Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Sigurnost
  • Vrste zaštite informacija i sadržaj događaja. Tehničke metode dobijanja informacija

Vrste zaštite informacija i sadržaj događaja. Tehničke metode dobijanja informacija

17.04.2019 Sigurnost

Ako vas dobiveni rezultati nisu uplašili, možete prijeći na sljedeći veliki blok posla. Ovaj blok je stvaranje pravnog okvira za zaštitu informacija. Uopšteno govoreći, ove aktivnosti se sastoje od izrade Uredbe o poslovnoj tajni i Liste podataka klasifikovanih kao poslovna tajna, upoznavanja svih zaposlenih sa ovom uredbom i potpisivanja Ugovora o neotkrivanju poslovne tajne od strane svakog zaposlenog. Veliki broj dokumenata je zbog činjenice da je institucija poslovne tajne u ruskom pravu regulisana u nekoliko grana prava: - Građansko pravo - Krivično pravo - Radno pravo I kako bi se izbjegle "zastoje u paljenju" kao rezultat sukoba zakona , morate biti na sigurnoj strani. ja crtam Posebna pažnja u ovoj fazi. Ako želite pravno zaštititi svoju imovinu (u u ovom slučaju informacije), zatim se odnose na realizaciju ovih aktivnosti. Od fundamentalnog značaja nije samo svaka reč u ugovoru o neotkrivanju poslovne tajne, već i konstrukcija predloga i opšta logika dokumenta. Zatim možete nastaviti s implementacijom sljedećih koraka.

Prije svega, potrebno je reći o preventivnim mjerama, a zatim o mjerama za identifikaciju i suzbijanje pokušaja neovlaštenog preuzimanja informacija, pokušaja uništavanja ili iskrivljavanja informacija. Preventivni (profilaktički) treba da obuhvati: - objašnjavajući i edukativni rad sa kadrovima - objašnjenje šta je poslovna tajna, kako je zaštititi, kakve mogu biti posledice njenog odavanja, šta zaposleni treba da uradi u datoj situaciji, SVAKI zaposleni treba da osjeti da se ovom pitanju posvećuje dovoljno pažnje. - stvaranje uslova za zaštitu informacija zaposlenih - uslova za čuvanje nosača informacija (sef, ormarić koji se zaključava i sl.), uslova za bezbedan prenos informacija (zatvoreni kanali komunikacije) - preventivno čišćenje posebno važnih prostorija - pre važnih događaja, posle sastanaka , a planirana je i provjera posebno važnih prostorija na prisustvo tehničkih kanala curenja informacija - redovni pregled teritorije objekta - vrši se sa istom svrhom kao i prethodni događaj - stvaranje poseban tretman rad kako u preduzeću uopšte, tako i rad sa zaštićenim informacijama posebno - ovo je jasna regulacija skladištenja, prenosa, korišćenja, uništavanja zaštićenih informacija od Detaljan opis ko, u kojoj situaciji i šta treba uraditi, ovo je i kontrola usklađenosti ovaj režim- proučavanje kandidata za rad u kompaniji - to je saznavanje biografije kandidata, utvrđivanje njegovih veza sa kriminalcima, negativnih životnih činjenica, komunikacija sa direktnim i indirektnim konkurentima ili zlobnicima, recenzije sa prethodnih poslova itd.

Mjere za utvrđivanje činjenica ili pokušaja krađe, modifikacije i uništavanja informacija uključuju: - kontinuirano praćenje elektromagnetnog okruženja - instrumentalnu kontrolu svih zračenja u objektu i elektromagnetnih signala u komunikacijama - operativne aktivnosti - tajni rad, provokacije, rad sa osobljem, sa partnera, sa klijentima i sa konkurentima.

Mjere suzbijanja su logičan nastavak prethodne radnje: - zapravo suzbijanje - kažnjavanje zaposlenog (za to je potrebna baza dokaza), uklanjanje hipotekarnog uređaja itd. - kreiranje sistema za suzbijanje neovlašćenog zračenja - upotreba materijala koji apsorbuju elektromagnetno zračenje u izgradnji i uređenju prostorija, ugradnja i periodična upotreba sistema generatora buke - maskiranje ili šifrovanje korisnih signala - upotreba uređaja ili programa za šifrovanje prenesene informacije, ili maskiranje njegovog prisustva. Ovo je kratka lista onoga što je potrebno kreirati za normalan rad sistema informacione sigurnosti. Ovo nije posao za jedan dan i sistem neće raditi sam od sebe, čak i ako je sve detaljno opisano na papiru. Da bi ovaj kolos počeo da daje rezultate potrebna je osoba koja to zna, koja je u stanju i volja da to uradi, kao i odgovarajuća podrška menadžmenta, posebno na početna faza- faza formiranja. To je prvenstveno zbog otpora zaposlenih stvaranju sistema. Na kraju krajeva, ovo je komplikacija njihovog posla, što znači dodatne napore s njihove strane. A ljudi su lijeni i zato će se oduprijeti svim inovacijama koje im na neki način komplikuju život, čak i znajući važnost i neophodnost ovih inovacija.

klasifikacija poslovne tajne informacija

1

Utvrđen je stepen hitnosti problema zaštite informacija u današnje vrijeme. Prikazane su glavne definicije koje se odnose na inženjersku i tehničku zaštitu. Opisuje faze osiguranja zaštite informacija koje su potrebne u preduzećima. Izvršena je raspodjela zaštićenih objekata u odgovarajuće klase. Opisani su mogući kanali curenja informacija i prikazana je klasifikacija tehničkih kanala curenja informacija. Utvrđeni su uslovi za obim i prirodu skupa mjera za zaštitu povjerljiva informacija od curenja kroz tehničke kanale tokom rada štićenog objekta. Navedeni su glavni službenici preduzeća odgovorni za implementaciju informacione sigurnosti. Razmatraju se vrste tehničkih sredstava za prijem, obradu, čuvanje i prenošenje informacija. Opisane su glavne metode i načini zaštite informacija od curenja kroz tehničke kanale – organizacione, pretraživačke i tehničke. Prikazane su metode aktivne i pasivne zaštite informacija.

zaštita podataka

objekata

kanali curenja

klasifikacija

informacije

1. Khorev A.A. Organizacija zaštite informacija od curenja tehničkim kanalima // Specijalna tehnika. - 2006. - br. 3.

2. Khalyapin D.B. Zaštita podataka. Jeste li iuli? Zaštitite se. - M.: NOU SHO Bayard, 2004.

3. Averchenkov V.I., Rytov M.Yu. Služba informacione sigurnosti: organizacija i upravljanje: tutorial za univerzitete [elektronski izvor] - M.: FLINT, 2011.

4. Torokin A.A. Osnove inženjersko-tehničke zaštite informacija. - M.: Gelius, 2005.

5. Buzov G.A. Zaštita od curenja informacija tehničkim kanalima. M .: Hot line, 2005.

Trenutno su informacije ključne. Informacije - informacije o osobama, činjenicama, događajima, pojavama i procesima, bez obzira na oblik njihovog predstavljanja. Posjedovanje informacija u svakom trenutku davalo je prednost onoj strani koja je imala tačnije i opširnije informacije, posebno ako se radi o informacijama o rivalima ili konkurentima. "Ko posjeduje informacije, taj posjeduje svijet" (Nathan Rothschild - britanski bankar i političar).

Problem zaštite informacija je oduvijek postojao, ali je u današnje vrijeme, zbog velikog skoka u naučno-tehnološkom napretku, dobio posebnu važnost. Stoga je zadatak stručnjaka za informacionu bezbednost da ovladaju čitavim spektrom tehnika i metoda informacione bezbednosti, metodama modeliranja i projektovanja sistema informacione bezbednosti. Jedan od načina zaštite informacija je inženjerska i tehnička zaštita informacija. Inženjersko-tehnička zaštita je kombinacija posebnih organa, tehničkih sredstava i mjera za njihovu upotrebu u interesu zaštite povjerljivih informacija.

Curenje informacija odnosi se na neovlašteni proces prenošenja informacija od izvora do konkurenta. Fizički put prijenosa informacija od izvora do neovlaštenog primatelja naziva se kanal curenja. Kanal u kojem se vrši neovlašteni prijenos informacija korištenjem tehničkih sredstava naziva se tehnički kanal curenja informacija (TKUI). Klasifikacija tehničkih kanala curenja informacija prikazana je na slici.

Da bi se osigurala kvalitetna zaštita informacija od curenja tehničkim kanalima, prije svega, potreban je diferenciran pristup zaštićenim informacijama. Da biste to učinili, moraju se podijeliti u odgovarajuće kategorije i klase. U ovom slučaju, klasifikacija objekata se vrši u skladu sa zadacima tehničke zaštite informacija. Takođe se utvrđuju zahtjevi za obim i prirodu skupa mjera usmjerenih na zaštitu povjerljivih informacija od curenja kroz tehničke kanale tokom rada zaštićenog objekta.

Klasa zaštite A obuhvata objekte na kojima se vrši potpuno skrivanje informacijskih signala koji nastaju tokom obrade informacija ili pregovora (skrivanje činjenice obrade povjerljivih informacija na objektu).

Klasifikacija tehničkih kanala curenja informacija

Klasa zaštite B uključuje objekte koji skrivaju parametre informacijskih signala koji nastaju prilikom obrade informacija ili pregovora, za koje je moguće vratiti povjerljive informacije (skrivanje informacija obrađenih na objektu).

Ovisno o prirodi izvora povjerljivih informacija, kanali curenja imaju sljedeću klasifikaciju:

  • elektromagnetski kanali curenja informacija u radiofrekvencijskom opsegu elektromagnetnih talasa, kod kojih je karakteristika tehničkog izviđanja (demaskiranja) objekata zaštite elektromagnetno zračenje, čiji parametri kvalitativno ili kvantitativno karakterišu određeni objekat zaštite;
  • elektromagnetni kanali curenja informacija u infracrvenom opsegu elektromagnetnih talasa, u kojima je tehničko demaskirajuće svojstvo štićenog objekta intrinzično zračenje objekata u ovom opsegu;
  • akustički kanal curenja informacija. Koristi se za dobivanje informacija u akustičnom govoru i inteligenciji signala;
  • hidroakustički kanali curenja informacija. Koristi se prilikom prijema informacija o prijenosu zvučne informacijske komunikacije, izviđanja bučnih polja i hidroakustičkih signala;
  • seizmički kanali curenja informacija, koji omogućavaju otkrivanjem i analizom deformacijskih i posmičnih polja na zemljinoj površini da se utvrde koordinate i jačina raznih eksplozija, kao i presretanje pregovora koji su u toku na maloj udaljenosti;
  • magnetometrijski kanali curenja informacija, davanje informacija o objektima kroz detekciju lokalne promjene magnetsko polje Zemlje pod uticajem objekta;
  • hemijski kanali curenja informacija, koji omogućavaju dobijanje informacija o objektu putem kontakta ili daljinske analize promena u hemijskom sastavu okoline koja okružuje objekat.

Proces obezbjeđivanja zaštite informacija može se podijeliti u nekoliko faza.

Prva faza (analiza objekta zaštite) je utvrđivanje šta treba zaštititi.

