Перейдём к непосредственной теме статьи – защита объекта.

Допустим, к вам обратился клиент со следующей проблемой: есть подозрение, что конфиденциальная информация становится доступной для конкурентов.

Клиент – владелец небольшого предприятия, имеющего офис, состоящий из нескольких комнат. На предприятии есть бухгалтерия, производственные площади, кабинет директора, приёмная, комната отдыха. В составе предприятия есть собственная служба безопасности. Площади офиса расположены внутри многоэтажного здания, соседние помещения также заняты под офисы.

С чего начать защитные мероприятия? На первый взгляд необходимо защитить помещения предприятия с закрытием всех типовых каналов утечки информации. Но это очень большие деньги.

На первом этапе необходимо поинтересоваться, кого из конкурентов подозревает клиент в хищении информации. Если есть однозначные подозрения, желательно узнать, насколько дорога уходящая информация, каковы финансовые и технические возможности злоумышленников, т.е. какую сумму они могут себе позволить на съём информации.

Необходимо выяснить, какая группа персонала имеет доступ к уходящей информации. Имея эти сведения, двигаемся дальше.

Мероприятия по защите информации можно разделить на две основные группы: организационные мероприятия и технические мероприятия.

Не будем останавливаться подробно на организационных мероприятиях, для этого есть служба безопасности предприятия. Но несколько советов дать можно.

Необходимо разграничить доступ в помещения и к информации среди персонала предприятия, согласно их деятельности и иерархии. Этим мы существенно сужаем круг лиц, которым доступна конфиденциальная информация.

Необходимо контролировать установленный распорядок дня предприятия.

Необходима разъяснительная работа с персоналом о нежелательном обсуждении некоторых аспектов их работы за стенами предприятия.

Если информация доступна широкому кругу лиц, например, в бухгалтерии пять сотрудников, то защитные технические мероприятия помогут мало. В таком случае, например вместо установки систем защиты телефонных переговоров в бухгалтерии лучше установить систему документирования телефонных переговоров, например «Спрут». В таком случае служба безопасности сможет легко установить лицо, ответственное за разглашение конфиденциальной информации. Постоянное использование других систем защиты в таком помещении также невозможно, так как оно или создаёт некомфортную обстановку для работы, или изначально медицинский сертификат на прибор защиты ограничивает продолжительность его работы, и наконец, работа приборов может отрицательно влиять на работу офисной оргтехники.

Таким образом, мероприятия по защите информации на основных площадях предприятия лучше обеспечить с помощью организационных мероприятий и разрешённых к использованию технических средств контроля – регистраторы и тарификаторы телефонных переговоров, системы видео-аудионаблюдения, системы контроля доступа и т. д.

Что же защищать на предприятии с помощью техники? Лучше всего выделить специальную комнату для ведения переговоров (как правило - комната отдыха), обеспечить ограниченный доступ в неё, если есть необходимость в ведении конфиденциальных переговоров по телефону, выделить отдельную телефонную городскую линию (не коммутируя её с офисной мини-АТС) и завести в защищённое помещение. Если есть необходимость в использовании персонального компьютера, лучше его вывести из локальной сети предприятия. Если необходимо вести конфиденциальные переговоры в кабинете директора, то он тоже подлежит технической защите.

Теперь, когда определились с конкретным помещением, перейдём к техническим мероприятиям по защите.

Прежде всего, определим ТТХ помещения. Помещение имеет одно окно, одну батарею центрального отопления, две электрические розетки и освещение, присоединённые на две различные электрические фазы, в помещение заведена одна городская телефонная линия, в помещении постоянно находится персональный компьютер, не входящий в локальную сеть предприятия.

Стены помещения железобетонные. Габариты помещения: 4м х 5м х 2.7м.

План помещения представлен на рисунке 1.

Мероприятия по технической защите информации можно условно разделить на три направления: пассив­ные, активные и комбинированные.

Пассивная защита подразумевает обнаружение и локализацию источников и каналов утечки информа­ции.

