Обеспечение информационной безопасности организации

Таблица 4

Составные части делопроизводства Функции обеспечения ИБ при работе с документами Способы выполнения
Документирование Предупреждение: – необоснованного изготовления документов; – включение в документы избыточной конфиденциальной информации;     – необоснованного завышения степени конфиденциальности документов;   – необоснованной рассылки   Определение перечня документов Осуществление контроля за содержанием документов и степени конфиденциальности содержания Определение реальной степени конфиденциальности сведений, включенных в документ Осуществление контроля за размножением и рассылкой документов
Учет документов Предупреждение утраты (хищения) документов Контроль за местонахождением документа
Организация документооборота Предупреждение: – необоснованного ознакомления с документами;   – неконтролируемой передачи документов   Установление разрешительной системы доступа исполнителей к документам Установление порядка приема-передачи документов между сотрудниками
Хранение документов Обеспечение сохранности документов     Исключение из оборота документов, потерявших ценность Выделение специально оборудованных помещений для хранения документов, исключающих доступ к ним посторонних лиц Установление порядка подготовки документов для уничтожения
Уничтожение документов Исключение доступа к бумажной «стружке» Обеспечение необходимых условий уничтожения Осуществление контроля за правильностью и своевременностью уничтожения документов
Контроль наличия, своевременности и правильности исполнения документов Контроль наличия документов, выполнения требований обработки, учета, исполнения и сдачи Установление порядка проведения наличия документов и порядка их обработки

 

При выборе и оборудовании специальных защищенных помещений для размещения СКТ и связи, а также хранения носителей информации рекомендуется придерживаться следующих требований (101). Оптимальной формой помещения является квадратная или близкая к ней. Помещение не должно быть проходным для обеспечения контроля доступа, желательно размещать его недалеко от постов охраны, что снижает шансы незаконного проникновения.

Помещение должно быть оборудовано пожарной и охранной сигнализацией, системой пожаротушения, рабочим и аварийным освещением, кондиционированием, средствами связи.

Рабочие помещения должны быть закрыты от посещения посторонних лиц. Всех посетителей (кроме деловых партнеров) должны встречать и сопровождать по территории фирмы работники кадрового аппарата, службы безопасности или охраны. Посетителям взамен удостоверений личности, выдаются разовые карточки гостя, размещаемые на груди или лацкане пиджака. Исключается доступ посторонних лиц в хранилища конфиденциальных документов, зал совещаний, отдел маркетинга, службу безопасности и т.д.

Хранение конфиденциальной информации, полученной в результате резервного копирования, должно осуществляться на промаркированных отчуждаемых носителях в специально отведенных для этой цели местах.

Комплекс организационно-технических мероприятий состоит:

· в ограничении доступа посторонних лиц внутрь корпуса оборудования
за счет установки различных запорных устройств и средств контроля;

· в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой
с конфиденциальной информацией, либо в организации межсетевых экранов;

· в организации передачи такой информации по каналам связи только
с использованием специальных инженерно-технических средств;

· в организации нейтрализации утечки информации по электромагнитным
и акустическим каналам;

· в организации защиты от наводок на электрические цепи узлов и блоков
автоматизированных систем обработки информации;

· в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.

Организационно-технические мероприятия по обеспечению компьютерной безопасности предполагают активное использование инженерно-технических средств защиты.

Например, в открытых сетях для защиты информации применяют межсетевые экраны (МЭ).

Межсетевые экраны – это локальное или функционально-распределенное программно-аппаратное средство (комплекс средств), реализующее контроль за информацией, поступающей в автоматизированные системы или выходящей из них.

Проведение организационно-экономических мероприятий по обеспече­нию компьютерной безопасности предполагает:

· стандартизацию методов и средств защиты информации;

· сертификацию средств компьютерной техники и их сетей по требованиям информационной безопасности;

· страхование информационных рисков, связанных с функционированием компьютерных систем и сетей;

· лицензирование деятельности в сфере защиты информации.

Инженерно-техническое обеспечение компьютерной безопасности – это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах обеспечения безопасности предприятия (101).

По области применения технические средства противодействия подразделяются на две категории:

1. Устройства пассивного противодействия:

· детекторы радиоизлучений;

· средства защиты помещений;

· средства защиты телефонных аппаратов и линий связи;

· средства защиты информации от утечки по оптическому каналу;

· генераторы акустического шума;

· средства защиты компьютерной техники и периферийных устройств и др.

