Обеспечение информационной безопасности организации
Таблица 4
| Составные части делопроизводства | Функции обеспечения ИБ при работе с документами | Способы выполнения |
| Документирование | Предупреждение: – необоснованного изготовления документов; – включение в документы избыточной конфиденциальной информации; – необоснованного завышения степени конфиденциальности документов; – необоснованной рассылки | Определение перечня документов Осуществление контроля за содержанием документов и степени конфиденциальности содержания Определение реальной степени конфиденциальности сведений, включенных в документ Осуществление контроля за размножением и рассылкой документов |
| Учет документов | Предупреждение утраты (хищения) документов | Контроль за местонахождением документа |
| Организация документооборота | Предупреждение: – необоснованного ознакомления с документами; – неконтролируемой передачи документов | Установление разрешительной системы доступа исполнителей к документам Установление порядка приема-передачи документов между сотрудниками |
| Хранение документов | Обеспечение сохранности документов Исключение из оборота документов, потерявших ценность | Выделение специально оборудованных помещений для хранения документов, исключающих доступ к ним посторонних лиц Установление порядка подготовки документов для уничтожения |
| Уничтожение документов | Исключение доступа к бумажной «стружке» | Обеспечение необходимых условий уничтожения Осуществление контроля за правильностью и своевременностью уничтожения документов |
| Контроль наличия, своевременности и правильности исполнения документов | Контроль наличия документов, выполнения требований обработки, учета, исполнения и сдачи | Установление порядка проведения наличия документов и порядка их обработки |
При выборе и оборудовании специальных защищенных помещений для размещения СКТ и связи, а также хранения носителей информации рекомендуется придерживаться следующих требований (101). Оптимальной формой помещения является квадратная или близкая к ней. Помещение не должно быть проходным для обеспечения контроля доступа, желательно размещать его недалеко от постов охраны, что снижает шансы незаконного проникновения.
Помещение должно быть оборудовано пожарной и охранной сигнализацией, системой пожаротушения, рабочим и аварийным освещением, кондиционированием, средствами связи.
Рабочие помещения должны быть закрыты от посещения посторонних лиц. Всех посетителей (кроме деловых партнеров) должны встречать и сопровождать по территории фирмы работники кадрового аппарата, службы безопасности или охраны. Посетителям взамен удостоверений личности, выдаются разовые карточки гостя, размещаемые на груди или лацкане пиджака. Исключается доступ посторонних лиц в хранилища конфиденциальных документов, зал совещаний, отдел маркетинга, службу безопасности и т.д.
Хранение конфиденциальной информации, полученной в результате резервного копирования, должно осуществляться на промаркированных отчуждаемых носителях в специально отведенных для этой цели местах.
Комплекс организационно-технических мероприятий состоит:
· в ограничении доступа посторонних лиц внутрь корпуса оборудования
за счет установки различных запорных устройств и средств контроля;
· в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой
с конфиденциальной информацией, либо в организации межсетевых экранов;
· в организации передачи такой информации по каналам связи только
с использованием специальных инженерно-технических средств;
· в организации нейтрализации утечки информации по электромагнитным
и акустическим каналам;
· в организации защиты от наводок на электрические цепи узлов и блоков
автоматизированных систем обработки информации;
· в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.
Организационно-технические мероприятия по обеспечению компьютерной безопасности предполагают активное использование инженерно-технических средств защиты.
Например, в открытых сетях для защиты информации применяют межсетевые экраны (МЭ).
Межсетевые экраны – это локальное или функционально-распределенное программно-аппаратное средство (комплекс средств), реализующее контроль за информацией, поступающей в автоматизированные системы или выходящей из них.
Проведение организационно-экономических мероприятий по обеспечению компьютерной безопасности предполагает:
· стандартизацию методов и средств защиты информации;
· сертификацию средств компьютерной техники и их сетей по требованиям информационной безопасности;
· страхование информационных рисков, связанных с функционированием компьютерных систем и сетей;
· лицензирование деятельности в сфере защиты информации.
Инженерно-техническое обеспечение компьютерной безопасности – это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах обеспечения безопасности предприятия (101).
По области применения технические средства противодействия подразделяются на две категории:
1. Устройства пассивного противодействия:
· детекторы радиоизлучений;
· средства защиты помещений;
· средства защиты телефонных аппаратов и линий связи;
· средства защиты информации от утечки по оптическому каналу;
· генераторы акустического шума;
· средства защиты компьютерной техники и периферийных устройств и др.