Активная - создание помех, препятствующих съему информации.

Комбинированная - сочетает в себе использование двух предыдущих направлений и явля­ется наиболее надежной.

Однако пассивная и активная защиты уязвимы в не­котором смысле. Например, при использовании ис­ключительно пассивной защиты приходится проводить круглосуточный мониторинг, так как неизвестно, ког­да включаются средства съема, или теряется возмож­ность использовать оборудование обнаружения при проведении деловой встречи.

Активная защита может заметно ослож­нить жизнь людям, ведущим наблюдение за вами, а вы можете использовать ее вхоло­стую, не зная точно, есть ли наблюдение.

Комбинированная защита позволяет уст­ранить эти недостатки.

Модель защиты информации от утечки по техническим каналам с объекта зашиты

Таблица 9

	Место установки	Позиционное место установки устройств съема информации	Тип (индекс) устройства съема информации	Способ применения	Технический канал закрытия утечки информации
			Генератор шума «Гром ЗИ – 4»	Постоянно	Радиоэлектронный
	ПЭВМ кабинета №3		Генератор шума «ГШ-К-1000М»	Постоянно	Радиоэлектронный
			Генератор шума «Купол-W-ДУ»	Постоянно	Радиоэлектронный
	Розетка 220 В. Кабинет руководителя объекта защиты		Генератор шума	По решению руководства	Радиоэлектронный
Продолжение таблицы
			Генератор шума «SI-8001»	Постоянно	Радиоэлектронный
	Розетка 220 В. Кабинета №2		Генератор шума «SI-8001»	По решению руководства	Радиоэлектронный
			Генератор зашумления «Волна 4 М»	По решению руководства	Радиоэлектронный
	Кабинет руководителя объекта защиты		Генератор зашумления «SELSP-21B1»	По решению руководства	Радиоэлектронный
	Кабинет руководителя объекта защиты		Фильтр питания «ФСП-1Ф-7А»	Постоянно	Радиоэлектронный
	Окно кабинета руководителя объекта защиты		Виброакустическая система «ВГШ-103»	Постоянно	Акустический
	Окно помещения секретного отделения		Виброакустический генератор шума «ANG-2000»	По решению руководства	Акустический

Тактико-технические характеристики средств защиты

Таблица 10

	Место установки	Тип (индекс) устройства защиты информации	Технические характеристики
	Рабочий стол руководителя объекта защиты	Гром ЗИ-4	Диапазон частот- 20 - 1000 МГц Питание - сеть 220 В Напряжение сигнала - в диапазоне частот 100 кГц - 1МГц - 60 дБ
	Кабинет руководителя объекта защиты		Диапазон частот - 100 кГц - 1000 МГц Питание-+12 В, от шины компьютера Уровни излучаемой мощности шума - 30 - 45 дБ
Продолжение таблицы
	Помещение секретного отделения	Купол-W-ДУ	Радиус действия - 5 - 10 м Диапазон рабочих частот - 100 кГц - 1800 МГц Питание - 220 В мощность излучения - 15 Вт Коэффициент качества шума - не хуже 0.6
	Розетка 220 В. Кабинет руководителя объекта защиты		Ширина спектра помехи - 30 кГц - 30 МГц Питание - 220 В Уровень шумового сигнала - 75 - 35 дБ/мкВ
	Розетка 220 В. Помещения секретного отделения		Потребляемая мощность< 15ВА Питание-220 В Уровень помех-30 - 80 дБ
	Розетка 220 В. Кабинета №2		Ширина спектра помехи-5 кГц - 10 МГц Питание-220 В Уровень помех-30 - 80 дБ
	Кабинет руководителя объекта защиты		Диапазон частот - 0,5...1000 МГц Мощность - 20 Вт Питание - 220 В Амплитуда шумового сигнала - не менее 3 В
	Кабинет руководителя объекта защиты		Питание - 12 В Диапазон частот - 5 МГц...1 ГГц Уровень сигнала на выходе - 45 дБ Ток потребления - 350 мА
	Кабинет руководителя объекта защиты		Диапазон рабочих частот-0,15-1000 МГц Величина затухания-60 дБ Допустимый ток нагрузки-7 А
	Окно кабинета руководителя объекта защиты		Диапазон-40 дБв диапазоне частот 175 - 5600 Гц Радиус - 5 м
	Окно помещения секретного отделения		Ширина спектра помехи-250 Гц - 5 кГц Питание-220 В Потребляемая мощность-24 Вт Выходное напряжение -1 - 12 В Сопротивление> 0.5 Ом

