Служба безпеки.

План

5.1. Класифікація засобів забезпечення безпеки АС.

5.2. Організаційні заходи.

5.4. Технічне забезпечення безпеки інформації.

5.1. Класифікація засобів забезпечення безпеки АС

За способами реалізації всі заходи забезпечення безпеки АС підрозділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні і технічні

(програмні та апаратні).

До правових заходів захисту відносяться діючі в країні закони, укази і нормативні акти, які регламентують правила поводження з інформацією, закріплюють права та обов’язки учасників інформаційних відносин в процесі її обробки і використання, а також установлюють відповідальність за порушення цих правил, заважаючи таким чином неправомірному використанню інформації, тобто з’являючись стримуючим фактором для потенційних порушників.

До морально-етичних заходів протидії відносяться норми поведінки, які традиційно склалися або складаються паралельно розповсюдженню ЕОМ в країні або суспільстві. Більшою частиною ці норми не є обов’язковими, як, наприклад, законодавчо затверджені нормативні, однак їх недотримання веде звичайно до падіння авторитету, престижу людини, групи осіб або організації. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми чесності, патриотизму і т.д.), так і писані, тобто оформлені у звід (устав) правил або розпоряджень.

Законодавчі та морально-етичні заходи протидії є універсальними в тому сенсі, що принципово можуть застосовуватися для всіх каналів проникнення і НСД до АС і інформації. В деяких випадках вони є єдиними, як, наприклад, при захисті відкритої інформації від незаконного тиражування або при захисті від зловживань службовим положення при роботі з інформацією.

Організаційні (адміністративні) заходи захисту – це заходи організаційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів з системою таким чином, щоб максимально ускладнити або виключити можливість реалізації загроз безпеці.

Очевидно, що в організаційних структурах з низьким рівнем правопорядку, дисципліни і етики ставити питання про захист інформації немає сенсу. Спочатку необхідно вирішити правові та організаційні питання.

Як вважають закордонні фахівці, організаційні заходи складають досить значну частину (більш як 50%) всієї системи захисту.

Вади організаційного захисту:

· низька надійність без відповідної підтримки фізичними, технічними та програмними засобами (людина завжди є схильною до порушень обмежень та правил аби їх можна було б порушити);

· додаткові незручності, які пов’язані з великим об‘ємом рутинної формальної діяльності.

Фізичні заходи базуються на застосування всілякого роду механічних, електро- або електронно-механічних пристроїв спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонент системи і інформації, а також технічних засобів візуального спостереження, зв’язку та охоронної сигналізації.

Технічні (апаратно-програмні) заходи захисту базуються на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з іншими засобами) функції захисту.

Звичайно всі заходи використовують комплексно, тобто:

· організаційні заходи забезпечують виконання нормативних актів і будуються з урахування уже існуючих правил поведінки в організації;

· виконання організаційних заходів вимагає створення нормативних документів;

· ефективне використання організаційних заходів досягається обов’язковою підтримкою фізичних та технічних заходів;

· використання технічних засобів захисту вимагає відповідної організаційної підтримки.

5.2. Організаційні заходи

Застосування організаційно-технічних заходів запобігає і блокує значну частину загроз безпеці інформації та поєднує в єдину систему усі заходи захисту.

Організаційні заходи повинні включати:

· визначення технологічних процесів обробки інформації;

· обґрунтування та вибір задач захисту;

· розробку та впровадження правил реалізації заходів ЗІ;

· визначення та встановлення обов’язків підрозділів та осіб, що приймають участь в обробці інформації;

· вибір засобів забезпечення ЗІ;

· оснащення структурних елементів АС нормативними документами і засобами забезпечення ЗІ;

· встановлення порядку впровадження засобів обробки інформації, програмних та технічних засобів захисту інформації та контролю його ефективності;

· визначення зон безпеки інформації;

· обґрунтування структури та технології функціонування СЗІ;

· розробку правил та порядку контролю функціонування СЗІ;

· встановлення порядку проведення атестації технічних засобів та систем обробки інформації, систем зв’язку та передачі даних, технічних засобів та систем, що розташовані в приміщеннях, де вона циркулює, приміщень для засідань, а також всієї АС в цілому на відповідність вимогам по безпеці інформації.

