и программных средств, осуществляется ее проверка на наличие программных вирусов.

При обнаружении программных вирусов пользователь обязан немедленно прекратить все работы на АРМ, поставить в известность подразделение информационно-технической службы органа власти по защите конфиденциальной информации и принять меры к их локализации и удалению с помощью имеющихся антивирусных средств защиты.

При функционировании АРМ в качестве рабочей станции вычислительной сети производится ее отключение от локальной сети, локализация и удаление программных вирусов в вычислительной сети.

Ликвидация последствий воздействия программных вирусов осуществляется подготовленными представителями подразделения информационно-технической службы органа власти по защите конфиденциальной информации.

5.7.7. Организация антивирусной защиты конфиденциальной информации должна быть направлена на предотвращение заражения рабочих станций, входящих в состав локальных компьютерных сетей, и серверов различного уровня и назначения вирусами.

5.7.8. Необходимо постоянно осуществлять обновление вирусных баз. Частоту обновления установить в зависимости от используемых антивирусных средств и частоты выпуска обновления указанных баз.

5.7.9. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке, руководством по эксплуатации конкретного антивирусного программного продукта и инструкцией по антивирусной защите.

5.8. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в информационных системах возлагается на системного администратора органа исполнительной власти.

5.8.1. Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований:

– длина пароля должна быть не менее 8 символов;

– пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения;

– при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;

– личный пароль пользователь не имеет права сообщать никому.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

5.8.2 Формирование личных паролей пользователей осуществляется централизованно. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления (самих уполномоченных сотрудников, а также руководителей подразделений) с паролями других сотрудников подразделений.

5.8.3. Полная плановая смена паролей пользователей должна проводиться регулярно.

5.8.4. Внеплановая смена личного пароля или удаление учетной записи пользователя информационной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться по представлению администратора безопасности уполномоченными сотрудниками немедленно после окончания последнего сеанса работы данного пользователя с системой.

5.8.5. В случае компрометации личного пароля пользователя информационной системы должны быть немедленно предприняты меры в соответствии с п.5.8.4 настоящей Инструкции.

5.8.6 Хранение сотрудником (исполнителем) значений своих паролей на материальном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у руководителя подразделения в опечатанном конверте или пенале (возможно вместе с персональным носителем информации и идентификатором Touch Memory).

5.8.7. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены и использования в подразделениях возлагается на администратора безопасности подразделения, периодический контроль – на специалиста по защите информации или ответственного сотрудника.

Перейдём к непосредственной теме статьи – защита объекта.

Допустим, к вам обратился клиент со следующей проблемой: есть подозрение, что конфиденциальная информация становится доступной для конкурентов.

Клиент – владелец небольшого предприятия, имеющего офис, состоящий из нескольких комнат. На предприятии есть бухгалтерия, производственные площади, кабинет директора, приёмная, комната отдыха. В составе предприятия есть собственная служба безопасности. Площади офиса расположены внутри многоэтажного здания, соседние помещения также заняты под офисы.

С чего начать защитные мероприятия? На первый взгляд необходимо защитить помещения предприятия с закрытием всех типовых каналов утечки информации. Но это очень большие деньги.

На первом этапе необходимо поинтересоваться, кого из конкурентов подозревает клиент в хищении информации. Если есть однозначные подозрения, желательно узнать, насколько дорога уходящая информация, каковы финансовые и технические возможности злоумышленников, т.е. какую сумму они могут себе позволить на съём информации.

Необходимо выяснить, какая группа персонала имеет доступ к уходящей информации. Имея эти сведения, двигаемся дальше.

Мероприятия по защите информации можно разделить на две основные группы: организационные мероприятия и технические мероприятия.

Не будем останавливаться подробно на организационных мероприятиях, для этого есть служба безопасности предприятия. Но несколько советов дать можно.

Необходимо разграничить доступ в помещения и к информации среди персонала предприятия, согласно их деятельности и иерархии. Этим мы существенно сужаем круг лиц, которым доступна конфиденциальная информация.

Необходимо контролировать установленный распорядок дня предприятия.

Необходима разъяснительная работа с персоналом о нежелательном обсуждении некоторых аспектов их работы за стенами предприятия.

Если информация доступна широкому кругу лиц, например, в бухгалтерии пять сотрудников, то защитные технические мероприятия помогут мало. В таком случае, например вместо установки систем защиты телефонных переговоров в бухгалтерии лучше установить систему документирования телефонных переговоров, например «Спрут». В таком случае служба безопасности сможет легко установить лицо, ответственное за разглашение конфиденциальной информации. Постоянное использование других систем защиты в таком помещении также невозможно, так как оно или создаёт некомфортную обстановку для работы, или изначально медицинский сертификат на прибор защиты ограничивает продолжительность его работы, и наконец, работа приборов может отрицательно влиять на работу офисной оргтехники.

Таким образом, мероприятия по защите информации на основных площадях предприятия лучше обеспечить с помощью организационных мероприятий и разрешённых к использованию технических средств контроля – регистраторы и тарификаторы телефонных переговоров, системы видео-аудионаблюдения, системы контроля доступа и т. д.

Что же защищать на предприятии с помощью техники? Лучше всего выделить специальную комнату для ведения переговоров (как правило - комната отдыха), обеспечить ограниченный доступ в неё, если есть необходимость в ведении конфиденциальных переговоров по телефону, выделить отдельную телефонную городскую линию (не коммутируя её с офисной мини-АТС) и завести в защищённое помещение. Если есть необходимость в использовании персонального компьютера, лучше его вывести из локальной сети предприятия. Если необходимо вести конфиденциальные переговоры в кабинете директора, то он тоже подлежит технической защите.

Теперь, когда определились с конкретным помещением, перейдём к техническим мероприятиям по защите.

Прежде всего, определим ТТХ помещения. Помещение имеет одно окно, одну батарею центрального отопления, две электрические розетки и освещение, присоединённые на две различные электрические фазы, в помещение заведена одна городская телефонная линия, в помещении постоянно находится персональный компьютер, не входящий в локальную сеть предприятия.

Стены помещения железобетонные. Габариты помещения: 4м х 5м х 2.7м.

План помещения представлен на рисунке 1.