Методы защиты информации от аварийных ситуаций

Защита информации от аварийных ситуаций заключается в создании средств предупреждения, контроля и организационных мер по исключению НСД на комплексе средств автоматизации в условиях отказов его функционирования, отказов системы защиты информации, систем жизнеобеспечения людей на объекте размещения и при возникновении стихийных бедствий.

Практика показывает, что хотя аварийная ситуация - событие редкое (вероятность ее появления зависит от многих причин, в том числе не зависящих от человека, и эти причины могут быть взаимосвязаны), защита от нее необходима, так как последствия в результате ее воздействия, как правило, могут оказаться весьма тяжелыми, а потери - безвозвратными. Затраты на защиту от аварийных ситуаций могут быть относительно малы, а эффект в случае аварии - большим.

Отказ функционирования АСОИ может повлечь за собой отказ системы защиты информации, может открыться доступ к ее носителям, что может привести к преднамеренному разрушению, хищению или подмене носителя. Несанкционированный доступ к внутреннему монтажу аппаратуры может привести к подключению посторонней аппаратуры, разрушению или изменению принципиальной электрической схемы.

Отказ системы жизнеобеспечения может привести к выводу из строя обслуживающего и контролирующего персонала. Стихийные бедствия: пожар, наводнение, землетрясение, удары молнии и т. д. - могут также привести к указанным выше последствиям. Аварийная ситуация может быть создана преднамеренно. Тогда применяются организационные мероприятия.

На случай отказа функционирования АСОИ подсистема контроля вскрытия аппаратуры снабжается автономным источником питания. Для исключения безвозвратной потери информации носители информации дублируются и хранятся в отдельном удаленном и безопасном месте. Для защиты от утечки информация должна храниться в закрытом криптографическим способом виде. В целях своевременного принятия мер по защите системы жизнеобеспечения устанавливаются соответствующие датчики, сигналы с которых поступают на централизованные системы, контроля и сигнализации.

Пожар – типичная угроза. Может возникнуть по вине обслуживающего персонала, при отказе аппаратуры, а также в результате стихийного бедствия.

Организационные мероприятия по защите информации в АСОИ заключаются в разработке и реализации административных и организационно-технических мер при подготовке и эксплуатации системы.

Организационные меры, по мнению зарубежных специалистов, несмотря на постоянное совершенствование технических мер, составляют значительную часть системы защиты. Они используются тогда, когда вычислительная система не может непосредственно контролировать использование информации. Кроме того, в некоторых ответственных случаях в целях повышения эффективности защиты полезно технические меры продублировать организационными.

Организационные меры по защите систем в процессе их подготовки и функционирования охватывают решения и процедуры, принимаемые руководством потребителя системы. Хотя некоторые из них могут определяться внешними факторами, например законами или правительственными постановлениями, большинство проблем решается внутри организации в контрольных условиях.

В большинстве исследований, посвященных проблемам защиты информации, и в существующих зарубежных публикациях основное внимание уделялось либо правовому аспекту и связанным с ним социальным и законодательным проблемам, либо техническим приемам решения специфических проблем защиты. По сравнению с ними организационным вопросам недоставало той четкой постановки, которая присуща техническим проблемам, и той эмоциональной окраски, которая свойственна правовым вопросам.