Analiza se sprovodi u sledećim oblastima:

  • utvrđuju se informacije kojima je prije svega potrebna zaštita;
  • najviše se ističu važnih elemenata(kritične) informacije koje treba zaštititi;
  • određuje se životni vijek kritičnih informacija (vrijeme, šta je potrebno konkurentu za implementaciju dobijenih informacija);
  • su određene ključni elementi informacije (indikatori) koji odražavaju prirodu zaštićene informacije;
  • indikatori su klasifikovani prema funkcionalnim oblastima preduzeća (proizvodno-tehnološki procesi, sistem materijalno-tehničke podrške proizvodnje, sektori, menadžment itd.).

Druga faza se svodi na prepoznavanje prijetnji:

  • utvrđuje se ko može biti zainteresovan za zaštićenu informaciju;
  • ocjenjuju se metode koje koriste konkurenti da bi dobili ove informacije;
  • procjenjuju se vjerovatni kanali curenja informacija;
  • razvija se sistem mjera za suzbijanje akcija konkurenta.

Treće, efikasnost usvojenih i stalno operativnih sigurnosnih podsistema ( fizičko obezbeđenje dokumentaciju, pouzdanost osoblja, sigurnost komunikacijskih linija koje se koriste za prijenos povjerljivih informacija itd.).

Četvrto je određivanje potrebnih mjera zaštite. Na osnovu prve tri faze analitičkih studija utvrđuju se potrebne dodatne mjere i sredstva za osiguranje sigurnosti preduzeća.

Peto, čelnici firme (organizacije) razmatraju dostavljene prijedloge svih potrebnih sigurnosnih mjera, te izračunavaju njihovu cijenu i efektivnost.

Šesto - provođenje dodatnih mjera sigurnosti, uzimajući u obzir utvrđene prioritete.

Sedmo - praćenje i dovođenje osoblju firme o sprovedenim mjerama sigurnosti.

U okviru organizacije, proces zaštite informacija prolazi, u jednoj ili drugoj mjeri, kroz navedene faze.

Pod bezbednosnim sistemom preduzeća danas se podrazumeva organizovan skup posebnih organa, službi, sredstava, metoda i mera kojima se obezbeđuje zaštita vitalnih interesa pojedinca, preduzeća i države od unutrašnjih i spoljašnjih pretnji.

Sistem bezbednosti kompanije sastoji se od sledećih glavnih elemenata (službenici i organi):

  • Direktor kompanije zadužen za pitanja informacione sigurnosti.
  • Savjet za sigurnost firme.
  • Služba obezbeđenja kompanije.
  • Odjeli firme uključeni u osiguranje sigurnosti firme.

Upravljanje bezbednošću obično se poverava rukovodiocu preduzeća i njegovom zameniku za opšta pitanja(1. zamjenik), kome je služba obezbjeđenja direktno podređena.

Za organizovanje zaštite informacija u preduzeću potrebno je formirati Savet bezbednosti. To je kolegijalno tijelo na čijem je čelu čelnik kompanije, čiji sastav on imenuje iz reda kvalifikovanih službenika odgovornih za pitanja informacione sigurnosti. Vijeće sigurnosti izrađuje prijedloge za šefa o glavnim pitanjima osiguranja zaštite informacija, uključujući:

  • pravci bezbednosnih aktivnosti firme;
  • unapređenje sistema bezbednosti;
  • interakcija s vlastima, kupcima, partnerima, konkurencijom i potrošačima proizvoda, itd.

Uz tehnička sredstva za prijem, obradu, čuvanje i prenošenje informacija (TSPI), u prostorijama se instaliraju tehnička sredstva i sistemi koji nisu direktno uključeni u obradu povjerljivih informacija, ali se koriste u sprezi sa TSPI i nalaze se u području elektromagnetnog polja koje stvaraju. Takva tehnička sredstva i sistemi nazivaju se pomoćna tehnička sredstva i sistemi (VTSS).

U organizacijama se radi na inženjeringu tehnička zaštita informacije se obično sastoje od dvije faze:

  • izgradnja ili modernizacija sistema zaštite;
  • održavanje informacione sigurnosti na potrebnom nivou.

Formiranje sistema zaštite informacija vrši se u novostvorenim organizacijama, u ostalom se vrši modernizacija. postojeći sistem.

U zavisnosti od ciljeva, postupak sprovođenja mjera za osiguranje sigurnosti informacija i opreme koja se koristi, metode i metode zaštite od curenja informacija tehničkim kanalima mogu se podijeliti na organizacione, pretraživačke i tehničke.

Organizacijske odbrane

Ove mjere se izvode bez upotrebe posebne opreme i uključuju sljedeće:

  • uspostavljanje kontrolisanog prostora oko objekta;
  • uvođenje frekvencijskih, energetskih, vremenskih i prostornih ograničenja u režime rada tehničkih sredstava za prijem, obradu, skladištenje i prenošenje informacija;
  • isključenje za period zatvorenih sastanaka pomoćnih tehničkih sredstava i sistema (VTSS), koji poseduju kvalitete elektroakustičkih pretvarača (telefon, faks i dr.), sa priključnih vodova;
  • korištenje samo certificiranih TSPI i VTSS;
  • angažovanje na izgradnji i rekonstrukciji namjenskih (zaštićenih) prostorija, ugradnji opreme TSPI-a, kao iu poslovima na zaštiti informacija isključivo organizacija licenciranih od nadležnih službi za obavljanje djelatnosti u ovoj oblasti;
  • kategorizaciju i sertifikaciju objekata informatizacije i dodijeljenih prostorija za usklađenost sa zahtjevima za obezbjeđenje zaštite informacija pri radu sa informacijama različitog stepena tajnosti;
  • Režimsko ograničenje pristupa objektima plasmana maloprodajne industrije i dodijeljenim prostorijama.

Aktivnosti pretraživanja

Prijenosni prislušni (ugrađeni) uređaji se otkrivaju tokom posebnih pregleda i provjera. Pregled objekata za postavljanje tehničke i industrijske opreme i dodijeljenih prostorija vrši se bez upotrebe tehnologije od strane vizuelni pregled... Tokom posebna provjera koji se vrši upotrebom pasivnih (prijemnih) i aktivnih sredstava pretraživanja, vrši se:

  • kontrola radio spektra i bočnog elektromagnetnog zračenja TSPI;
  • identifikaciju uz pomoć indikatora elektromagnetnog polja, presretača, frekventnih mjerača, skenera ili hardversko-softverskih kompleksa tajno instaliranih prislušnih uređaja;
  • posebna inspekcija namjenskih prostorija, TSPI i VTSS korištenjem nelinearnih lokatora i mobilnih rendgenskih uređaja.

Tehnička zaštita

Takve aktivnosti se provode korištenjem pasivnih i aktivnih zaštitnih tehnika i sredstava. Pasivne tehničke metode zaštite uključuju:

  • ugradnja sistema ograničenja i kontrole pristupa na objektima postavljanja TSPI iu dodijeljenim prostorijama;
  • zaklon TSPI i priključnih vodova objekata;
  • uzemljenje TSPI i štitova priključnih vodova uređaja;
  • zvučna izolacija dodijeljenih prostorija;
  • ugrađivanje u VTSS, koji imaju efekat "mikrofona" i imaju izlaz izvan kontrolisanog područja, posebnih filtera;
  • unos autonomnih i stabilizovanih izvora, kao i uređaja za garantovano napajanje u strujni krug TSPI;
  • ugradnja filtera za suzbijanje buke u strujnim krugovima TSPI, kao i u elektroenergetskim mrežama namenskih prostorija.

Aktivan uticaj na kanale curenja ostvaruje se primenom:

  • prostorna buka koju stvaraju generatori elektromagnetne buke;
  • smetnje uočavanja koje stvaraju specijalni predajnici na radnim frekvencijama radio kanala uređaja za prisluškivanje;
  • akustična i vibraciona buka koju stvaraju vibroakustička zaštita;
  • suzbijanje diktafona uređajima usmjerene visokofrekventne radio emisije;
  • zagađenje bukom energetskih mreža, stranih provodnika i VTSS priključnih vodova koji izlaze izvan kontrolisanog područja;
  • načini termičkog uništavanja elektronskih uređaja.

Kao rezultat korišćenja sredstava za sprovođenje mera za obezbeđenje inženjersko-tehničke zaštite informacija, organizacija će značajno smanjiti verovatnoću realizacije pretnji, što nesumnjivo doprinosi očuvanju materijalnog i intelektualnog kapitala preduzeća.

Recenzenti:

Kitova OV, doktor ekonomskih nauka, profesor, šef katedre za informatiku, Federalna državna budžetska obrazovna ustanova visokog stručnog obrazovanja „Ruski ekonomski univerzitet po imenu G.V. Plekhanov" Ministarstva obrazovanja i nauke Ruske Federacije, Moskva;

Petrov L.F., doktor tehničkih nauka, profesor Katedre za matematičke metode u ekonomiji, Federalna državna budžetska obrazovna ustanova visokog stručnog obrazovanja „Ruski ekonomski univerzitet po imenu G.V. Plekhanov” Ministarstva obrazovanja i nauke Ruske Federacije, Moskva.

Rad je primljen 18.03.2014.

Bibliografska referenca

Titov V.A., Zamaraeva O.A., Kuzin D.O. MJERE ZA ORGANIZACIJU INŽENJERSKE I TEHNIČKE ZAŠTITE INFORMACIJA // Osnovna istraživanja... - 2014. - br. 5-3. - S. 573-576;
URL: http://fundamental-research.ru/ru/article/view?id=33920 (datum pristupa: 06.04.2019.). Predstavljamo Vam časopise koje izdaje "Akademija prirodnih nauka"

Svi su već prestali biti iznenađeni činjenicom da se informacije koje predstavljaju poslovnu tajnu ove ili one organizacije stalno pojavljuju u prodaji. Danas neće biti teško doći do baze klijenata ili ličnih podataka zaposlenih u kompaniji koja vas zanima. To se dešava zato što čelnici organizacija ne ulažu dovoljno napora da zaštite informacije koje se odnose na poslovne tajne. Štoviše, ne zaboravite na lovce iz stvarnog života na takve informacije. Naučno-tehnološki napredak uveo je u naš život veliki broj tehničkih sredstava koja nam omogućavaju da snimamo telefonske razgovore, sastanke, postalo je moguće čitanje informacija sa ekrana kompjutera, geografski izvan lokacije kompanije.

Ali glavni izvor curenja informacija su zaposleni. Oni su ti koji "cure" informacije koje predstavljaju poslovnu tajnu. Razloga za to može biti mnogo - i sticanje dodatnih prihoda, i iz nemara ili slučajno.

Danas su kompanije specijalizovane za tehničku zaštitu vrijedne informacije, nude niz proizvoda sposobnih za dinamičko blokiranje uređaja putem kojih sajber kriminalci mogu preuzimati informacije.

Ali teže je izgraditi odbranu od ljudskog faktora. Zaposlenima je potrebno jasno objasniti koji su podaci poslovna tajna i koliki je stepen odgovornosti za njihovo odavanje. Ograničiti pristup informacijama koje predstavljaju poslovnu tajnu: utvrditi proceduru postupanja sa ovim informacijama, pratiti poštovanje ove procedure. Develop specialne instrukcije o povjerljivosti.

