Реализация на предприятии различных видов защиты информации

Возможными каналами преднамеренного  несанкционированного доступа к  информации при отсутствии защиты в  автоматизированной информационной системе  могут быть:

• штатные каналы доступа к информации (терминалы пользователей, средства отображения и документирования информации, носители информации, средства загрузки программного обеспечения, внешние каналы связи) при их незаконном использовании;
• технологические пульты и органы управления
• внутренний монтаж аппаратуры;
• линии связи между аппаратными средствами;
• побочное электромагнитное излучение, несущее информацию;
• побочные наводки на цепях электропитания, заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи компьютерной системы.

 

 

5 РЕАЛИЗАЦИЯ НА ПРЕДПРИЯТИИ РАЗЛИЧНЫХ ВИДОВ ЗАЩИТЫ ИНФОРМАЦИИ

5.1 Правовое обеспечение информационной безопасности

 

При рассмотрении структуры  системы информационной безопасности (СИБ) возможен традиционный подход –  выделение обеспечивающих подсистем. Система информационной безопасности, как и любая ИС, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию. С учетом этого, СИБ должна иметь следующие виды (элементы) обеспечения: правовое, организационное, нормативно-методическое, информационное, техническое (аппаратное), программное, математическое, лингвистическое.

Правовое  обеспечение СИБ основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Этот вид обеспечения включает:

• наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;

• формулирование и доведение  до сведения всех сотрудников фирмы (в том числе не связанных с  конфиденциальной информацией) положения  о правовой ответственности за разглашение  конфиденциальной информации, несанкционированное  уничтожение или фальсификацию  документов;

• разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

 

5.2 Организационной обеспечение информационной безопасности

 

Следует отметить, что из всех мер зашиты в настоящее время  ведущую роль играют организационные мероприятия. Поэтому следует выделить вопрос организации службы безопасности. Реализация политики безопасности требует настройки средств защиты, управления системой зашиты и осуществления контроля функционирования ИС. Как правило, задачи управления и контроля решаются административной группой, состав и размер которой зависят от конкретных условий. Очень часто в эту группу входят администратор безопасности, менеджер безопасности и операторы.

Обеспечение и контроль безопасности представляют собой комбинацию технических  и административных мер. По данным зарубежных источников, у сотрудников административной группы обычно 1/3 времени занимает техническая  работа и около 2/3 – административная (разработка документов, связанных  с защитой ИС, процедуры проверки системы защиты и т.д.). Разумное сочетание  этих мер способствует уменьшению вероятности  нарушений политики безопасности.

Организационное обеспечение  включает в себя регламентацию:

• формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно – методическими документами по Организации и технологии защиты информации;

• составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;

• разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;

• методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;

• направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;

• технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий); внемашинной технологии защиты электронных документов;

• порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;

• ведения всех видов аналитической работы;

• порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;

• оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;

• пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей;

• системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;

• действий персонала в экстремальных ситуациях;

• организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;

• организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;

• работы по управлению системой защиты информации;

• критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Организационный элемент  защиты информации является стержнем, основной частью комплексной системы  элементов системы защиты – «элемент организационно-правовой защиты информации».

 

5.3 Нормативно-методическое обеспечение информационной безопасности

 

Нормативно-методическое обеспечение может быть слито с правовым, куда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.

Нормативы и стандарты  по защите информации накладывают требования на построение ряда компонентов, которые  традиционно входят в обеспечивающие подсистемы самих информационных систем, т.е. можно говорить о наличии тенденции к слиянию обеспечивающих подсистем ИС и СИБ.

Примером может служить  использование операционных систем (ОС). В разных странах выполнено  множество исследований, в которых  анализируются и классифицируются изъяны защиты ИС. Выявлено, что основные недостатки зашиты ИС сосредоточены в ОС. Использование защищенных ОС является одним из важнейших условий построения современных ИС. Особенно важны требования к ОС, ориентированным на работу с локальными и глобальными сетями. Развитие Интернета оказало особенно сильное влияние на разработку защищенных ОС. Развитие сетевых технологий привело к появлению большого числа сетевых компонентов (СК). Системы, прошедшие сертификацию без учета требований к сетевому программному обеспечению, в настоящее время часто используются в сетевом окружении и даже подключаются к Интернету. Это приводит к появлению изъянов, не обнаруженных при сертификации защищенных вычислительных систем, что требует непрерывной доработки ОС.

 

5.4 Инженерно-техническое обеспечение информационной безопасности

 

Инженерно-техническое  обеспечение системы защиты информации предназначено для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:

•сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);

•средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т.п.;

• средства защиты помещений от визуальных способов технической разведки;

•средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);

•средства противопожарной охраны;

•средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.);

•технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п.