Составной частью любого плана мероприятий должно быть четкое указание целей, распределение ответственности и перечень организационных мер защиты. Распределение ответственности и функций по реализации защиты от организации к организации может изменяться, но тщательное планирование и точное распределение ответственности являются необходимыми условиями создания эффективной жизнеспособной системы защиты.

Организационные меры по защите информации в АСОИ должны охватывать этапы проектирования, разработки, изготовления, испытаний, подготовки к эксплуатации и эксплуатации системы.

В соответствии с требованиями технического задания в организации проектировщике наряду с техническими средствами разрабатываются и внедряются организационные мероприятия по защите информации на этапе создания системы. Под этапом создания понимаются проектирование, разработка, изготовление и испытание системы. При этом следует отличать мероприятия по защите информации, проводимые организацией-проектировщиком, разработчиком и изготовителем в процессе создания системы и рассчитанные на защиту от утечки информации в данной организации, и мероприятия, закладываемые в проект и разрабатываемую документацию на систему, которые касаются принципов организации защиты в самой системе и из которых вытекают организационные мероприятия, рекомендуемые в эксплуатационной документации организацией-разработчиком, на период ввода и эксплуатации системы. Выполнение этих рекомендации есть определенная гарантия защиты информации в АСОИ.

К организационным мероприятиям по защите информации, в процессе создания системы относятся:

Организация разработки, внедрения и использования средств;

Управление доступом персонала на территорию, в здания, и помещения;

Введение на необходимых участках проведения работ с режимом секретности;

Разработка должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкциями и положениями;

При необходимости выделение отдельных помещений с охранной сигнализацией и пропускной системой;

Разграничение задач по исполнителям и выпуску документации;

Присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учетом и контролем доступа исполнителей;

Постоянный контроль за соблюдением исполнителями режима и соответствующих инструкций;

Установление и распределение ответственных лиц за утечку информации.

Организационные мероприятия, закладываемые в инструкцию по эксплуатации на систему и рекомендуемые организации-потребителю, должны быть предусмотрены на периоды подготовки и эксплуатации системы.

Указанные мероприятия как метод защиты информации предполагают систему организационных мер, дополняющих и объединяющих перечисленные выше технические меры в единую систему безопасности информации

6.Государственная политика в сфере информационной безопасности. Определение и задачи информационной безопасности. Составляющие национальных интересов рф в информационной сфере.

7.Защита информации. Виды и содержание мероприятий.

8. Защита информации. Виды и содержание мероприятий.

10.Технические средства ит. Типы современных компьютеров.

11. Персональный компьютер: назначение, функции. Основные устройства пк, назначения, функции, характеристики.

12. Единицы измерения информации. Устройства хранения информации.

13. Виды и классификация программных средств.

14. Операционные системы: назначение, функции. Роль и место ос в программном обеспечении компьютера.

15. Характеристика и особенности операционной системы Windows.

16.Организация хранения информации. Структура файловой системы. Понятие диска, файла, папки. Типы файлов.

17. Основные операции с файлами и папками. Средства работы с папками и файлами: ярлык, системная папка Корзина, буфер обмена.

18.Обслуживание внешних устройств памяти средствами служебных программ ос

19. Основные элементы управления интерфейса пользователя Windows.

20.Настройка интерфейса пользователя. Настройка Главного меню, Рабочего стола

21 . Текстовые редакторы как средство подготовки правовых документов: основные и дополнительные возможности и функцииMs word.

26 .Орфографический и стилистический контроль, исправление ошибок (msWord).

27. Параметры страницы и способы их задания msWord.

28.Нумерация страниц. Параметры колонцифры (msWord)

29 Использование настраиваемой табуляции для оформления структурированных абзацев msWord.

31 . Подготовка и оформление таблиц.

32 . Сноски: средства создания и оформления.

33 . Понятие шаблона документа и стиля оформления: их использование.

34 . Понятие колонтитула: средства создания и оформления.

35 . Автоматизированное создание оглавления структурированного документа.

36. Средства создания многоколонного текста msWord.