2. Устройства активного противодействия:

· системы поиска и уничтожения технических средств разведки;

· устройства постановки помех.

Принципы обеспечения информационной безопасности на основе инженерно-технического обеспечения (ИТО). Противодействие угрозам несанкционированного доступа к информации (утечке) с помощью специальных технических средств основывается на двух ключевых идеях:

– ликвидация (ослабление) канала утечки информации;

– исключение возможности злоумышленника принимать и воспринимать информацию.

Методы обеспечения информационной безопасности организации на основе ИТО. Методы обеспечения информационной безопасности организации в части угроз НСД к информации реализуют вышеизложенные принципы. Противодействие утечке (НСД) информации осуществляется методом скрытия информации. На рис. 13 приведена классификация методов обеспечения информационной безопасности, основанных на использовании инженерно-технических средств. (101)

 

Методы обеспечения информационной безопасности техническими средствами
Охрана источников информации. Допуск к источникам
Скрытые сигналы
Информационное скрытие
Энергетическое скрытие
Маскировка
Дезинформирование
Ослабление сигнала
Зашумление
1. Представление информации в виде неудобном для НСД. 2. Криптографическое преобразование информации
Маскирование сигнала шумом
1. Уменьшение уровня сигнала на выходе источника информации. 2. Физическое устранение передатчика канала. 3. Ослабление сигнала в тракте распространения. 4. Физическое устранение тракта распространения

 

 


Рис. 13 Классификация методов обеспечения информационной безопасности на основе технических средств

 

Для эффективного применения технических средств обеспечения информационной безопасности необходимо комплексное проведение организационных (в части технических средств), организационно-технических и технических мероприятий. В настоящее время существует развитый арсенал мер и средств обеспечения информационной безопасности от воздействия угроз НСД. Многие из них являются альтернативными, поэтому необходимо выбрать их оптимальный состав.

Для выявления утечки информации необходим систематический контроль возможности образования каналов утечки и оценки их энергетической опасности на границах контролируемой зоны (территории, помещения).

Одним из основных направлений противодействия утечке информации по техническим каналам и обеспечения безопасности информационных ресурсов является проведение специальных проверок (СП) по выявлению электронных устройств перехвата информации и специальных исследований (СИ) на побочные электромагнитные излучения и наводки технических средств обработки информации, аппаратуры и оборудования, в том числе и бытовых приборов.

Защита информации от утечки по техническим каналам в общем плане сводится к следующим действиям:

· Своевременному определению возможных каналов утечки информации.

· Определению энергетических характеристик канала утечки на границе контролируемой зоны (территории, кабинета).

· Оценке возможности средств злоумышленников обеспечить контроль этих каналов.

· Обеспечению исключения или ослабления энергетики каналов утечки соответствующими организационными, организационно-техническими или техническими мерами и средствами.

Защита информации от утечки по визуально-оптическому каналу – это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет распространения световой энергии.

С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется:

· располагать объекты защиты так, чтобы исключить отражение света в стороны возможного расположения злоумышленника (пространственные ограждения);

· уменьшить отражательные свойства объекта защиты;

· уменьшить освещенность объекта защиты (энергетические ограничения);

· использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие преграждающие среды, преграды;

· применять средства маскирования, имитации и другие с целью защиты и введение в заблуждение злоумышленника;

· использовать средства пассивной и активной защиты источника от неконтролируемого распространения отражательного или излученного света и других излучений;

· осуществлять маскировку объектов защиты, варьируя отражательными свойствами и контрастом фона;

· применять маскирующие средства сокрытия объектов можно в виде аэрозольных завес и маскирующих сеток, красок, укрытий.

В качестве оперативных средств сокрытия находят широкое применение аэрозольные завесы. Это взвешенные в газообразной среде мельчайшие частицы различных веществ, которые в зависимости от размеров и агрегатного сочетания образуют дым, копоть, туман. Они преграждают распространение отраженного от объекта защиты света. Хорошими светопоглощающими свойствами обладают дымообразующие вещества.

Аэрозольные образования в виде маскирующих завес обеспечивают индивидуальную или групповую защиту объектов и техники, в том числе и выпускаемую продукцию.

Защита информации по акустическому каналу – это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.