Neophodno je zaključiti ugovore o radu sa zaposlenima, a sa drugim ugovornim stranama (lat. contrahens – ugovaranje – lica, ustanove, organizacije vezani obavezama iz opšteg ugovora, sarađujući u postupku ispunjenja ugovora) ugovore građanskog prava, koji moraju sadržati uslove o zaštita povjerljivih informacija. Obaveza neotkrivanja poslovne tajne može biti u bilo kom obliku, važno je da sadrži listu informacija koje čine poslovnu tajnu u vašem preduzeću.

Takođe, organizovati poseban kancelarijski rad kako bi se obezbijedila sigurnost medija koji sadrže komercijalne tajne, te implementirati sistem razdvajanja informacija u blokove. Svaki zaposleni treba da zna tačno onoliko koliko je potrebno da ispuni svoje dužnosti.

Drugi način zaštite prava vlasnika poslovne tajne je utvrđivanje sankcija za kršenje obaveze poštivanja povjerljivosti od strane ugovornih strana u građanskim ugovorima. By opšte pravilo, zaštita povrijeđenih građanskih prava se vrši na sudu (priznavanje prava, suzbijanje nezakonitih radnji, naknada za gubitke). Pored građanskopravnih metoda zaštite, poslovna tajna može se štititi i prema normama radnog, krivičnog prava, ali i prema normama nelojalne konkurencije.

Iz mogućnosti koje pruža zakon o radu, prava vlasnika poslovne tajne mogu se zaštititi radnjama kao što su privođenje materijalnoj odgovornosti i privođenje disciplinskoj odgovornosti do prestanka radnog odnosa. Osim toga, ukoliko postoje znaci krivičnog djela predviđenog relevantnim granama prava, moguće je da se počinioci privedu krivičnoj odgovornosti.

Prilikom skladištenja informacija u elektronskom obliku mogu se izdvojiti tri oblasti rada na zaštiti informacija: teorijska istraživanja, razvoj sigurnosnih sredstava i opravdanje načina upotrebe sigurnosnih sredstava u automatizovanim sistemima.

U teorijskom smislu, glavna pažnja posvećena je proučavanju informacione ranjivosti u sistemima elektronske obrade informacija, fenomenu i analizi kanala curenja informacija, utemeljenju principa zaštite informacija u velikim automatizovanim sistemima i razvoju metoda za procenu funkcionisanja. pouzdanost zaštite.

Do danas je razvijeno mnogo različitih alata, metoda, mjera i mjera za zaštitu informacija akumuliranih, pohranjenih i obrađenih u automatiziranim sistemima. Ovo uključuje hardver i softver, kriptografsko zatvaranje informacija, fizičke mjere, organizirane događaje, zakonodavne mjere. Ponekad se sva ova sredstva zaštite dijele na tehnička i netehnička, štoviše, hardversko i softversko i zatvaranje kriptografskih informacija se klasificiraju kao tehnička, a ostala gore navedena su netehnička.

a) metode hardverske zaštite.

Sredstva hardverske zaštite uključuju različite elektronske, elektro-mehaničke, elektrooptičke uređaje. Do danas je razvijen značajan broj hardvera. za razne namjene, međutim, najčešći su sljedeći:

Posebni registri za čuvanje sigurnosnih detalja: lozinke, identifikacioni kodovi, pečati potpisa ili nivoi tajnosti,

Generatori kodova dizajnirani da automatski generišu identifikacioni kod uređaja,

Uređaji za mjerenje individualnih karakteristika osobe (glas, otisci prstiju) u cilju identifikacije,

Posebni bitovi tajnosti, čija vrijednost određuje nivo tajnosti informacija pohranjenih u memoriji kojoj ovi bitovi pripadaju,

Krugovi za prekid prijenosa informacija u komunikacijskoj liniji u svrhu periodične provjere adrese za dostavu podataka.

Posebna i najraširenija grupa sredstava hardverske zaštite su uređaji za šifriranje informacija ( kriptografske tehnike).

b) metode zaštite softvera.

Softver za zaštitu uključuje posebne programe koji su dizajnirani za obavljanje zaštitnih funkcija i uključeni su u softver sistema za obradu podataka. Softverska zaštita je najčešći tip zaštite, čemu doprinose tako pozitivna svojstva ovog alata kao što su svestranost, fleksibilnost, lakoća implementacije, gotovo neograničene mogućnosti promjene i razvoja itd. By funkcionalna namjena mogu se podijeliti u sljedeće grupe:

Identifikacija tehničkih sredstava (terminala, uređaja upravljanje grupom ulaz-izlaz, računari, nosioci informacija), zadaci i korisnici,

Utvrđivanje prava tehničkih sredstava (dani i sati rada dozvoljeni za korištenje zadatka) i korisnika,

Praćenje rada tehničke opreme i korisnika,

Registracija rada tehničkih sredstava i korisnika pri obradi informacija ograničene upotrebe,

Uništavanje informacija u memoriji nakon upotrebe,

Alarmi u slučaju nedozvoljenih radnji,

Pomoćni programi za različite namjene: praćenje rada zaštitnog mehanizma, stavljanje pečata tajnosti na izdate dokumente.

c) rezervna kopija.

Izrada sigurnosne kopije informacija sastoji se od pohranjivanja kopije programa na medij. Na ovim medijima kopije programa mogu biti u normalnom (nekomprimovanom) ili arhiviranom obliku. Sigurnosne kopije se izvode kako bi se programi sačuvali od oštećenja (namjernih i slučajnih), te da bi se pohranili rijetko korišteni fajlovi.

G) kriptografsko šifrovanje informacije.

Kriptografsko zatvaranje (šifriranje) informacija sastoji se u takvoj transformaciji zaštićene informacije u kojoj je nemoguće odrediti sadržaj zatvorenih podataka po izgledu. Stručnjaci posebnu pažnju posvećuju kriptografskoj zaštiti, smatrajući je najpouzdanijom, a za informacije koje se prenose preko komunikacijske linije na daljinu - jedini lijek zaštita informacija od krađe.

Glavni pravci rada na razmatranom aspektu zaštite mogu se formulirati na sljedeći način:

Izbor racionalnih sistema šifriranja za sigurno zatvaranje informacija,

Obrazloženje načina implementacije sistema šifriranja u automatizovane sisteme,

Izrada pravila za upotrebu metoda kriptografske zaštite u procesu funkcionisanja automatizovanih sistema,

Procjena efikasnosti kriptografske zaštite.

Šiframa dizajniranim za zatvaranje informacija u računarima i automatizovanim sistemima postavlja se niz zahtjeva, uključujući: dovoljnu snagu (pouzdanost zatvaranja), lakoću šifriranja i dešifriranja od metode unutarmašinskog prikaza informacija, neosjetljivost na male greške u šifriranju, mogućnost unutarmašinske obrade šifriranih informacija, neznatna redundantnost informacija zbog enkripcije i niz drugih. U ovom ili onom stepenu, ove zahteve ispunjavaju neke vrste zamene, permutacije, gama šifre, kao i šifre zasnovane na analitičkim transformacijama šifrovanih podataka.

Kombinovane šifre su posebno efikasne kada je tekst sekvencijalno šifrovan pomoću dva ili više sistema šifrovanja (na primer, supstitucija i gama, permutacija i gama). Vjeruje se da je snaga enkripcije veća od ukupne snage u kompozitnim šiframa.

Svaki od sistema za šifrovanje se može implementirati iu automatizovani sistem programski, ili uz pomoć posebne opreme. Implementacija softvera je fleksibilnija i jeftinija od implementacije hardvera. Međutim, hardversko šifriranje je općenito nekoliko puta efikasnije. Ova okolnost je od odlučujućeg značaja u slučaju velikih količina zatvorenih informacija.

e) mjere fizičke zaštite.

Sljedeća klasa u arsenalu alata za sigurnost informacija su fizičke mjere. Riječ je o raznim uređajima i konstrukcijama, kao i mjerama koje potencijalnim uljezima otežavaju ili onemogućuju ulazak na mjesta na kojima je moguć pristup zaštićenim informacijama. Najčešće mjere su:

Fizička izolacija objekata u kojima je ugrađena oprema automatizovanog sistema od drugih objekata,

Ograđivanje teritorije računarskih centara ograde na takvim udaljenostima koje su dovoljne da isključe efektivnu registraciju elektromagnetnog zračenja i organizaciju sistematske kontrole ovih teritorija,

Organizacija kontrolnih punktova na ulazima u prostorije računskih centara ili opremljenih ulaznim vratima sa posebnim bravama koje omogućavaju regulisanje pristupa prostorijama,

Organizacija sigurnosnog alarmnog sistema.

f) organizacione mjere za zaštitu informacija.

Sljedeća klasa mjera zaštite informacija su organizacione mjere. To su takvi normativni pravni akti koji uređuju procese funkcionisanja sistema za obradu podataka, upotrebu njegovih uređaja i resursa, kao i odnos korisnika i sistema na način da se neovlašćeni pristup do informacija postaje nemoguće ili značajno otežano. Organizacione mjere igraju važnu ulogu u stvaranju pouzdanog mehanizma za zaštitu informacija. Razlozi zbog kojih organizacijske akcije igraju povećanu ulogu u sigurnosnom mehanizmu je to što je potencijal za neovlašteno korištenje informacija u velikoj mjeri vođen netehničkim aspektima: zlonamjernim radnjama, nemarom ili nemarom korisnika ili osoblja sistema za obradu podataka. Uticaj ovih aspekata je gotovo nemoguće izbjeći ili lokalizirati korištenjem gore navedenih hardvera i softvera, kriptografskog zatvaranja informacija i mjera fizičke zaštite. Za to je potreban skup organizacionih, organizacionih, tehničkih i organizaciono-pravnih mjera, koje bi isključile mogućnost rizika od curenja informacija na ovaj način.

Glavne aktivnosti u ovoj kombinaciji su sljedeće:

Sprovedene mjere u projektovanju, izgradnji i opremanju računskih centara (CC),

Sprovedene mjere u selekciji i obuci osoblja KZ (provjera primljenih, stvaranje uslova pod kojima osoblje ne bi željelo da ostane bez posla, upoznavanje sa mjerama odgovornosti za kršenje pravila zaštite),

Organizacija pouzdane kontrole pristupa,

Organizacija čuvanja i korišćenja dokumenata i medija: utvrđivanje pravila za izdavanje, vođenje dnevnika izdavanja i korišćenja,

Kontrola promjena u matematici i softveru,

Organizacija pripreme i kontrole rada korisnika,

Jedna od najvažnijih organizacionih mjera je održavanje u računarskom centru posebne službe za zaštitu informacija sa punim radnim vremenom, čiji bi broj i sastav obezbijedio stvaranje pouzdan sistem zaštitu i njeno redovno funkcionisanje.

Dakle, navedena sredstva, metode i mjere zaštite svode se na sljedeće:

1. Najveći efekat se postiže kada se svi korišteni alati, metode i mjere spoje u jedinstven, holistički mehanizam zaštite informacija.