37. Электронные таблицы: назначение, основные и дополнительные функции ms Excel.

38. Понятие книги, листа, ячейки электронной таблицы. Абсолютная и относительная ссылка на ячейку.

39. Ввод и редактирование данных в электронных таблицах.

40. Форматы строки, столбца, ячеек электронной таблицы и их установка. Основные форматы данных: числовые, процентные, датывремени ms Excel.

41. Организация вычислений в электронной таблице: ввод и копирование формулы.

43. Создание диаграмм и графиков в электронной таблице: этапы построения ms excel.

45 Выполнение аналитической обработки данных в списке: сортировка, отбор данных по критерию; подведение итогов (ms Excel).

46 Защита данных в электронной таблице (ms Excel)

Вопрос 48 . Системы управления базами данных субд: назначение и функции.

50 . Создание бд. Описание поля: тип, размер, формат и прочие свойства поля ms Access.

51. Ключевое поле, его назначение и использование.

52 - 53. Структура бд в Access. Связь между таблицамиСредства Access для установления связей между таблицами.

54 . Формы: назначение, средства создания, использования ms Access.

55 . Сортировка записей на экране: использование фильтра

56 . Виды запросов. Порядок формирования запроса.

57. Запрос на выборку. Ms Access.

58 . Вычисление в запросе. Способы группировки, групповые функции.

59 . Вычисление на данных в бд: формирование запроса на обновлениеMs Access

Вопрос 60. Запросы с параметрами ms Access.

61. Отчеты: назначение, средства создания, использование ms Access.

62. Понятие и виды компьютерных сетей.

63 . Сеть Internet как информационная среда. Понятие сайта.

Вопрос 64. Логическая и физическая структура Internet. Протокол tcpip.

65 . Гипертекстовая технология www. Язык html. Web-страница.

66 . Адресация в сети Internet, доменная система имён.

67. Обозреватель Microsoft Internet Explorer. Характеристика, способы настройки и использование.

68. Доступ к Internet. Службы Internet. Способы поиска информации в Internet.

69 . Основные поисковые системы. Язык запросов.

70. Электронная почта.

71. Понятие и виды электронных презентаций.

72. Планирование и организация электронной презентации.

Вопрос 73-74Структура слайда электронной презентации.. Создание и управление слайдами презентации.

Вопрос 76.Анимация объектов на слайде презентации.

76. Анимация объектов на слайде презентации.

77. Структура информационного массива в справочной правовой системе.

78. Виды поиска в справочных правовых системах.

79.Реквизиты документов в справочной правовой системе, их использование для поиска.

80 Контекстный поиск в текстах документов справочных правовых систем

81 Поиск по тематическим классификаторам в справочных правовых системах

82. Поиск по ключевым словам в справочных правовых системах: назначение в использование.

7.Защита информации. Виды и содержание мероприятий.

защита информации - есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих доступ к засекреченной информации и ее носителям.

Следовательно, под защитой информации следует также понимать обеспечение безопасности информации и средств информации, в которых накапливается, обрабатывается и хранится защищаемая информация.

Таким образом, защита информации - это деятельность собственника информации или уполномоченных им лиц по:

> обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;

> предотвращению утечки и утраты информации;

сохранению полноты, достоверности, целостности защищаемой информации, ее массивов и программ обработки;

> сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами.

Основными организационно-техническими мероприятиями, которые проводятся государственной системой защиты информации, следует считать:

государственное лицензирование деятельности предприятий в области защиты информации;

аттестация объектов информации по требованиям безопасности информации, предназначенная для оценки подготовленности систем и средств информатизации и связи к обработке информации, содержащей государственную, служебную или коммерческую тайну;

сертификация систем защиты информации;

К организационно-техническим мероприятиям, проводимым государственной системой защиты информации, также относятся:

введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах эксплуатации технических средств, подлежащих защите;

создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

разработка и внедрение технических решений и элементов защиты информации при создании вооружения и военной техники и при проектировании, строительстве и эксплуатации объектов информатизации, систем и средств автоматизации и связи.

