Комплексный подход к обеспечению информационной безопасности

Использование сети 220 в для передачи акустической информации из помещений.

Для этих целей применяют так называемые сетевые "закладки". К этому типу "закладок" чаще всего относят устройства, которые встраиваются в приборы, питающиеся от сети 220 В или сетевую арматуру (розетки, удлинители и т.д.).

Передающее устройство состоит из микрофона, усилителя и собственно передатчика несущей низкой частоты. Частота несущей обычно используется в диапазоне от 10 до 350 кГц. Передача и прием осуществляется по одной фазе или, если фазы разные то их связывают по высокой частоте через разделительный конденсатор.

Приемное устройство может быть изготовлено специально, но иногда применяют доработанные блоки бытовых переговорных устройств, которые сейчас продаются во многих специализированных магазинах электронной техники. Сетевые передатчики подобного класса легко камуфлируются под различного рода электроприборы, не требуют дополнительного питания от батарей и трудно обнаруживаются при использовании поисковой аппаратуры, широко применяемой в настоящее время.

В современных автоматизированных системах все острее встает вопрос обеспечения информационной безопасности. Эффективное решение вопросов защиты информации в современных автоматизированных системах может быть успешным только при условии использования комплексного подхода к построению системы обеспечения информационной безопасности, охватывающей все аспекты жизнедеятельности организации. Большой опыт создания таких систем позволил Научно-инженерному предприятию "Информзащита" разработать поэтапный план построения целостной системы защиты информации.

Решение задачи обеспечения информационной безопасности должно начинаться с анализа автоматизированной системы и технологии обработки информации. Данный этап позволит не только выявить и проанализировать возможные пути реализации угроз безопасности, но оценить вероятность и ущерб от их реализации. По результатам этого этапа вырабатываются рекомендации по устранению выявленных угроз, правильному выбору и применению средств защиты.

Наряду с анализом существующей технологии должна осуществляться разработка организационно-распорядительных документов, дающих необходимую правовую базу службам безопасности и отделам защиты информации для проведения всего спектра защитных мероприятий, взаимодействия с внешними организациями, привлечения к ответственности нарушителей и т.п. К числу таких документов можно отнести Концепцию информационной безопасности, План защиты, должностные инструкции, Положение о категорировании ресурсов автоматизированной системы (АС), изменения в положения об отделах и подразделениях и пр.

Следующим этапом построения комплексной системы информационной безопасности служит установка и настройка рекомендованных на предыдущем этапе средств защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности и другие. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал. Однако сложившаяся в России ситуация такова, что пока таких специалистов мало.

Выходом из сложившейся ситуации могут быть курсы повышения квалификации, на которых сотрудники отделов защиты информации и служб безопасности получат все необходимые практические знания для использования имеющихся средств защиты, выявления угроз безопасности и их предотвращения. Однако на этом процесс обеспечения безопасности не кончается. С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимостей и атак. Поэтому специалистам в области защиты информации необходима своевременная и полная информация о таких событиях.

Однако и на этом нельзя утверждать, что АС организации полностью защищена. Меняется технология обработки информации, изменяются программные и аппаратные средства, приходит и уходит персонал Банка. И необходимо периодически пересматривать разработанные организационно-распорядительные документы, проводить обследование АС или ее подсистем, обучать новый персонал, обновлять средства защиты. Следование описанным выше этапам построения комплексной системы обеспечения информационной безопасности поможет достичь необходимого и достаточного уровня защищенности вашей автоматизированной системы.