2. Устройства активного противодействия:
· системы поиска и уничтожения технических средств разведки;
· устройства постановки помех.
Принципы обеспечения информационной безопасности на основе инженерно-технического обеспечения (ИТО). Противодействие угрозам несанкционированного доступа к информации (утечке) с помощью специальных технических средств основывается на двух ключевых идеях:
– ликвидация (ослабление) канала утечки информации;
– исключение возможности злоумышленника принимать и воспринимать информацию.
Методы обеспечения информационной безопасности организации на основе ИТО. Методы обеспечения информационной безопасности организации в части угроз НСД к информации реализуют вышеизложенные принципы. Противодействие утечке (НСД) информации осуществляется методом скрытия информации. На рис. 13 приведена классификация методов обеспечения информационной безопасности, основанных на использовании инженерно-технических средств. (101)
| Методы обеспечения информационной безопасности техническими средствами |
| Охрана источников информации. Допуск к источникам |
| Скрытые сигналы |
| Информационное скрытие |
| Энергетическое скрытие |
| Маскировка |
| Дезинформирование |
| Ослабление сигнала |
| Зашумление |
| 1. Представление информации в виде неудобном для НСД. 2. Криптографическое преобразование информации |
| Маскирование сигнала шумом |
| 1. Уменьшение уровня сигнала на выходе источника информации. 2. Физическое устранение передатчика канала. 3. Ослабление сигнала в тракте распространения. 4. Физическое устранение тракта распространения |
Рис. 13 Классификация методов обеспечения информационной безопасности на основе технических средств
Для эффективного применения технических средств обеспечения информационной безопасности необходимо комплексное проведение организационных (в части технических средств), организационно-технических и технических мероприятий. В настоящее время существует развитый арсенал мер и средств обеспечения информационной безопасности от воздействия угроз НСД. Многие из них являются альтернативными, поэтому необходимо выбрать их оптимальный состав.
Для выявления утечки информации необходим систематический контроль возможности образования каналов утечки и оценки их энергетической опасности на границах контролируемой зоны (территории, помещения).
Одним из основных направлений противодействия утечке информации по техническим каналам и обеспечения безопасности информационных ресурсов является проведение специальных проверок (СП) по выявлению электронных устройств перехвата информации и специальных исследований (СИ) на побочные электромагнитные излучения и наводки технических средств обработки информации, аппаратуры и оборудования, в том числе и бытовых приборов.
Защита информации от утечки по техническим каналам в общем плане сводится к следующим действиям:
· Своевременному определению возможных каналов утечки информации.
· Определению энергетических характеристик канала утечки на границе контролируемой зоны (территории, кабинета).
· Оценке возможности средств злоумышленников обеспечить контроль этих каналов.
· Обеспечению исключения или ослабления энергетики каналов утечки соответствующими организационными, организационно-техническими или техническими мерами и средствами.
Защита информации от утечки по визуально-оптическому каналу – это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет распространения световой энергии.
С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется:
· располагать объекты защиты так, чтобы исключить отражение света в стороны возможного расположения злоумышленника (пространственные ограждения);
· уменьшить отражательные свойства объекта защиты;
· уменьшить освещенность объекта защиты (энергетические ограничения);
· использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие преграждающие среды, преграды;
· применять средства маскирования, имитации и другие с целью защиты и введение в заблуждение злоумышленника;
· использовать средства пассивной и активной защиты источника от неконтролируемого распространения отражательного или излученного света и других излучений;
· осуществлять маскировку объектов защиты, варьируя отражательными свойствами и контрастом фона;
· применять маскирующие средства сокрытия объектов можно в виде аэрозольных завес и маскирующих сеток, красок, укрытий.
В качестве оперативных средств сокрытия находят широкое применение аэрозольные завесы. Это взвешенные в газообразной среде мельчайшие частицы различных веществ, которые в зависимости от размеров и агрегатного сочетания образуют дым, копоть, туман. Они преграждают распространение отраженного от объекта защиты света. Хорошими светопоглощающими свойствами обладают дымообразующие вещества.
Аэрозольные образования в виде маскирующих завес обеспечивают индивидуальную или групповую защиту объектов и техники, в том числе и выпускаемую продукцию.
Защита информации по акустическому каналу – это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.
Основными мероприятиями в этом виде защиты выступают организационные и организационно-технические меры.