2. Mehanizam zaštite treba osmisliti paralelno sa kreiranjem sistema za obradu podataka, počevši od trenutka izrade opšteg koncepta izgradnje sistema.

3. Funkcionisanje zaštitnog mehanizma treba planirati i osigurati uz planiranje i održavanje glavnih procesa automatizovane obrade informacija.

4. Neophodno je stalno praćenje funkcionisanja zaštitnog mehanizma.

Pošaljite svoj dobar rad u bazu znanja je jednostavno. Koristite obrazac ispod

Dobar posao na stranicu ">

Studenti, postdiplomci, mladi naučnici koji koriste bazu znanja u svom studiranju i radu biće vam veoma zahvalni.

Objavljeno na http://www.allbest.ru/

Uvod

“Ko posjeduje informacije, posjeduje svijet” vjerovatno je jedan od najistinitijih izraza današnjice, koji izražava suštinu najakutnijeg problema na svijetu. Kroz historiju čovječanstva mogu se navesti hiljade primjera krađe informacija, što je dovelo do najneugodnijih i najsloženijih posljedica. Zato se moraju zaštititi sve informacije barem neke vrijednosti, jer obavještajna djelatnost ne spava i samo se unapređuje.

Uprkos zabranama koje su na snazi ​​u skladu sa ruskim zakonodavstvom, vjerovatnoća curenja povjerljivih informacija ostvarenih uz pomoć savremenih tehničkih sredstava je prilično velika. Obavještajne tehnike i tehnologije se poboljšavaju, a to je dovelo do toga da su neke metode dobivanja informacija već uobičajene, prilično jeftine i prilično produktivne. Shodno tome, postoji potreba za sveobuhvatnim suzbijanjem svih mogućih kanala curenja informacija, a ne samo onih najjednostavnijih i najpristupačnijih.

Postoji nekoliko kanala komunikacije kroz koje se informacije prenose i svi moraju biti na odgovarajući način zaštićeni. Kako bi se izbjegle situacije s curenjem informacija, koriste se različita tehnička sredstva koja ne dozvoljavaju širenje informacija izvan date zone. Ako se informacija proširila izvan kontrolisanog područja, takvi kanali se nazivaju kanali curenja informacija. Također, postoji koncept kao što je neovlašteni pristup, može uključivati ​​slučajeve namjernog izobličenja, krađe, uklanjanja informacija od strane napadača.

U radu će se razmatrati pitanja osiguranja informacione sigurnosti preduzeća, kao i moguće prijetnje sigurnosti prostorija namijenjenih održavanju zatvorenih događaja u kojima se govori o informacijama koje predstavljaju državnu tajnu ili povjerljivim informacijama (npr. kancelarija direktora preduzeća).

Relevantnost ovog posla je potreba za zaštitom povjerljivih podataka, informacija i informacija čiji gubitak, otkrivanje ili izobličenje može imati negativne posljedice po organizaciju, preduzeće i državu, kao i potreba za poštivanjem informacioni sistem zahtjeve regulatornih pravnih dokumenata Ruske Federacije.

Svrha ovog rada je razvoj skupa preporuka za osiguranje informacione sigurnosti u preduzeću, proučavanje metoda zaštite informacija od tehničke inteligencije i od njihovog curenja kroz tehničke kanale, kao i proučavanje i izgradnja sistema za inženjersko-tehničku zaštita namjenske prostorije namijenjene održavanju zatvorenih događaja u kojima su podaci koji predstavljaju državnu tajnu ili povjerljivi podatak.

Radni zadaci

Istražite prijetnje i kanale curenja informacija. Razmotrite implementaciju tehničke mjere zaštita informacija.

Istražite glavne mjere za zaštitu informacija u preduzeću.

Istražiti sistem bezbednosti prostorija za održavanje zatvorenih događaja u kojima se govori o informacijama koje predstavljaju državnu tajnu ili poverljivim podacima (u daljem tekstu: prostorije). Analizirati postojeći sistem inženjersko-tehničke zaštite prostora i ponude moguće opcije modernizacija sistema inženjersko-tehničke zaštite prostorija;

Radovi su obavljeni u interesu elektronskog industrijskog preduzeća.

Na osnovu opšte odredbe rad preduzeća je preporučio bezbednosnu politiku i sredstva za njeno obezbeđivanje. U ovom radu, na osnovu analize kanala curenja informacija, predlaže se sistem zaštite prostorija, uzimajući u obzir višekanalno presretanje.

Praktični značaj ovog posla je smanjenje rizika od curenja povjerljivih informacija i državnih tajni na raznim kanalima u razmatranoj kancelariji rukovodioca elektronskog industrijskog preduzeća.

1. OPŠTI KONCEPTI INFORMACIONE SIGURNOSTI

informatička sigurnost pristupa računarstvu

1.1 Definicija pojma "zaštita informacija" i njeni ciljevi

Zaštita informacija je donošenje pravnih, organizacionih i tehničkih mjera koje imaju za cilj:

Osiguravanje zaštite informacija od neovlaštenog pristupa, uništavanja, modifikacije, blokiranja, kopiranja, pružanja, distribucije, kao i od drugih nezakonitih radnji u vezi sa takvim informacijama;

Poštivanje povjerljivosti ograničenih informacija;

Ostvarivanje prava na pristup informacijama.

Danas se može razlikovati nekoliko vrsta zaštićenih informacija, a svaka od njih ima svoje karakteristike u oblasti regulisanja, organizacije i sprovođenja same zaštite. Vrijedi istaknuti nekoliko zajedničke karakteristike zaštita informacija bilo koje vrste.

Na primjer,

vlasnik informacija sam organizuje i preduzima mere za njihovu zaštitu;

štiteći svoje podatke, vlasnik ih ograničava od pristupa trećim licima, nezakonitog sticanja ili korištenja na štetu svojih interesa, a također zadržava svoja prava na posjedovanje i raspolaganje ovim informacijama;

radi zaštite informacija neophodno je sprovesti niz mjera za ograničavanje pristupa njima i stvaranje uslova koji će u potpunosti isključiti ili onemogućiti neovlašćeni pristup klasifikovanim (povjerljivim) informacijama i njihovim nosiocima.

Zaštita informacija podijeljena je u dvije glavne grupe zadataka:

a) Zadovoljavanje informacionih potreba koje nastaju u toku bilo koje delatnosti, odnosno obezbeđivanje tajnih ili poverljivih podataka stručnjacima organizacija, firmi, preduzeća.

Svaki specijalista u procesu rada može koristiti informacije, otvorene i zatvorenog tipa... Informacije otvorenog tipa rijetko nosi nešto vrijedno, tako da nema ograničenja. Prilikom dostavljanja povjerljivih podataka specijalistu, postoje određena ograničenja: ova osoba ima odgovarajuće odobrenje (stepen tajnosti informacija kojima je dozvoljeno) i dozvolu za pristup određenim informacijama. U rješavanju problema pristupa specijaliste informacijama zatvorenog tipa uvijek postoje kontradiktornosti, s jedne strane potrebno je maksimalno ograničiti njegov pristup tajnim informacijama i time smanjiti vjerovatnoću curenja tih informacija, s druge strane, da najpotpunije zadovolji svoje potrebe za informacijama, uključujući broj i tajnost za informisanu odluku njihove servisne zadatke. U ovom slučaju, potrebno je voditi se prema dva faktora: njegovom službenom položaju i problemu koji trenutno rješava specijalist.

b) Zaštita povjerljivih informacija od neovlaštenog pristupa njima u zlonamjerne svrhe.

Ova grupa uključuje stanja kao što su:

Stvaranje uslova efektivna upotreba informacioni resursi;

Osiguravanje sigurnosti zaštićenih informacija;

Održavanje tajnosti ili povjerljivosti tajnih podataka u skladu sa utvrđenim pravilima za njihovu zaštitu;

Osiguravanje ustavnih prava građana na čuvanje ličnih tajni i povjerljivih ličnih podataka;

Sprečavanje nekažnjenog preusmjeravanja i nezakonite upotrebe intelektualne svojine;

Zaštita informacionog suvereniteta zemlje i proširenje mogućnosti države da ojača svoju moć kroz formiranje i upravljanje razvojem svog informacionog potencijala;

Tipovi zaštićenih informacija prikazani su na slici 1.

Slika 1. Vrste zaštićenih informacija

1.2 Način privatnosti ili povjerljivosti

Koncept zaštite informacija usko je isprepleten s pitanjem tajnosti ili povjerljivosti. Režim tajnosti je implementacija sistema zaštite informacija za određeno, određeno preduzeće, firmu, postrojenje, laboratoriju ili određeni program, na primjer, kao što je razvoj novih proizvoda.

Zaključak je da je režim tajnosti ili povjerljivosti čitav niz mjera kojima se sprovodi implementacija sistema zaštite informacija u zavisnosti od svih faktora koji utiču na izgradnju sistema zaštite informacija. glavni zadatak ovaj način je da osigura adekvatan nivo zaštite informacija. Sve zavisi od stepena njegove tajnosti, što je veći, to je i nivo zaštite, i odgovarajući režim tajnosti.

Režim tajnosti je primjena na određenom objektu važećih pravila i propisa za zaštitu podataka i informacija, uključujući i zakonom zaštićene tajne (državne, komercijalne i dr.), utvrđenih i naređenih relevantnim zakonskim aktima. Grupe mjera koje uključuju režim tajnosti:

Sistem autorizacije, odnosno precizna definicija zaposlenih koji imaju pristup ovim ili drugim zaštićenim informacijama i određenim prostorijama u kojima se obavlja posao.

Sprovođenje kontrole pristupa potrebne za određeni sigurnosni režim koji zahtijeva objekat.

Precizno utvrđena pravila i procedure za rad sa tajnim dokumentima ili drugim medijima zaštićenih informacija.

Stalna kontrola i preventivni rad sa osobljem koje ima pristup tajnim podacima, što pomaže u sprečavanju njihovog curenja.

1.3 Sigurnost informacija i njeni ciljevi

Pod informacijskom sigurnošću Ruska Federacija stanje zaštite svojih nacionalnih interesa u informatička sfera određena skupom uravnoteženih interesa pojedinca, društva i države.

Drugim rečima, informaciona bezbednost je skup mera koje imaju za cilj da obezbede bezbednost informacionih sredstava preduzeća. Treba naglasiti da se informaciona sigurnost može osigurati samo u slučaju integriranog pristupa. Razmatranje i odluka odabrana pitanja(npr. tehnički ili organizacioni) neće u potpunosti i u potpunosti riješiti problem informacione sigurnosti preduzeća.

Strategija informacione sigurnosti preduzeća je kombinacija dobro osmišljenih, planiranih akcija i brzih odluka za prilagođavanje preduzeća novim prilikama za dobijanje konkurentske prednosti i nove prijetnje slabljenju njegove konkurentske pozicije.