Основными мероприятиями в этом виде защиты выступают организационные и организационно-технические меры.

Организационные меры предполагают проведение архитектурно-планировочных, пространственных и режимных мероприятий, а организационно-технические – пассивных (звукоизоляция, звукопоглощение) и активных (звукоподавление) мероприятий. Не исключается проведение и технических мероприятий за счет применения специальных защищенных средств ведения конфиденциальных переговоров.

Архитектурно-планировочные меры предусматривают предъявление определенных требований на этапе проектирования зданий и помещений или их реконструкцию и приспособление с целью исключения или ослабления неконтролируемого распространения звуковых полей непосредственно в воздушном пространстве или в строительных конструкциях в виде структурного звука. Эти требования могут предусматривать как выбор расположения помещений в пространственном плане, так и их оборудование необходимыми для акустической безопасности элементами, исключающими прямое или отраженное в сторону возможного расположения злоумышленника распространение звука. В этих целях двери оборудуются тамбурами, окна ориентируются в сторону охраняемой (контролируемо) от присутствия посторонних лиц территории и пр.

Режимные меры предусматривают строгий контроль пребывания в контролируемой зоне сотрудников и посетителей.

Организационно-технические меры предусматривают использование звукопоглощающих средств. Пористые и мягкие материалы типа ваты, ворсистые ковры, пенобетон, пористая сухая штукатурка являются хорошими звукоизолирующими и звукопоглощающими материалами – в них очень много поверхностей раздела между воздухом и твердым телом, что приводит к многократному отражению и поглощению звуковых колебаний.

В тех случаях, когда пассивные меры не обеспечивают необходимого уровня безопасности, используются активные средства. К активным средствам относятся генераторы шума – технические устройства, вырабатывающие шумоподобные электронные сигналы.

Эти сигналы подаются на соответствующие датчики акустического или вибрационного преобразования. Акустические датчики предназначены для создания акустического шума в помещениях или вне их, а вибрационные – для маскирующего шума в ограждающих конструкциях. Вибрационные датчики приклеиваются к защищаемым конструкциям, создавая в них звуковые колебания.

Защита информации от утечки по электромагнитным каналам – это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.

Конструкторско-технологические мероприятия по локализации возможности образования условий возникновения каналов утечки информации за счет побочных электромагнитных излучений и наводок в технических средствах обработки и передачи информации сводятся к рациональным конструкторско-технологическим решениям, к числу которых относятся:

· экранирование элементов и узлов аппаратуры; ослабление электромагнитной, емкостной, индуктивной связи между элементами и токонесущими проводами;

· фильтрация сигналов в цепях питания и заземления и другие меры, связанные с использованием ограничителей, развязывающих цепей, систем взаимной компенсации.

Экранирование позволяет защитить их от нежелательных воздействий акустических и электромагнитных сигналов и излучений собственных электромагнитных полей, а также ослабить (или исключить) паразитное влияние внешних излучений.

Эксплуатационные меры ориентированы на выбор мест установки технических средств с учетом особенностей их электромагнитных полей с таким расчетом, чтобы исключить их выход за пределы контролируемой зоны. В этих целях возможно осуществлять экранирование помещений, в которых находятся средства с большим уровнем побочных электромагнитных излучений (ПЭМИ).

Защита от прослушивания средствами ИТО обеспечивается:

– применением звукопоглощающих облицовок, специальных дополнительных тамбуров дверных проемов, двойных оконных переплетов (при использовании направленного микрофона и стетоскопа);

– оклеиванием стекол светопрозрачным материалом, рассеивающим лазерный луч (при использовании лазерных средств);

– использованием специальных аттестованных помещений, исключающих появление каналов утечки акустической конфиденциальной информации.

Средства обнаружения закладных микрофонов включают:

– средства радиоконтроля помещений;

– средства поиска неизлучающих закладных устройств;

– средства подавления закладных устройств.

Защита информации от утечки по материально-вещественному каналу – это комплекс мероприятий, исключающих или уменьшающих возможность неконтролируемого выхода информации за пределы контролируемой зоны в виде производственных или промышленных отходов.

В практике производственной и трудовой деятельности отношение к отходам, прямо скажем, бросовое. В зависимости от профиля работы предприятия отходы могут быть в виде испорченных накладных, фрагментов исполняемых документов, черновиков, бракованных заготовок деталей, панелей, кожухов и других устройств для разрабатываемых моделей новой техники или изделий.