8. Защита информации. Виды и содержание мероприятий.

1.Технические средства защиты информации, включая средства контроля эффективности принятых мер защиты информации:

1.1. Средства защиты информации от перехвата оптических сигналов изображений в видимом, инфракрасном и ультрафиолетовом диапазонах волн.

1.2. Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах.

2. Технические средства и системы в защищенном исполнении, в том числе:

2.1. Средства скремблирования, маскирования или шифрования

телематической информации, передаваемой по каналам связи.

2.2. Аппаратура передачи видеоинформации по оптическому каналу.

3. Технические средства защиты специальных оперативно-технических мероприятий специальных технических средств, предназначенных для негласного получения информации.

4. Технические средства защиты информации от несанкционированного доступа НСД:

4.2. Специальные средства защиты от подделки документов на основе оптико-химических технологий, в том числе:

Средства защиты документов от ксерокопирования

Средства защиты документов от подделки подмены с помощью химических идентификационных препаратов

Средства защиты информации с помощью тайнописи.

5. Программные средства защиты информации от НСД и программных закладок:

5.1. Программы, обеспечивающие разграничение доступа к информации.

5.3. Программы проверки функционирования системы защиты информации и контроля целостности средства защиты от НСД.

5.4. Программы защиты различного вспомогательного назначения, в том числе антивирусные программы.

6. Защищенные программные средства обработки информации:

6.1. Пакеты прикладных программ автоматизированных рабочих мест АРМ.

6.2. Базы данных вычислительных сетей.

7. Программно-технические средства защиты информации:

7.1 Программно-технические средства защиты информации от несанкционированного копирования,

7.2. Программно-технические средства криптографической и стенографической защиты информации включая средства маскирования информации при ее хранении на носителях данных и при передаче по каналам связи.

7.3. Программно-технические средства прерывания работы программы пользователя при нарушении им правил доступа, в том числе:

Принудительное завершение работы программы

Блокировка компьютера.

7.4. Программно-технические средства стирания данных, в том числе:

8. Специальные средства защиты от идентификации

9. Программно-аппаратные средства защиты от несанкционироличности:

8.1. Средства защиты от фонографической экспертизы речевых сигналов.

8.2. Средства защиты от дактилоскопической экспертизы.ванного доступа к системам оперативно-розыскных мероприятий СОРМ на линиях связи:

9.1. В проводных системах связи.

9.2. В сотовых системах связи.

9. Основные положения законодательства о защите информации .

Правовая защита информации

Правовая охрана программ для ЭВМ и баз данных впервые в полном объёме введена в Российской Федерации Законом РФ О правовой охране программ для электронных вычислительных машин и баз данных, который вступил в силу в 1992 году.

Предоставляемая настоящим законом правовая охрана распространяется на все виды программ для ЭВМ в том числе на операционные системы и программные комплексы, которые могут быть выражены на любом языке и в любой форме, включая исходный текст на языке программирования и машинный код. Однако правовая охрана не распространяется на идеи и принципы, лежащие в основе программы для ЭВМ. В том числе на идеи и принципы организации интерфейса и алгоритма.

Для оповещения с своих правах разработчик программы может. Начиная с первого выпуска в свет программы, использовать знак охраны авторского права, состоящий из трёх элементов:

Буквы С в окружности или круглых скобках c

Наименования имени правообладателя

Года первого выпуска программы в свет.

c Корпорация Microsoft, 1993-1997.

Организация или пользователь, правомерно владеющий экземпляром программы купивший лицензию на её использование, вправе без получения дополнительного разрешения разработчика осуществлять любые действия, связанные с функционированием программы, в том числе её запись и хранение в памяти ЭВМ. Запись и хранение в памяти ЭВМ допускаются в отношении одной ЭВМ или одного пользователя в сети, если другое не предусмотрено договором с разработчиком.