Glavni ciljevi informacione sigurnosti:

Povjerljivost

Integritet

Pogodnost

1.4 Politika sigurnosti informacija

U mnogim ruskim preduzećima i kompanijama sigurnost informacija je na niskom nivou. To potvrđuju i rezultati statističkih studija i direktnu komunikaciju sa specijalistima iz ove oblasti. Danas preduzeća praktično nemaju potpunu proceduru upravljanja rizikom za sigurnost informacija. Većina praktičara se ni ne bavi ovim zadatkom, oni se pri rješavanju problema sigurnosti informacija radije vode isključivo vlastitim iskustvom i intuicijom. Gubici zbog kršenja informacione sigurnosti mogu se izraziti kao curenje povjerljivih informacija, gubitak radnog vremena za oporavak podataka, otklanjanje posljedica napadi virusa i materijalne vrijednosti, na primjer, prijevara u finansijskoj sferi korišćenjem kompjuterskih sistema.

Politika sigurnosti informacija je skup dokumentiranih upravljačkih odluka usmjerenih na zaštitu informacija i povezanih resursa.

Politika sigurnosti informacija može se podijeliti na tri nivoa.

Najviši nivo treba da uključuje odluke koje se odnose na organizaciju u cjelini i dolaze od rukovodstva organizacije ili poduzeća. Takva lista može uključivati ​​sljedeće stavke:

Formiranje ili revizija programa informacione sigurnosti;

Postavljanje ciljeva koje organizacija treba da teži u oblasti informacione bezbednosti;

Pružanje pravnog okvira;

Formulisanje upravljačkih odluka o implementaciji programa informacione bezbednosti.

Politika vrhunski nivo bavi se tri aspekta poštovanja zakona i discipline u obavljanju poslova:

usklađenost sa postojećim zakonima.

kontrolu postupanja odgovornih za izradu bezbednosnog programa.

osiguravajući podređenost osoblja, odnosno uvesti sistem nagrada i kazni.

Srednji nivo obuhvata pitanja koja se odnose na određene aspekte informacione bezbednosti, ali važna za različiti sistemi kojim upravlja organizacija. Na primjer, stavovi prema nedovoljno dokazanim tehnologijama, korištenje kućnih ili tuđih računara, korištenje nezvaničnog softvera od strane korisnika itd.

Politika informacione sigurnosti na srednjem nivou treba da pokriva sljedeće teme:

Područje primjene;

Položaj preduzeća;

Uloge i odgovornosti;

Usklađenost sa zakonom;

Kontaktne tačke;

Sigurnosna politika nižeg nivoa može se pripisati određenim uslugama. Uključuje ciljeve i pravila za njihovo postizanje. Ako uporedimo donji nivo sa gornja dva, onda bi to trebalo biti mnogo detaljnije. Ovaj nivo je veoma važan za osiguranje režima informacione sigurnosti. Odluke na ovom nivou treba da se donose na menadžerskom, a ne tehničkom nivou.

Politika niskog nivoa može se zasnivati ​​na tri razmatranja kada se formulišu ciljevi: integritet, dostupnost i poverljivost.

Iz ovih ciljeva treba izvesti sigurnosna pravila koja opisuju ko šta može da radi i pod kojim uslovima. Kako detaljnija pravila, što su formalnije navedene, lakše je podržati njihovu implementaciju softverskim i tehničkim mjerama. Ali pravila koja su prestroga ometat će rad i morat ćete potrošiti vrijeme revidirajući ih. U takvoj situaciji menadžer treba da pronađe racionalno rešenje, kompromis, kada će se obezbediti pristojan nivo bezbednosti po pristupačnoj ceni, a radnici neće biti preopterećeni ili sputani.

2. PRIJETNJE I KANALI CURIJENJA INFORMACIJA, MJERE ZAŠTITE

2.1 Klasifikacija prijetnji informacijama

Podaci bilo koje vrijednosti uvijek su pod prijetnjom neovlaštenog pristupa, slučajnog ili namjernog uništenja ili njihove izmjene.

Postoje dvije vrste prijetnji podacima - to su prirodne prijetnje i umjetne prijetnje.

Prirodne prijetnje uključuju prijetnje uzrokovane uticajima na informacioni sistem i njegove elemente objektivnih fizičkih procesa ili prirodnih pojava koje ne zavise od ljudskog faktora.

Pretnje koje je stvorio čovjek uključuju prijetnje informacionom sistemu i njegovim elementima uzrokovane ljudskim aktivnostima. Na osnovu motivacije radnji, među umjetnim prijetnjama vrijedi istaknuti:

namjerne (namjerne) imaju za cilj nanošenje štete upravljanom sistemu ili korisnicima. Ovo često rade sajber kriminalci radi lične koristi.

nenamjerno (nenamjerno, slučajno). Izvor ovakvih prijetnji može biti hardverski kvar, nepravilne radnje zaposlenih ili njegovih korisnika, greške u softveru itd. Takve prijetnje također treba imati na umu, jer šteta od njih može biti značajna;

U vezi sa informacionim sistemom, vredi izdvojiti dve opcije za izvor pretnji: eksternu i internu. Klasifikacija prijetnji po sigurnost informacija prikazana je na slici 2.

Objavljeno na http://www.allbest.ru/

Slika 2. Klasifikacija prijetnji sigurnosti informacija

2.2 Model prijetnji sigurnosti informacija koje se obrađuju u računarskom objektu

Prijetnja sigurnosti informacija - skup uslova i faktora koji stvaraju prijetnju od narušavanja sigurnosti informacija. Drugim riječima, radi se o potencijalu utjecaja na zaštićeni objekt (namjeran ili slučajan), zbog čega može doći do gubitka ili curenja informacija, pa će vlasnik informacije biti oštećen.

Model prijetnje sigurnosti informacija prikazan je na slici 3.

Slika 3. Model prijetnji sigurnosti informacija

2.3 Klasifikacija kanala curenja informacija

Kanali curenja informacija - načini i metode curenja informacija iz informacionog sistema.

a) Elektromagnetski kanal. Uzrok njegovog nastanka je elektromagnetno polje. Struja, teče u tehničkim sredstvima za obradu informacija, stvara elektromagnetno polje. Elektromagnetno polje može inducirati struje u blisko raspoređenim žičanim vodovima (pikapi).

Zauzvrat, elektromagnetski kanal je podijeljen na:

Radio kanal (visokofrekventno zračenje).

Kanal niske frekvencije.

Mrežni kanal (preuzimanje na uzemljenim žicama).

Kanal za uzemljenje (prihvat na uzemljenim žicama).

Linearni kanal (preuzimanje na komunikacijskoj liniji između računala).

b) Akustični kanal. Povezan je sa širenjem zvučnih talasa u vazduhu ili elastičnim vibracijama u drugim medijima koje nastaju tokom rada uređaja za prikaz informacija.

c) Kanal neovlaštenog kopiranja.

d) Kanal neovlašćenog pristupa.

Glavni kanali curenja prikazani su na slici 4.

Slika 4. Glavni kanali curenja informacija

2.4 Kanali curenja informacija u računarskom objektu

2.4.1 Prijetnja sigurnosti informacija putem akustičnog kanala curenja

Neovlašteni pristup povjerljivim informacijama kroz akustični kanal curenja (slika 5) može se izvršiti:

direktnim slušanjem;

uz pomoć tehničkih sredstava.

Direktno prisluškivanje razgovora (razgovora) od strane napadača može se izvršiti:

kroz vrata;

kroz otvoren prozor (prozor);

kroz zidove, pregrade;

kroz ventilacione kanale.

Prisluškivanje pregovora kroz vrata moguće je pod uslovom da je ulaz u salu za sastanke napravljen uz kršenje uslova za zvučnu izolaciju. Ne treba ni pregovarati kada otvoreni prozori ili otvore za ventilaciju. U ovim uslovima može postojati direktan pristup sadržaju pregovora.

Zidovi, pregrade, plafoni, pa čak i pod sala za sastanke nisu zagarantovana zaštita od prisluškivanja osim ako su zvučno izolovani i sigurni da ispunjavaju zahteve za zvučnu izolaciju.

Ventilacijski kanali su vrlo opasni sa stanovišta neovlaštenog pristupa sadržaju pregovora. Omogućavaju vam da slušate razgovor u prostoriji na znatnoj udaljenosti. Stoga se postavljaju visoki zahtjevi za opremu ventilacijskih kanala.

Upotreba usmjerenih mikrofona za slušanje razgovora sada je široko rasprostranjena. U isto vrijeme, udaljenost slušanja, ovisno o stvarnom okruženju smetnji, može doseći stotine metara.

Napadači mogu koristiti kao usmjerene mikrofone:

Parabolični reflektorski mikrofoni;

rezonantni mikrofoni;

prorezni mikrofoni;

laserski mikrofoni.

Napadači za slušanje koriste i takozvane žičane mikrofone. Za prijenos informacija najčešće se koriste mikrofoni sa posebno položenim žicama, kao i mikrofoni s prijenosom informacija preko mrežne linije od 220 V.

Nije isključeno korištenje za prijenos informacija o prisluškivanju i drugih vrsta komunikacija (signalne žice, radio emitovanje, sat, itd.).

Stoga, prilikom izvođenja svih vrsta popravki i rekonstrukcija, na to se mora obratiti posebna pažnja, jer u suprotnom nije isključena mogućnost uvođenja ovakvih prislušnih uređaja. Radio mikrofone naširoko koriste uljezi za slušanje razgovora (razgovora). Trenutno postoji više od 200 različitih vrsta njih. Generalizirane karakteristike radio mikrofona su sljedeće:

Frekvencijski opseg: 27 - 1500 MHz;

Težina: jedinice grama - stotine grama;

Radni domet: 10 - 1600m;

Vrijeme kontinuirani rad: od nekoliko sati do nekoliko godina (u zavisnosti od načina ishrane).

Ovi uređaji predstavljaju veliku prijetnju sigurnosti pregovora (razgovora). Stoga je potrebno učiniti sve da se isključi njihovo prisustvo u salama za sastanke.

U posljednjoj deceniji, sajber kriminalci su počeli da koriste uređaje koji im omogućavaju da prisluškuju razgovore u prostorijama na znatnoj udaljenosti od njih (iz drugih okruga, gradova, itd.) pomoću telefonskih linija.

Objavljeno na http://www.allbest.ru/

Slika 5. Model informacijskih prijetnji kroz akustički kanal curenja

2.4.2 Prijetnje sigurnosti informacija zbog nametanja visoke frekvencije

Suština prisluškivanja uz pomoć visokofrekventnog upada je da se na telefonsku liniju poveže frekventni generator i zatim primi signal "odbijen" od telefonskog aparata, moduliran razgovorom u prostoriji.

Dakle, analiza prijetnji povjerljivim informacijama koje se nalaze u toku pregovora (razgovora) pokazuje da ako ne preduzmete mjere zaštite, onda je moguće da napadači pristupe njihovom sadržaju.

Objavljeno na http://www.allbest.ru/

Slika 6. Model informacijskih prijetnji uslijed visokofrekventnog nametanja

2.4.3 Rizik sigurnosti informacija kroz optički kanal curenja

Ako se pregovori vode u prostoriji u kojoj prozori nisu opremljeni zavjesama, roletnama, tada napadač u ovom slučaju ima priliku koristiti optički instrumenti sa velikim uvećanjem (dvogled, teleskopi) za pregled sobe. Pogledajte ko je u njemu i šta radi.