 

5.5 Программно-аппаратное обеспечение информационной безопасности

 

Программно-аппаратное обеспечение системы защиты предназначено для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя:

•автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;

•программы защиты информации, работающие в комплексе с программами обработки информации;

•программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.).

ЗАКЛЮЧЕНИЕ

 

Безопасность ценной документируемой  информации определяется степенью ее защищенности от последствий экстремальных  ситуаций, в том числе стихийных  бедствий, а также пассивных и  активных попыток злоумышленника создать  потенциальную или реальную угрозу несанкционированного доступа к  документам с использованием организационных  и технических каналов, в результате чего могут произойти хищение  и неправомерное использование  злоумышленником информации в своих  целях, ее модификация, подмена, фальсификация, уничтожение.

Главным направлением защиты документированной информации от возможных  опасностей является формирование защищенного  документооборота, то есть использование  в обработке и хранении документов специализированной технологической  системы, обеспечивающей безопасность информации на любом типе носителя.

Таким образом, защищенность документопотоков достигается за счет:

1) одновременного использования  режимных (разрешительных, ограничительных)  мер и технологических приемов,  входящих в систему обработки  и хранения конфиденциальных  документов;

2) нанесения отличительной  отметки (грифа) на чистый носитель  конфиденциальной информации или  документ, в том числе сопроводительный, что позволяет выделить их  в общем потоке документов;

3) формирования самостоятельных,  изолированных потоков конфиденциальных  документов и (часто) дополнительного  их разделения на подпотоки  в соответствии с уровнем конфиденциальности  перемещаемых документов;

3) использования автономной  технологической системы обработки  и хранения конфиденциальных  документов, не соприкасающейся  с системой обработки открытых  документов.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Алексенцев А.И. Защита информации: Словарь базовых терминов и определений.-М.: РГГУ, 2000.
2. Алексенцев А.И. О классификации конфиденциальной информации по видам тайны//Безопасность информационных технологий. -1999.-№ 3.
3. Алексенцев А.И. О концепции защиты информации//Безопасность информационных технологий. -1998.-№ 4.
4. Алексенцев А.И. О составе защищаемой информации //Безопасность информационных технологий. -1999.-№ 2.
5. Алексенцев А.И. Понятие и назначение комплексной системы защиты информации// Вопросы защиты информации.-1996.-№2.
6. Алексенцев А.И. Понятие и структура угроз защищаемой информации//Безопасность информационных технологий. -2000.-№ 3.
7. Алексенцев А.И. Сущность и соотношение понятий «защита информации», «безопасность информации», «информационная безопасность» // Безопасность информационных технологий. -1999. -№1.
8. Астахова Л.В. Методология обеспечения информационной безопасности региона: противоречия и проблемы // Информационная безопасность региона: Сб. научн. Тр. Всероссийской научно-практ. конф. 5-7 октября 2004 года.- Челябинск,2005. – С.69-74.
9. Астахова Л.В. Информационно-психологические угрозы безопасности//Мир без границ – война без фронтов?: Монография / ЮУрГУ.-Челябинск, 2002. – С.73-77.
10. Герасименко В.А., Малюк А.А. Основы защиты информации. - М: ООО «Инкомбук», 1997.
11. Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 09.09.2000
12. Емельянов Г.В, Лепский В.Е., Стрельцов А.А.  Проблемы обеспечения информационно-психологической  безопасности России// Информационное общество.-1999.- №3.- С.47-51.
13. Концепция национальной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 10.01.2000 № 24 // Собрание законодательства Российской Федерации. - 2000. -№2.-ст. 170
14. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учебное пособие. М.: Изд-во Горячая линия – Телеком, 2004. 280 с.
15. О  связи:  Федеральный  закон  от  7 июля 2003 года. №126-ФЗ.
16. О техническом регулировании: Федеральный закон №184-ФЗ от 27 декабря 2002 года.
17. Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия: Учебное пособие. 2-е изд. М.: Издательско-торговая корпорация Дашков и К°, 2005. 336 с.
18. Северин В.А. Правовое обеспечение информационной безопасности предприятия: Учебно-практическое пособие.- М.: Городец, 2000.-192с.
19. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учебное пособие. М.: Изд-во ИНФРА-М, 2001. 304 с.
20. Торокин А.А. Основы инженерно-технической защиты информации.- М: Ось-89, 1998.
21. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации. Украина: Изд-во Юниор, 2003. 504 с.
22. Шиверский  А.А.  Защита  информации:  проблемы  теории  и  практики. – М.: Юристъ,  1996. – 112 с.