Организационные меры предполагают проведение архитектурно-планировочных, пространственных и режимных мероприятий, а организационно-технические – пассивных (звукоизоляция, звукопоглощение) и активных (звукоподавление) мероприятий. Не исключается проведение и технических мероприятий за счет применения специальных защищенных средств ведения конфиденциальных переговоров.
Архитектурно-планировочные меры предусматривают предъявление определенных требований на этапе проектирования зданий и помещений или их реконструкцию и приспособление с целью исключения или ослабления неконтролируемого распространения звуковых полей непосредственно в воздушном пространстве или в строительных конструкциях в виде структурного звука. Эти требования могут предусматривать как выбор расположения помещений в пространственном плане, так и их оборудование необходимыми для акустической безопасности элементами, исключающими прямое или отраженное в сторону возможного расположения злоумышленника распространение звука. В этих целях двери оборудуются тамбурами, окна ориентируются в сторону охраняемой (контролируемо) от присутствия посторонних лиц территории и пр.
Режимные меры предусматривают строгий контроль пребывания в контролируемой зоне сотрудников и посетителей.
Организационно-технические меры предусматривают использование звукопоглощающих средств. Пористые и мягкие материалы типа ваты, ворсистые ковры, пенобетон, пористая сухая штукатурка являются хорошими звукоизолирующими и звукопоглощающими материалами – в них очень много поверхностей раздела между воздухом и твердым телом, что приводит к многократному отражению и поглощению звуковых колебаний.
В тех случаях, когда пассивные меры не обеспечивают необходимого уровня безопасности, используются активные средства. К активным средствам относятся генераторы шума – технические устройства, вырабатывающие шумоподобные электронные сигналы.
Эти сигналы подаются на соответствующие датчики акустического или вибрационного преобразования. Акустические датчики предназначены для создания акустического шума в помещениях или вне их, а вибрационные – для маскирующего шума в ограждающих конструкциях. Вибрационные датчики приклеиваются к защищаемым конструкциям, создавая в них звуковые колебания.
Защита информации от утечки по электромагнитным каналам – это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.
Конструкторско-технологические мероприятия по локализации возможности образования условий возникновения каналов утечки информации за счет побочных электромагнитных излучений и наводок в технических средствах обработки и передачи информации сводятся к рациональным конструкторско-технологическим решениям, к числу которых относятся:
· экранирование элементов и узлов аппаратуры; ослабление электромагнитной, емкостной, индуктивной связи между элементами и токонесущими проводами;
· фильтрация сигналов в цепях питания и заземления и другие меры, связанные с использованием ограничителей, развязывающих цепей, систем взаимной компенсации.
Экранирование позволяет защитить их от нежелательных воздействий акустических и электромагнитных сигналов и излучений собственных электромагнитных полей, а также ослабить (или исключить) паразитное влияние внешних излучений.
Эксплуатационные меры ориентированы на выбор мест установки технических средств с учетом особенностей их электромагнитных полей с таким расчетом, чтобы исключить их выход за пределы контролируемой зоны. В этих целях возможно осуществлять экранирование помещений, в которых находятся средства с большим уровнем побочных электромагнитных излучений (ПЭМИ).
Защита от прослушивания средствами ИТО обеспечивается:
– применением звукопоглощающих облицовок, специальных дополнительных тамбуров дверных проемов, двойных оконных переплетов (при использовании направленного микрофона и стетоскопа);
– оклеиванием стекол светопрозрачным материалом, рассеивающим лазерный луч (при использовании лазерных средств);
– использованием специальных аттестованных помещений, исключающих появление каналов утечки акустической конфиденциальной информации.
Средства обнаружения закладных микрофонов включают:
– средства радиоконтроля помещений;
– средства поиска неизлучающих закладных устройств;
– средства подавления закладных устройств.
Защита информации от утечки по материально-вещественному каналу – это комплекс мероприятий, исключающих или уменьшающих возможность неконтролируемого выхода информации за пределы контролируемой зоны в виде производственных или промышленных отходов.
В практике производственной и трудовой деятельности отношение к отходам, прямо скажем, бросовое. В зависимости от профиля работы предприятия отходы могут быть в виде испорченных накладных, фрагментов исполняемых документов, черновиков, бракованных заготовок деталей, панелей, кожухов и других устройств для разрабатываемых моделей новой техники или изделий.