Laser

Slika 7. Model prijetnji informacijama preko optičkog kanala

2.4.4 Prijetnja sigurnosti informacija kroz vibroakustički kanal curenja

Neovlašteni pristup sadržaju pregovora (razgovora) od strane uljeza može se izvršiti i (slika 8) pomoću stetoskopa i hidroakustičnih senzora.

Objavljeno na http://www.allbest.ru/

Slika 8. Model informacijskih prijetnji kroz vibroakustički kanal curenja

Uz pomoć stetoskopa moguće je slušati razgovore (razgovore) kroz zidove debljine do 1 m 20 cm (u zavisnosti od materijala).

Ovisno o vrsti kanala za prijenos informacija sa samog senzora vibracije, stetoskopi se dijele na:

Žičani ( žičani kanal prijenos);

Radio (kanal za radio prijenos);

Infracrveni (infracrveni kanal za prenos).

Nije isključeno da uljezi mogu koristiti hidroakustične senzore koji omogućavaju slušanje razgovora u prostorijama pomoću cijevi za dovod vode i grijanja.

2.4.5 Prijetnje sigurnosti informacija uzrokovane namjernim faktorima

Prijetnje uzrokovane namjernim faktorima mogu doći kako od nesavjesnih zaposlenih u organizaciji (osoba koja imaju pristup računarskom objektu (VT), korisnika), tako i od neovlaštenih osoba (uljeza). Neki tipovi namjernih prijetnji mogu se pripisati oba znaka, međutim, preporučljivo je razmotriti ih odvojeno.

Prijetnje korisnika.

Ova vrsta prijetnje uključuje:

korišćenje standardnog načina pristupa sistemu u cilju nametanja zabranjenih radnji (nenormalna promena atributa pristupa);

korišćenje službenog položaja za dobijanje privilegovanog pristupa informacijama (u informatičkom objektu) ili za ukidanje ograničenja nametnutih zahtevima za zaštitu informacija;

fizičko uništenje sistema ili kvar njegovih komponenti;

onemogućavanje ili onemogućavanje podsistema sigurnosti informacija;

krađa nosilaca informacija i njihovo neovlašćeno kopiranje;

čitanje preostalih informacija iz RAM-a i sa eksternih uređaja za pohranu (pregled "smeća");

uvođenje hardverskih i softverskih "markera", "virusa" i "trojanskih" programa koji omogućavaju tajno i nezakonito primanje informacija iz VT objekta ili pristup modifikaciji (uništavanju) informacija koje se obrađuju u VT objektu.

Prijetnje od neovlaštenih osoba (uljeza).

prerušavanje u pravog korisnika nametanjem karakteristika njegove autorizacije (korišćenje podudarnih ili špijunskih lozinki, ključeva za šifrovanje, ukradenih identifikacionih kartica, propusnica itd.);

prerušiti se u pravog korisnika nakon što im se pristupi;

podmićivanje ili ucjena ovlaštenog osoblja;

krađa nosača informacija;

uvođenje hardverskih i softverskih "markera", "virusa" i "trojanskih" programa koji omogućavaju tajno i nezakonito primanje informacija iz VT objekta ili pristup modifikaciji (uništavanju) informacija koje se obrađuju u VT objektu;

ilegalno priključenje na komunikacijske linije;

presretanje podataka koji se prenose komunikacijskim kanalima;

presretanje informacija zbog ugrađenih uređaja;

2.5 Sprovođenje tehničkih mjera za zaštitu informacija u VT objektu

Za sprovođenje primarne tehničke zaštite potrebno je obezbediti:

* blokiranje kanala curenja informacija i neovlašćenog pristupa njihovim nosiocima;

* provjeru ispravnosti i operativnosti tehničkih sredstava VT objekta;

* instalirati alate za otkrivanje i ukazivanje na prijetnje, provjeriti njihov učinak;

* instalirati sigurne alate za obradu informacija, alate za sigurnost informacija i provjeriti njihov učinak;

* primjenjuju softversku zaštitu u računarskoj tehnici, automatizovanim sistemima, vrše njihovo funkcionalno testiranje i ispitivanje usklađenosti sa sigurnosnim zahtjevima;

* koristiti posebne inženjerske strukture i objekte (sisteme).

Izbor sredstava za osiguranje zaštite informacija je zbog fragmentiranog ili složenog načina zaštite informacija.

Fragmentirana zaštita pruža protumjere protiv određene prijetnje.

Sveobuhvatna zaštita pruža istovremenu zaštitu od više prijetnji.

Blokiranje kanala curenja informacija može se izvršiti:

* demontaža tehničkih sredstava, komunikacionih linija, signalizacije i upravljanja, energetskih mreža, čija upotreba nije povezana sa životnim održavanjem preduzeća i obradom informacija;

* uklanjanje pojedinih elemenata tehničke opreme, koja predstavlja okruženje za širenje polja i signala, iz prostorija u kojima kruže informacije;

* privremeno isključenje tehničkih sredstava koja nisu uključena u obradu informacija sa komunikacionih, signalnih, upravljačkih i energetskih mreža;

* korištenje metoda i sklopnih rješenja za zaštitu informacija koje ne krše osnovne specifikacije sredstva za pružanje informacijskih podataka.

Blokiranje neovlaštenog pristupa informacijama ili njihovim nosiocima može se izvršiti:

* stvaranje uslova za rad u okviru utvrđenih propisa;

* isključujući mogućnost korištenja neprovjerenog (testiranog) softvera, softvera i hardvera.

Sredstva za otkrivanje i ukazivanje na prijetnje služe za signaliziranje i obavještavanje vlasnika (korisnika, menadžera) o informacijama o curenju informacija ili kršenju njihovog integriteta. Alati za sigurnost informacija koriste se za pasivno ili aktivno sakrivanje informacija.

Za pasivno skrivanje, primjenjuju se filteri ograničenja, linijski filteri, poseban pretplatničkim uređajima zaštite i elektromagnetnih štitova.

Za aktivno prikrivanje koriste se uskopojasni i širokopojasni generatori linearnog i prostornog šuma.

Softver se koristi za pružanje:

* identifikacija i autentikacija korisnika, osoblja i resursa sistema za obradu informacija;

* diferencijacija pristupa korisnika informacijama, računarskoj tehnologiji i tehničkim sredstvima automatizovanih sistema;

* integritet informacija i konfiguracija automatizovanih sistema;

* registracija i obračun radnji korisnika;

* maskiranje obrađenih informacija;

* odgovor (alarm, isključenje, obustava rada, odbijanje zahtjeva) na pokušaje neovlaštenih radnji.

Na osnovu rezultata sprovođenja preporuka inspekcijskog izveštaja i sprovođenja mera zaštite informacija, isti treba da se sačini u slobodnoj formi akt o prijemu radova na zaštiti informacija, koji mora potpisati izvođač, lice odgovorno za zaštitu informacija, a odobriti ga rukovodilac preduzeća.

Da bi se utvrdila kompletnost i kvalitet rada zaštite informacija, potrebno je izvršiti certifikaciju. Certifikaciju sprovode organizacije licencirane za rad u oblasti zaštite informacija. Predmet sertifikacije su komponente informacionog sistema i njihovi pojedinačni elementi u kojima kruže informacije koje su predmet tehničke zaštite. Prilikom sertifikacije potrebno je:

Utvrditi usklađenost certificiranog objekta sa zahtjevima sigurnosti informacija;

Ocijeniti kvalitet i pouzdanost mjera zaštite informacija;

Ocijeniti kompletnost i dovoljnost tehničke dokumentacije za predmet sertifikacije;

Utvrditi potrebu za izmjenama i dopunama organizacionih i administrativnih dokumenata.

Tehničke mjere za zaštitu informacija u VT objektu treba da obezbijede:

Ograničavanje pristupa unutrašnjosti kućišta računara ugradnjom mehaničkih uređaja za zaključavanje.

Uništavanje svih informacija na hard disku računara kada se pošalje na popravku pomoću alata za formatiranje niskog nivoa.

Organizacija napajanja računara iz zasebnog izvora napajanja ili iz zajedničkog (gradskog) napajanja putem stabilizatora napona ( mrežni filter) ili motor generator.

Koristi se za prikaz informacija o displejima sa tečnim kristalima ili plazma, a za štampanje - inkjet ili laserskim štampačima.

Položaj prikaza, sistemska jedinica, tastaturu i štampač na udaljenosti od najmanje 2,5-3,0 metara od rasvjetnih uređaja, klima uređaja, komunikacija (telefon), metalnih cijevi, televizijske i radio opreme, kao i drugih računara koji se ne koriste za obradu povjerljivih informacija.

Isključivanje računara iz lokalne mreže ili mreže daljinski pristup prilikom obrade povjerljivih informacija o njemu, osim u slučaju prijenosa ovih informacija putem mreže.

Postavljanje štampača i tastature na mekane podloge kako bi se smanjilo curenje informacija kroz akustični kanal.

Prilikom obrade vrijednih informacija na računaru preporučuje se uključivanje uređaja koji stvaraju dodatnu pozadinu (klima uređaji, ventilatori), kao i obradu drugih informacija na obližnjim računarima. Ovi uređaji moraju biti smješteni na udaljenosti od najmanje 2,5-3,0 metara.

Uništavanje informacija odmah nakon upotrebe.

3. OSNOVNE MJERE ZAŠTITE INFORMACIJA U PREDUZEĆU

3.1 Ciljevi i principi organizacije službe informacione sigurnosti

Mnoga preduzeća organizuju odeljenja bezbednosti. Dužnosti takve službe obuhvataju organizovanje zaštite podataka koji se direktno odnose na državnu i poslovnu tajnu, obuku zaposlenih da čuvaju tajne svoje kompanije, objašnjavanje pravila za poštovanje zaštite informacija i politike privatnosti kompanije, kao i izradu metodoloških dokumenata. Služba bezbednosti prikuplja sve što je potrebno o dostupnosti tajnih podataka, uslovima njihovog čuvanja, komercijalnim tajnama datog preduzeća, utvrđuje krug lica koja im imaju pristup i kontroliše ih tako da pristup imaju samo oni zaposleni koji treba direktno u servisu. Takođe, službi bezbednosti se obično poveravaju poslovi kao što su praćenje informacija o stanju na tržištu, konkurentima, analiza i kontrola pokušaja konkurentskih firmi da dobiju pristup zaštićenim informacijama, kao i mogućnost da jasno i brzo otklone nedostatke na terenu. zaštite poslovnih tajni.

U organizaciji poseban sistem pristup povjerljivim informacijama - čitav kompleks administrativnih i pravnih normi, koji organiziraju pristup informacijama izvršitelja ili rukovodioca tajnog rada. Svrha ovog sistema je da zaštiti rad od neovlašćenog prijema tajnih podataka. Ovaj sistem se deli na:

dozvoljeni sistem pristupa tajnim dokumentima;

sistem šifri i propusnica za pristup prostorijama u kojima se obavljaju tajni poslovi.

Sigurnosni sistem obezbjeđuje fizičku sigurnost nosilaca tajnih informacija i sprečava neovlašćeni pristup teritoriji tajnih radova. Sigurnosni sistem - skup mjera, sredstava, snaga i mjera koje blokiraju pristup zaštićenim informacijama stranim osobama.