Необходимо знать и выполнять существующие законы, запрещающие нелегальное копирование и использование лицензионного программного обеспечения. В отношении организаций или пользователей, которые нарушают авторские права, разработчик может потребовать возмещение причиненных убытков и выплаты нарушителем компенсации в определяемой по усмотрению суда сумме от 5000-кратного до 50000-кратного размера минимальной месячной оплаты труда.

Федеральный закон от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации

Статья 16. Защита информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1 обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации

2 соблюдение конфиденциальности информации ограниченного доступа,

3 реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской

Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1 предотвращение несанкционированного доступа к информации и или передачи ее лицам, не имеющим права на доступ к информации

2 своевременное обнаружение фактов несанкционированного доступа к информации

3 предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации

4 недопущение воздействия на технические средства обработки информации, в результате которого….

Согласно ФЗ № 149 "Об информации, информационных технологиях и о защите информации", «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• 1)обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• 2)соблюдение конфиденциальности информации ограниченного доступа;
• 3)реализацию права на доступ к информации».ФЗ № 149 «Об информации, информационных технологиях и о защите информации»

Исходя из этого определения, все меры по обеспечению информационной безопасности можно разделить на три категории:

• 1)организационные
• 2)технические
• 3)правовые

Организационные меры носят административный и процедурный характер и регламентируют процессы функционирования информационной системы данных и действия персонала. Следовательно, организационные меры можно разделить на административные и процедурные меры

Административные меры

Основная цель мер административного характера - создать программу работ по теме «информационная безопасность» и обеспечить ее выполнение. В основе программы находиться политика безопасности. Политика безопасности - это набор документированных решений, принимаемых руководством организации и нацеленных на достижение высшего уровня информационной безопасности. Политику безопасности можно считать стратегией организации в области информационной безопасности.

Для того, чтобы разработать подробную стратегию и внедрить ее на реальное предприятие, необходимо для начала согласование различных политических решений высшего руководства. На основе данной политики безопасности происходит разработка программы безопасности. Стоит отметить, что данная политика предоставляет специальные правила, инструкции и нормативы, которые напрямую касаются персонал предприятия. Политику безопасности целесообразно рассматривать на трех уровнях детализации:

• Верхний уровень
• Средний уровень
• Нижний уровень

Рассмотрим эти уровни подробно:

Верхний уровень.

К верхнему уровню относятся решения, затрагивающие организации в целом. Они носят общий характер и, обычно, исходят от руководства организации.

Средний уровень

К данному уровню безопасности относятся вопросы, которые касаются важных аспектов обеспечения информационной безопасности для различных систем на предприятии.

Здесь стоит ответить на следующие вопросы:

• следует ли разрешать сотрудникам переносить данные с домашних компьютеров на рабочие?
• Следует ли разрешать сотрудникам переносить данные с рабочих компьютеров на домашние?

Нижний уровень.

Политику безопасности нижнего уровня можно отнести к конкретным информационным сервисам, различным системам, которые функционируют отдельно или подсистемам обработки данных.

После формулировки отдельной политики безопасности, можно приступить к составлению программы обеспечения безопасности, то есть выработке конкретных мер по реализации политики безопасности.

Обычно программа безопасности разделяется на два уровня:

• верхний, или центральный уровень, который охватывает всю организацию.
• нижний, или служебный, относящийся к отдельным услугам или группам однородных сервисов.

Данная программа возглавляется лицом, которое отвечает за информационную безопасность организации. Программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально поддерживаться и приниматься руководством, а так же иметь определенный штат и бюджет.

В данной работе были выделены основные цели и задачи верхнего уровня:

• «управление рисками, включая оценку рисков и выбор эффективных средств защиты.
• координация деятельности в области информационной безопасности, пополнение и распределение ресурсов.
• стратегическое планирование. В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки обеспечения защиты информации. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.
• контроль деятельности в области информационной безопасности. Такой контроль имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.» Макаренко С.И. Информационная безопасность: Учебное пособие

Программа нижнего уровня

Целью программы нижнего уровня является обеспечение надежной и экономичной защиты конкретного сервиса или группы сервисов. На этом уровне происходит решение, по использованию механизмов защиты; происходит закупка и установка технических средств; выполняется повседневное администрирование; отслеживается состояние слабых мест.