Організаційні заходи щодо ЗІ в АС полягають в розробці і реалізації адміністративних та організаційно-технічних заходів при підготовці та експлуатації системи.

Організаційні заходи щодо захисту системи в процесі її функціонування та підготовки до нього охоплюють рішення та процедури, які приймаються керівництвом організації – користувачем системи.

Хоча деякі з них можуть визначатися зовнішніми факторами, наприклад законами або урядовими постановами, більшість проблем розв’язується в самій організації в конкретних умовах.

Складовою частиною будь-якого плану заходів щодо захисту має бути чітка вказівка цілей, розподіл відповідальності та перелік організаційних заходів захисту. Конкретний розподіл відповідальності та функцій по реалізації захисту від одної організації до іншої може змінюватися, але ретельне планування і точний розподіл відповідальності є необхідними умовами створення ефективної та життєздатної системи захисту.

Організаційні заходи щодо ЗІ в АС повинні охоплювати етапи проектування, розробки, виготовлення, випробувань, підготовки до експлуатації, експлуатації системи та виведення з експлуатації.

Відповідно до вимог технічного завдання організація – проектувальник поряд з технічними заходами та засобами розробляє організаційні заходи на етапі створення системи. Під етапом створення розуміється проектування, розробка, виготовлення та випробування системи. При цьому слід чітко розрізняти заходи щодо ЗІ, що проводяться організацією-проектувальником, розробником та «виготовлювачем» в процесі створення системи і розраховуються на захист від витоку в даній організації, і заходи, що закладаються в проект та документацію на систему і торкаються принципів організації захисту в самій системі. Саме з них випливають необхідні організаційні заходи щодо ЗІ.

До організаційних заходів щодо ЗІ в процесі створення системи слід віднести:

* проведення на необхідних етапах робіт з режимом секретності;

* розробка посадових інструкцій по забезпеченню режиму секретності відповідно до діючого законодавства;

* виділення при необхідності окремих приміщень з охоронною сигналізацією та пропускною системою;

* розмежування задач по виконавцям та випуску документації;

* присвоєння грифів секретності матеріалам та документації і збереження їх під охороною в виділених приміщеннях з урахуванням та контролем доступу виконавців;

* постійний контроль за дотриманням виконавцями режиму та відповідних інструкцій;

* встановлення і розподіл відповідальних осіб за витік інформації;

* інші заходи, що встановлюються в конкретних системах.

В процесі підготовки системи до експлуатації з метою ЗІ необхідно:

* при виділенні території, будинків та приміщень визначить контрольовану зону навколо об’єктів АС;

* встановити та устаткувати охоронну сигналізацію по границях контрольованої зони;

* створити контрольно-пропускну систему;

* перевірити схеми розміщення та місця установки об’єктів АС;

* перевірити стан системи життєзабезпечення людей, умови функціонування системи та збереження документації;

* підібрати кадри для обслуговування об’єктів АС, її захисту, і створити централізовану службу безпеки (СБ) при керівництві;

* провести навчання кадрів;

* організувати розподіл функціональних обов’язків і відповідальності посадових осіб;

* встановити повноваження посадових осіб щодо доступу до об’єктів та інформації АС;

* розробити посадові інструкції по виконанню функціональних обов’язків персоналу всіх категорій, включаючи СБ.

З точки зору способів реалізації основні організаційно-технічні заходи щодо створення і підтримки функціонування КСЗІ включають:

· разові заходи (проектування АС, створення СЗІ, розробка нормативних документів, створення служби безпеки та іе.);

· заходи, що проводяться при виникненні певних змін у самій АС, яка захищається або зовнішньому середовищиі (за необхідністю) (ремонти, модифікації АС, кадрові зміни та ін.);

· періодичні заходи (розподіл паролів, ключів шифрування, аналіз системних журналів і т.д.);

· постійні заходи (контроль за роботою персоналу, підтримка функціонування СЗІ, забезпечення фізичного захисту і т.д.).

В процесі експлуатації системи повинен здійснюватися централізований контроль доступу до інформації за допомогою технічних та організаційних заходів. Основна частина цих заходів входить до функцій СБ.