Skup mjera u cilju zaštite povjerljivih informacija, koje sprovodi sistem upravljanja, administracije i sigurnosti, je:

svakodnevno praćenje poštivanja pravila zaštite informacija od strane zaposlenih;

poštivanje od strane svih zaposlenih internih propisa, zaštite od požara, uputstava o zaštiti informacija i dr.;

kontrolu ulaska neovlašćenih lica na teritoriju i praćenje njihovog kretanja;

identifikaciju kanala curenja informacija i mjere za njihovo blokiranje;

sprečavanje otkrivanja zaštićenih informacija u otvorenim publikacijama;

U radu sa klijentima, pregovaranju sa partnerima i sl. važno je sklapati obostrano korisne ugovore, a ne dobijati informacije o zaštićenim informacijama.

Pravna zaštita informacija.

Zakonske mjere koje uređuju zaštitu tajnih i povjerljivih informacija podijeljene su u dvije grupe:

propise koji uređuju pravila i postupke za zaštitu informacija;

normativni akti koji utvrđuju odgovornost za pokušaj informisanja.

Krivičnopravne norme po svom sadržaju su, s jedne strane, zabrane, odnosno zabranjuju građanima da krše svoje obaveze i vrše krivična djela pod prijetnjom krivične kazne, a s druge strane obavezuju nadležne državne organe (FSB, Ministarstvo unutrašnjih poslova, tužilaštvo) za privođenje krivičnoj odgovornosti lica krivih za izvršenje krivičnog djela.
Osim toga, kršenje režima tajnosti, pravila čuvanja državne i poslovne tajne, koje nije krivično djelo, može povlačiti materijalne, disciplinske ili administrativne kazne u skladu sa važećim propisima: udaljenje s posla u vezi sa tajnom ili premještanje na drugo radno mjesto. , manje plaćeni, a također se ne odnose na povjerljive podatke.

Organizaciona zaštita informacija.

Ova grupa mjera ima za cilj organizovanje rada na sprovođenju pravila, procedura i uslova za zaštitu državne i poslovne tajne na osnovu pravilnika, utvrđeno zakonom i podzakonski akti (uputstva, propisi, itd.).

Organizacione mere zaštite informacija podrazumevaju, pre svega, rad sa osobljem koje će sprovoditi mere zaštite informacija, obuku zaposlenih o pravilima zaštite tajnih podataka. Regulatorne i pravno-organizacijske režimske mjere su osnov za rješavanje pitanja zaštite informacija o usklađenosti sa principom maksimalno ograničenje broj ljudi koji imaju tajne papire i dokumente. Organizacione mere zaštite informacija zahtevaju detaljno poštovanje pravila vođenja tajnih evidencija kako bi se isključio ili minimizirao gubitak poverljivih dokumenata. Osnovna svrha organizacionih mjera zaštite informacija je sprječavanje neovlaštenog pristupa državnim ili poslovnim tajnama i curenje zaštićenih informacija.

Zaštita inženjerskih i tehničkih informacija.

Ovo je posebna oblast zaštite informacija. Razvoj tehničkih sredstava za izviđanje (TSR) zahtijevao je stvaranje države cijeli sistem mjere za suzbijanje prikupljanja obavještajnih informacija korištenjem TCP-a.

Inženjersko-tehničke mjere zaštite informacija su kompleks organizacionih i inženjerskih mjera koje imaju za cilj eliminaciju ili značajno ometanje ekstrakcije zaštićenih informacija korištenjem TCP-a. Ovdje je najvažnije da svaka akcija zahtijeva reakciju. Očigledno nije dovoljno oduprijeti se TSW uz pomoć samo mjera organizacionog režima, jer TSW ne poznaju granice i na njihovo djelovanje ne utiču vremenski uslovi.

Inženjerske i tehničke mjere zaštite informacija dijele se u tri grupe:

Opće preventivne mjere, uključujući zakonska regulativa korištenje tehničkih sredstava u procesu ostvarivanja međunarodnih odnosa; uspostavljanje i održavanje režima u cilju sprečavanja curenja zaštićenih informacija putem kanala dostupnih TCP-u itd.;

organizacione mjere uključuju aktivnosti kao što su analiza i sinteza informacija o TCP-u i razvoj načina zaštite ovih parametara;

tehničke mjere obuhvataju skup inženjersko-tehničkih sredstava i mjera koje se koriste za prikrivanje zaštićenih informacija o objektima zaštite i tehničke dezinformacije protivnika od TCP-a.

3.2 Zaštićene informacije i objekti zaštite informacija preduzeća

Svrha mjera zaštite informacija koje se sprovode u objektima preduzeća je smanjenje rizika od oštećenja u prisustvu namjernih i nenamjernih prijetnji sigurnosti informacija. Postizanje potrebnog nivoa informacione bezbednosti treba da se obezbedi sistematskom primenom organizacionih, organizacionih, tehničkih, tehničkih i softversko-hardverskih mera u svim fazama rada objekata preduzeća.

Ovaj cilj se postiže racionalnim i međusobno povezanim rešavanjem u pogonima preduzeća sledećih zadataka, povezanih jednim konceptom:

a. definisanje informacija, informacionih resursa i procesa koje je potrebno zaštititi;

b. analiza demaskirajućih znakova koji otkrivaju zaštićene informacije o zaštićenim objektima, kanalima curenja, krađe, neovlaštenog pristupa i uticaja na zaštićene informacije;

c. procjena sposobnosti tehničkih obavještajnih službi i kriminalnih struktura za dobijanje zaštićenih informacija, neovlašteni pristup i utjecaj na informacijske resurse i procese, procjene stvarna opasnost curenje informacija, izobličenje, modifikacija, uništavanje ili blokiranje informacijskih resursa i procesa;

d. razvoj i implementacija tehnički i ekonomski opravdanih mjera zaštite informacija, uzimajući u obzir identifikovane moguće kanale njihovog curenja, uticaja i pristupa;

e. organizovanje i praćenje efikasnosti zaštite informacija na objektima informatizacije preduzeća.

Zaštićenim informacijama, zaštićenim informacijskim resursima i procesima u svim fazama životni ciklus objekti preduzeća uključuju:

a) Glasovne informacije koje sadrže podatke klasifikovane kao državna tajna.

b) Informacioni izvori koji sadrže informacije klasifikovane kao državna tajna, predstavljene u vidu nosača na magnetnoj i optičkoj osnovi, informativnih električnih signala, elektromagnetnih polja, informacionih nizova i baza podataka.

Prilikom analize sigurnosti zaštićenih informacija i informacionih resursa treba uzeti u obzir sve moguće vrste prijetnji.

Prema zahtevima informacione bezbednosti, objekti informatizacije preduzeća koje treba zaštiti spadaju u jednu od tri grupe:

a. Prva grupa - glavna tehnička sredstva i sistemi, kao i njihove komponente sa prostorijama u kojima se nalaze.

b. Druga grupa su namjenske prostorije posebno dizajnirane za održavanje zatvorenih događaja u kojima se raspravlja o informacijama koje predstavljaju državnu tajnu, kao i opremljene vladinim komunikacijama i drugim vrstama posebnih komunikacija.

c. Treća grupa - pomoćna tehnička sredstva i sistemi instalirani u dodijeljenim prostorijama.

Glavna tehnička sredstva uključuju:

a) Zasebne automatizovane radne stanice strukturnih podjela preduzeća, dizajnirane za obradu informacija koje sadrže podatke koji predstavljaju državnu tajnu.

b) Sredstva za obradu govornih, grafičkih, video informacija koja se koriste za obradu tajnih podataka.

c) Sredstva za izradu i reprodukciju povjerljivih dokumenata.

d) Komunikacioni objekti i sistemi u kojima kruže poverljivi podaci.

Predviđene prostorije III kategorije obuhvataju kancelarijske i radne prostorije odjeljenja preduzeća, u kojima se održavaju razgovori i pregovori o pitanjima sa stepenom tajnosti ne većim od „tajne“, kao i zbornice namijenjene za privatne događaje.

Određene prostorije II kategorije su prostorije posebno namjenjene za održavanje sastanaka u potpunosti tajna pitanja, kao i kancelarije rukovodećeg osoblja preduzeća i njegovih glavnih odeljenja u kojima se mogu voditi razgovori i pregovori o strogo poverljivim pitanjima.

Pomoćna sredstva i sistemi koji nisu namenjeni za obradu, prenos i skladištenje poverljivih informacija, smešteni su u namenskim prostorijama, kao i zajedno sa glavnim tehničkim sredstvima i sistemima.

3.3 Organizacione i tehničke mjere za zaštitu informacija

Zaštita informacija u objektima preduzeća treba da se sprovodi nizom mera koje imaju za cilj: sakrivanje ili značajne teškoće u dobijanju, korišćenjem tehničkih sredstava izviđanja, zaštićenih informacija o objektima zaštite; sprečavanje curenja informacija ili uticaja na informacione resurse i procese tehničkim kanalima i neovlašćenim pristupom njima; sprečavanje namjernih softverskih i hardverskih uticaja s ciljem narušavanja integriteta (uništenja, izobličenja) informacije (informacione tehnologije) u procesu njene obrade, prenosa i skladištenja ili narušavanja performansi tehničkih sredstava.

Na osnovu liste glavnih prijetnji sigurnosti informacija, u kompleksu mjera za zaštitu informacija u objektima preduzeća, može se razlikovati nekoliko pravaca:

Zaštita od curenja putem tehničkih kanala tajnih govornih (akustičnih) informacija o kojima se raspravlja u prostorijama preduzeća.

Zaštita glavnih tehničkih sredstava i sistema od curenja informacija koje predstavljaju državnu tajnu, putem kanala lažnog elektromagnetnog zračenja i smetnji

Zaštita informacija od neovlaštenog pristupa, uključujući kompjuterski virusi i drugi softverski i hardverski uticaji, od krađe tehničkih sredstava sa informacijama sadržanim u njima ili pojedinačnih nosilaca informacija.

Zaštita informacija od uticaja izvora destabilizirajućeg (destruktivnog) elektromagnetnog zračenja, kao i od uništavanja i izobličenja informacija putem posebno implementiranih elektronskih i softverskih alata (bookmarkova).

Organizacija zaštite od curenja putem tehničkih kanala tajnih govornih (akustičkih) informacija podrazumeva skup organizaciono-tehničkih mera koje imaju za cilj otklanjanje akustičkih i vibroakustičkih kanala curenja informacija, kao i tehničkih kanala koji nastaju radom pomoćnih tehničkih sredstava i putem uvođenje elektronskih uređaja za presretanje informacija...

Sprovođenje posebne provjere dodijeljenih prostorija, kao i tehničkih sredstava strane proizvodnje koja se u njima nalaze u cilju identifikacije mogućih elektronskih uređaja za presretanje informacija (bookmarka) koji su u njima možda ugrađeni.

Sprovođenje organizacionih i režimskih mjera za prijem i zaštitu dodijeljenih prostorija.

Ugradnja u namenske prostorije tehničkih sredstava (terminalnih uređaja za telefonsku komunikaciju, radio-difuziju, signalizaciju, električni sat i dr.), sertifikovanih prema zahtevima informacione bezbednosti ili zaštićenih prema rezultatima posebnih studija sertifikovanim zaštitnim sredstvima.