Процедурные меры

Процедурные меры безопасности ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой. Поэтому «человеческий фактор» заслуживает особого внимания.

На процедурном уровне можно выделить следующие классы мер:

• 1. «Управление персоналом
• 2. Физическая защита
• 3. Поддержание работоспособности системы
• 4. Реагирование на нарушения режима безопасности
• 5. Планирование восстановительных работ» Гатчин Ю.А., Сухостат В.В. Теория информационной безопасности и методология защиты информации: Учебное пособие

Опишем некоторые из них более подробно:

Управление персоналом начинается еще до приема на работу нового сотрудника - с составления описания должности. При этом следует придерживаться двух общих принципов при определении компьютерных привилегий:

• 1. «Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс.
• 2. Принцип минимизации привилегий требует, чтобы пользователям давались только те права, которые необходимы им для выполнения служебных обязанностей.» Там же

Физическая защита. Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей информации.

Для поддержания работоспособности информационных систем необходимо проведение ряда рутинных мероприятий:

• 1. Поддержка пользователей, то есть консультирование и оказание помощи при решении различных проблем; при этом важно выявлять проблемы, связанные с информационной безопасностью
• 2. Поддержка программного обеспечения - это, в первую очередь, отслеживание того, какое программное обеспечение установлено на компьютерах. В поддержку программного обеспечения входит также контроль над отсутствием неавторизованного изменения программы
• 3. Резервное копирование необходимо для восстановления программ и данных после аварий.
• 4. Управление носителями подразумевает защиту носителей информации, как от несанкционированного доступа, так и от вредных воздействий окружающей среды
• 5. Документирование - неотъемлемая часть информационной безопасности. В виде документов оформляется почти все - от политики безопасности до журнала учета носителей. При этом важно, чтобы документация отражала текущее положение дел, чтобы при необходимости ее можно было легко найти, а также, чтобы она была защищена от несанкционированного доступа
• 6. Регламентные работы (например, ремонтные) - очень серьезная угроза безопасности, так как во время их проведения к системе получают доступ посторонние сотрудники. Здесь очень важна квалификация и добросовестность этих сотрудников.

Реакция на нарушения режима безопасности преследует следующие цели:

• 1. Локализация инцидента и уменьшение наносимого вреда
• 2. Выявление нарушителя
• 3. Предупреждение повторных нарушений

В случае обнаружения нарушения режима безопасности действия необходимо предпринимать незамедлительно, поэтому очень важно, чтобы последовательность действий была спланирована заранее и отражена в документах. Все сотрудники должны знать, как поступать и к кому обращаться в случае выявления того или иного нарушения защиты, а также должны знать, какие последствия ждут их в случае нарушения ими правил информационной безопасности.

Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность функционирования хотя бы в минимальном объёме. Процесс планирования восстановительных работ можно разделить на следующие этапы:

• 1. Выявление наиболее важных функций организации.
• 2. Определение ресурсов, необходимых для выполнения важнейших функций.
• 3. Определение перечня возможных аварий. При этом важно разработать “сценарий” аварии, понять, к каким последствиям они приведут.
• 4. Разработка стратегии восстановительных работ. Стратегия восстановительных работ должна базироваться на наличных ресурсах и быть не слишком накладной для организации; должна предусматривать не только работы по устранению аварий, но и возвращение к нормальному функционированию.
• 5. Подготовка к реализации выбранной стратегии, то есть выработка плана действий в случае аварии, а также меры по обеспечению дополнительными ресурсами, необходимыми в случае аварии.
• 6. Проверка стратегии, которая заключается в анализе подготовленного плана, принятых и намеченных мер.