По виду отходы могут быть твердыми, жидкими, газообразными. И каждый из них может бесконтрольно выходить за пределы охраняемой территории. Жидкости сливаются в канализацию, газы уходят в атмосферу, твердые отходы – зачастую просто на свалку. Особенно опасны твердые отходы. Это и документы, и технология и используемые материалы, и испорченные комплектующие. Все это совершенно достоверные, конкретные данные.

Меры защиты этого канала в особых комментариях не нуждаются.

Следует отметить, что при защите информации от утечки по любому из рассмотренных каналов следует придерживаться следующего порядка действий:

1. Выявление возможных каналов утечки.

2. Обнаружение реальных каналов.

3. Оценка опасности реальных каналов.

4. Локализация опасных каналов утечки информации.

5. Систематический контроль за наличием каналов и качеством их защиты.

Защита информации от утечки по техническим каналам – это комплекс мероприятий, исключающих или ослабляющих бесконтрольный выход конфиденциальной информации за пределы контролируемой зоны.

Постулаты такой защиты:

1. Безопасных технических средств нет.

2. Любой электронный элемент при определенных условиях может стать источником образования канала утечки информации.

3. Любой канал утечки информации может быть обнаружен и локализован. «На каждый яд есть противоядие».

4. Канал утечки информации легче локализовать, чем обнаружить.

Для непосредственной организации обеспечения информационной безопасности структурой и штатным расписанием предусматриваются специальные подразделения и сотрудники. Основные функции таких служб заключаются в следующем:

1. На этапе проектирования (совершенствования) системы информационной безопасности:

– формирование требований к системе информационной безопасности;

– участие в разработке компонентов и системы информационной безопасности в целом.

2. На этапе эксплуатации:

– планирование, организация и обеспечение функционирования системы информационной безопасности;

– обучение пользователей и технического персонала организации формам и методам эксплуатации технических средств;

– контроль за соблюдение пользователями и техническим персоналом правил работы и эксплуатации технических средств в части обеспечения информационной безопасности.

Организационно-правовой статус службы безопасности. Многогранность организационной сферы обеспечения безопасности обуславливает создание специальной службы безопасности (СБ), осуществляющей все организационные мероприятия. СБ формируется на основе анализа, оценки и прогнозирования деятельности организации в части решения задач обеспечения ее безопасности.

Служба безопасности – система штатных органов управления и подразделений, предназначенных для обеспечения безопасности организации.

Правовой основой формирования СБ является решение руководства о создании СБ, оформленное соответствующим приказом или распоряжением, либо решением вышестоящей организации, в состав которой входит данная организация.

СБ предприятия подчиняется руководителю службы безопасности, который находится в подчинении руководителя организации. Штатная структура и численность СБ определяется реальными потребностями организации.

Структура и задачи службы безопасности представлены на рис. 14 (106).

 

 


Руководитель организации
Внешний аудит
Пресс-группа
Юрист-консультант по безопасности
Совет по безопасности
Руководитель службы безопасности
Группа собственной безопасности
Пожарная охрана
Группа режима
Служба охраны
Секретариат (группа конф.)
Аналити-ческая служба
Детектив-ная группа
Группа ПДТР
Группа ЗИ от НСД
Криптогра–фическая группа
Отдел кадров
Изучение и проверка сотрудников службы безопасности
Защита объекта от пожара
Работа с персоналом
Проведение регламентных
Работа с персоналом
Работа с посетителями
Составление перечня конфиденци-альных
Охрана объекта
Личная охрана
Доставка ценных грузов
Проверка почтовых
Конфиден-циальное делопро-изводство
Сбор информации
Анализ информации
Подготовка рекомендаций по
Работа с персоналом
Работа с посетителями
Проверка окружения объекта
Работа с конкурентами
Связь с правоохра-нительными
Защита ТСПИ
Защита ВТСС
Проведение исследо-ваний
Обеспечение
Защита ЭВМ и ЛВС
Разработка защищенных технологий обработки КИ
Защита информации в ЭВМ
Защита информации в сетях ЭВМ
Профотбор персонала
Подготовка сотрудников СБ
Подготовка персонала по вопросам

 


Рис. 14 Структура и задачи службы безопасности