Ukidanje upotrebe radiotelefona, terminalnih uređaja celularne komunikacije u namenskim prostorijama.

Usklađenost sa zahtjevima za zvučnu izolaciju i vibroakustičku zaštitu ogradnih konstrukcija dodijeljenih prostorija, njihovih ventilacijskih i klimatizacijskih sistema. Povećanje zvučne izolacije omotača zgrade ili ugradnja aktivne zaštitne opreme vrši se na osnovu rezultata mjerenja informativnog odnosa signal-šum na mjestima mogućeg presretanja informacija.

Registraciju tehničkih pasoša o informacionoj sigurnosti za dodijeljene prostorije vrši glavni specijalista za informatičku sigurnost preduzeća uz učešće odjeljenja za upravljanje zgradama, sistemima napajanja, komunikacijama i tehničkim sredstvima, kao i odjelima koji se nalaze u dodijeljenim prostorijama.

Organizacija i realizacija sertifikacije dodijeljenih prostorija u skladu sa zahtjevima informacione sigurnosti uz izdavanje „Potvrde o usklađenosti“. Certifikaciju vrši organizacija koja ima odgovarajuće FSTEC licenca Rusija.

U cilju zaštite informacija koje se obrađuju svim vrstama osnovnih tehničkih sredstava i sistema, organizuje se i sprovodi skup organizaciono-tehničkih mera koje imaju za cilj otklanjanje ili značajno smanjenje nivoa lažnog elektromagnetnog zračenja i smetnji u komunikacionim linijama i komunikacijama koje odlaze. izvan kontrolisanog područja objekata preduzeća.

Ove aktivnosti uključuju:

Provođenje posebne provjere glavnih tehničkih sredstava strane proizvodnje u cilju identifikacije mogućih elektronskih uređaja za presretanje informacija (markera) koji su u njih mogli biti uneseni.

Izvođenje posebnih studija glavnih tehničkih sredstava i sistema i izdavanje uputa za rad.

Ispunjavanje zahtjeva uputstva za upotrebu za postavljanje glavnih tehničkih sredstava i sistema u odnosu na granice kontrolisanog područja.

Ispunjavanje uslova iz uputstva za upotrebu za postavljanje glavnih tehničkih sredstava i sistema u odnosu na pomoćna tehnička sredstva i sisteme koji izlaze van kontrolisanog područja.

Ispunjavanje zahtjeva uputstva za upotrebu za zaštitu sistema napajanja glavnih tehničkih sredstava i sistema.

Ispunjavanje zahtjeva uputstva za upotrebu za zaštitu sistema uzemljenja glavnih tehničkih sredstava i sistema.

Registraciju tehničkih pasoša o informacionoj bezbednosti za glavna tehnička sredstva i sisteme vrši glavni specijalista za bezbednost informacija preduzeća zajedno sa odeljenjem koje upravlja ovim sredstvima.

U cilju zaštite informacija i informacionih procesa(tehnologije) u sistemima informatizacije (automatizovanim sistemima), preduzimaju se mere za njihovu zaštitu od neovlašćenog pristupa i softverskih i tehničkih uticaja, uključujući i računarske viruse. Zaštićeni su automatizovani sistemi dizajnirani za obradu podataka koji predstavljaju državnu tajnu.

Mjere zaštite automatizovanih sistema dizajniranih za obradu informacija koje predstavljaju državnu tajnu od neovlašćenog pristupa informacijama imaju za cilj postizanje tri glavna svojstva zaštićenih informacija: povjerljivost, integritet, dostupnost.

Utvrđuju se mjere zaštite informacija kada su strani predstavnici u objektima preduzeća, postupak za njihovo sprovođenje i odgovornost službenika za njihovo sprovođenje. odvojena uputstva o prijemu stranih državljana.

Mjere osiguranja informacione sigurnosti sprovode se u svim fazama životnog ciklusa objekata preduzeća i sastavni su dio rada na njihovom kreiranju i radu.

U fazi rada poslovnog objekta, informacionih sistema i sredstava za zaštitu informacija, uključuje:

Administracija informatizacije i komunikacionih sistema u cilju obezbjeđenja sigurnosti informacija tokom njihovog rada, uključujući:

kontrolu pristupa sistemu i njegovim elementima;

formiranje i distribuciju detalja ovlašćenja korisnika u skladu sa utvrđenim pravilima kontrole pristupa;

formiranje i distribucija informacija o ključu i lozinki;

registracija i računovodstvo radnji u sistemu;

registracija nosilaca informacija;

davanje signalizacije o pokušaju kršenja zaštite;

održavanje funkcionisanja podsistema kriptografske sigurnosti informacija;

održavanje rada hardversko-softverskih i informacionih sistema bezbednosti u režimima utvrđenim operativnom dokumentacijom;

kontrolu integriteta softvera koji radi na računarskoj opremi u cilju otkrivanja neovlašćenih promjena u njoj, kao i za provođenje mjera za antivirusnu zaštitu nosilaca informacija i poruka primljenih putem komunikacijskih kanala;

upućivanje osoblja i korisnika tehničkih sredstava za prenos, obradu i čuvanje informacija o pravilima rada sa sredstvima informacione bezbednosti;

učešće u sprovođenju službene istrage o činjenicama povrede ili prijetnje narušavanjem sigurnosti zaštićenih informacija.

Organizacija i kontrola poslovanja fondova fizička zaštita, isključujući neovlašćeni pristup objektima zaštite i tehničkim sredstvima, njihovu krađu i ometanje rada.

Periodična provjera prostorija na nepostojanje eventualno implementiranih elektronskih sredstava presretanja informacija.

Periodični pregled dodijeljenih prostorija, sredstava i sistema informatizacije.

Periodična provjera usklađenosti radnih stanica sa zahtjevima antivirusne zaštite.

Periodično atestiranje zaštićenih objekata.

Kontrola radova na popravci i održavanju u dodijeljenim prostorijama, kao i na tehničkim sredstvima i njihovim komunikacijama

3.4 Softverske i hardverske metode i sredstva zaštite informacija od neovlaštenog pristupa u VT objektu

Tehnička osnova sistema za zaštitu informacija od neovlašćenog pristupa su softverske i hardverske metode i alati.

Da bi se formirao optimalan kompleks softverskih i hardverskih metoda i sredstava zaštite informacija, potrebno je proći kroz sljedeće faze:

Određivanje informacija i tehničkih resursa koje treba zaštititi;

Identifikacija punog skupa potencijalnih prijetnji i kanala curenja;

Procjena osjetljivosti informacija na identificirane prijetnje i kanale curenja;

Određivanje zahtjeva za sistem sigurnosti informacija;

Implementacija izbora alata za sigurnost informacija i njihovih karakteristika;

Sprovođenje i organizacija upotrebe odabranih mjera, metoda i sredstava zaštite;

Kontrola integriteta i upravljanje sigurnošću.

Skup zaštitnih metoda i sredstava uključuje:

Softverski alati i metode;

Hardver;

Zaštitne (kriptografske) transformacije;

Organizacione aktivnosti.

Metode softverske zaštite su skup algoritama i programa koji obezbjeđuju kontrolu pristupa i isključivanje neovlaštenog korištenja informacija.

Suština zaštite hardvera ili kola leži u činjenici da uređaji i tehnička sredstva za obradu informacija obezbeđuju prisustvo posebnih tehnička rješenja koji obezbeđuju zaštitu i kontrolu informacija, na primer, zaštitne uređaje koji lokalizuju elektromagnetno zračenje ili šeme za proveru informacija na paritet, koji kontrolišu ispravnost prenosa informacija između različitih uređaja informacionog sistema.

Slični dokumenti

    Potreba i potreba za zaštitom informacija. Vrste prijetnji sigurnosti informacionih tehnologija i informacija. Kanali curenja i neovlašteni pristup informacijama. Principi projektovanja sistema zaštite. Unutrašnji i eksterni prekršioci AITU.

    test, dodano 04.09.2011

    Najčešći načini neovlaštenog pristupa informacijama, kanali njihovog curenja. Metode zaštite informacija od prirodnih (hitnih) prijetnji, od nasumičnih prijetnji. Kriptografija kao sredstvo zaštite informacija. Industrijska špijunaža.

    sažetak, dodan 04.06.2013

    Glavni kanali curenja informacija. Glavni izvori povjerljivih informacija. Glavni objekti zaštite informacija. Glavni rad na razvoju i unapređenju sistema informacione bezbednosti. Model zaštite informacione bezbednosti AD "Ruske železnice".

    seminarski rad dodan 09.05.2013

    Opcije kontrole računara u offline modu. Klasifikacija sigurnosnih prijetnji, kanali curenja informacija. Hardverski i softverski sistemi i kriptografske metode za zaštitu informacija na računaru. Softverski sistem Kobra, nadzor.

    test, dodano 20.11.2011

    Neovlašteni pristupni putevi, klasifikacija prijetnji i objekata zaštite. Metode zaštite informacija u sistemima kontrole proizvodnje. Glavni kanali curenja informacija prilikom obrade na računaru. Tokovi informacija organizacije "TD Iskra" doo.

    seminarski rad dodan 15.03.2016

    Načini neovlaštenog pristupa, klasifikacija metoda i sredstava zaštite informacija. Kanali curenja informacija. Glavni pravci zaštite informacija u EMS-u. Mere direktne zaštite personalnog računara. Sigurnosna analiza čvorova lokalne mreže "Stroyproekt".

    teza, dodana 05.06.2011

    Pojam i vrste sistema mobilne komunikacije. Osobine konstrukcije i funkcioniranja. Sistem sigurnosti informacija. Pojam i klasifikacija prijetnji. Vrste prezentacije informacija i mogući kanali njihovog curenja. Scenariji neovlaštenog pristupa.

    seminarski rad dodan 23.11.2013

    Modeliranje objekata informacione sigurnosti. Strukturiranje zaštićenih informacija. Modeliranje sigurnosnih prijetnji: metode fizičkog prodora, tehnički kanali curenja informacija, prijetnje iz prirodnih izvora. Inženjerske i tehničke djelatnosti.

    seminarski rad, dodan 13.07.2012

    Analiza obrađenih informacija u objektu i softverska i hardverska obrada informacija. Organizacijske metode kontrole pristupa. Hardversko-softverski i tehnički uređaji zaštite, senzorska kontrola, video nadzor i alarmni sistemi.

    sažetak dodan 22.11.2014

    Spoljne pretnje informaciona sigurnost, oblici njihovog ispoljavanja. Metode i sredstva zaštite od industrijske špijunaže, njeni ciljevi: pribavljanje informacija o konkurentu, uništavanje informacija. Metode neovlaštenog pristupa povjerljivim informacijama.

Top srodni članci

Različiti pokreti miša okomito i horizontalno
Različiti pokreti miša okomito i horizontalno
Kako komprimirati teksture u Fallout 4
Kako komprimirati teksture u Fallout 4
Ostaje samo razumjeti potreban nivo
Ostaje samo razumjeti potreban nivo
Kategorije:
© 2021 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.