По виду отходы могут быть твердыми, жидкими, газообразными. И каждый из них может бесконтрольно выходить за пределы охраняемой территории. Жидкости сливаются в канализацию, газы уходят в атмосферу, твердые отходы – зачастую просто на свалку. Особенно опасны твердые отходы. Это и документы, и технология и используемые материалы, и испорченные комплектующие. Все это совершенно достоверные, конкретные данные.
Меры защиты этого канала в особых комментариях не нуждаются.
Следует отметить, что при защите информации от утечки по любому из рассмотренных каналов следует придерживаться следующего порядка действий:
1. Выявление возможных каналов утечки.
2. Обнаружение реальных каналов.
3. Оценка опасности реальных каналов.
4. Локализация опасных каналов утечки информации.
5. Систематический контроль за наличием каналов и качеством их защиты.
Защита информации от утечки по техническим каналам – это комплекс мероприятий, исключающих или ослабляющих бесконтрольный выход конфиденциальной информации за пределы контролируемой зоны.
Постулаты такой защиты:
1. Безопасных технических средств нет.
2. Любой электронный элемент при определенных условиях может стать источником образования канала утечки информации.
3. Любой канал утечки информации может быть обнаружен и локализован. «На каждый яд есть противоядие».
4. Канал утечки информации легче локализовать, чем обнаружить.
Для непосредственной организации обеспечения информационной безопасности структурой и штатным расписанием предусматриваются специальные подразделения и сотрудники. Основные функции таких служб заключаются в следующем:
1. На этапе проектирования (совершенствования) системы информационной безопасности:
– формирование требований к системе информационной безопасности;
– участие в разработке компонентов и системы информационной безопасности в целом.
2. На этапе эксплуатации:
– планирование, организация и обеспечение функционирования системы информационной безопасности;
– обучение пользователей и технического персонала организации формам и методам эксплуатации технических средств;
– контроль за соблюдение пользователями и техническим персоналом правил работы и эксплуатации технических средств в части обеспечения информационной безопасности.
Организационно-правовой статус службы безопасности. Многогранность организационной сферы обеспечения безопасности обуславливает создание специальной службы безопасности (СБ), осуществляющей все организационные мероприятия. СБ формируется на основе анализа, оценки и прогнозирования деятельности организации в части решения задач обеспечения ее безопасности.
Служба безопасности – система штатных органов управления и подразделений, предназначенных для обеспечения безопасности организации.
Правовой основой формирования СБ является решение руководства о создании СБ, оформленное соответствующим приказом или распоряжением, либо решением вышестоящей организации, в состав которой входит данная организация.
СБ предприятия подчиняется руководителю службы безопасности, который находится в подчинении руководителя организации. Штатная структура и численность СБ определяется реальными потребностями организации.
Структура и задачи службы безопасности представлены на рис. 14 (106).
| Руководитель организации |
| Внешний аудит |
| Пресс-группа |
| Юрист-консультант по безопасности |
| Совет по безопасности |
| Руководитель службы безопасности |
| Группа собственной безопасности |
| Пожарная охрана |
| Группа режима |
| Служба охраны |
| Секретариат (группа конф.) |
| Аналити-ческая служба |
| Детектив-ная группа |
| Группа ПДТР |
| Группа ЗИ от НСД |
| Криптогра–фическая группа |
| Отдел кадров |
| Изучение и проверка сотрудников службы безопасности |
| Защита объекта от пожара |
| Работа с персоналом |
| Проведение регламентных |
| Работа с персоналом |
| Работа с посетителями |
| Составление перечня конфиденци-альных |
| Охрана объекта |
| Личная охрана |
| Доставка ценных грузов |
| Проверка почтовых |
| Конфиден-циальное делопро-изводство |
| Сбор информации |
| Анализ информации |
| Подготовка рекомендаций по |
| Работа с персоналом |
| Работа с посетителями |
| Проверка окружения объекта |
| Работа с конкурентами |
| Связь с правоохра-нительными |
| Защита ТСПИ |
| Защита ВТСС |
| Проведение исследо-ваний |
| Обеспечение |
| Защита ЭВМ и ЛВС |
| Разработка защищенных технологий обработки КИ |
| Защита информации в ЭВМ |
| Защита информации в сетях ЭВМ |
| Профотбор персонала |
| Подготовка сотрудников СБ |
| Подготовка персонала по вопросам |
Рис. 14 Структура и задачи службы безопасности