Dacă rezultatele obținute nu vă sperie, puteți trece la următorul bloc mare de lucru. Acest bloc constă în crearea unui cadru legal pentru protejarea informațiilor. În termeni generali, aceste activități constau în crearea unui Regulament privind secretele comerciale și a unei Liste de informații clasificate ca secret comercial, familiarizarea tuturor angajaților cu acest regulament și semnarea unui Acord de nedivulgare a secretelor comerciale de către fiecare angajat. Un număr mare de documente se datorează faptului că instituția secretelor comerciale în dreptul rus este reglementată de mai multe ramuri de drept: - Drept civil - Drept penal - Dreptul muncii Și pentru a evita „rașeurile” ca urmare a conflictelor de legi, trebuie să te asiguri. Vă rugăm să rețineți Atentie specialaîn această etapă. Dacă doriți să vă protejați proprietatea cu măsuri legale (în în acest caz, informații), apoi luați în considerare implementarea acestor activități. Nu numai fiecare cuvânt dintr-un acord de confidențialitate are o importanță fundamentală, ci și construcția propozițiilor și logica generală a documentului. Apoi puteți trece la pașii următori.
În primul rând, este necesar să vorbim despre măsuri preventive, iar apoi despre măsuri de identificare și suprimare a încercărilor de a elimina neautorizat informații, încercări de distrugere sau denaturare a informațiilor. Măsurile de precauție (preventive) includ: - munca explicativă și educativă cu personalul - explicația despre ce este un secret comercial, cum să-l protejăm, care pot fi consecințele dezvăluirii acestuia, ce trebuie să facă un angajat într-o anumită situație, FIECARE angajat ar trebui să simtă că acestei probleme i se acordă suficientă atenție. - crearea condițiilor pentru ca angajații să protejeze informațiile - condiții de stocare a mediilor de informare (seif, dulap care se încuie etc.), condiții pentru transferul în siguranță a informațiilor (canale de comunicare închise) - curățarea preventivă a spațiilor deosebit de importante - înainte de evenimente importante, după întâlniri , și este, de asemenea, planificată să se verifice incinte deosebit de importante pentru prezența canalelor tehnice pentru scurgerea de informații - inspecție periodică a teritoriului unității - efectuată în același scop ca și evenimentul anterior - crearea regim special lucrați atât în întreprindere în general, cât și cu informații protejate în special - aceasta este o reglementare clară a stocării, transferului, utilizării, distrugerii informațiilor protejate cu descriere detaliata cine ar trebui să facă ce, în ce situație, aceasta înseamnă și monitorizarea conformității acest mod- studierea candidaților pentru a lucra într-o companie - aceasta înseamnă aflarea biografiei candidatului, identificarea legăturilor sale cu criminalitatea, faptele negative ale vieții, legăturile cu concurenți direcți și indirecți sau nedoritori, recenzii de la locurile anterioare de muncă etc.
Măsurile de identificare a faptelor sau încercărilor de a sustrage, modifica și distruge informații includ: - monitorizarea continuă a situației electromagnetice - monitorizarea instrumentală a tuturor radiațiilor din instalație și a semnalelor electromagnetice în comunicații - activități operaționale - muncă sub acoperire, provocări, lucru cu personalul, cu parteneri, cu clienții și cu concurenții.
Măsurile de suprimare sunt o continuare logică acțiuni anterioare: - suprimarea efectivă - pedepsirea salariatului (aceasta necesită dovezi), scoaterea dispozitivului ipotecar etc. - crearea unui sistem de suprimare a radiațiilor neautorizate - utilizarea materialelor care absorb radiațiile electromagnetice în construcția și decorarea spațiilor, instalarea și utilizarea periodică a unui sistem de generatoare de zgomot - mascarea sau criptarea semnalelor utile - utilizarea dispozitivelor sau a programelor de criptare informatiile transmise, sau mascându-i prezența. Aceasta este o scurtă listă a ceea ce trebuie creat pentru funcționarea normală a sistemului de securitate a informațiilor. Aceasta nu este o muncă de o zi și sistemul nu va funcționa de la sine, chiar dacă totul este descris în detaliu pe hârtie. Pentru ca acest colos să înceapă să dea rezultate, aveți nevoie de o persoană care știe CUM să o facă, care este capabilă și dispusă să o facă, precum și sprijin adecvat din partea conducerii, în special în stadiul inițial- stadiul de formare. Acest lucru se datorează în primul rând rezistenței angajaților la crearea sistemului. La urma urmei, acest lucru le complică munca, ceea ce înseamnă efort suplimentar din partea lor. Dar oamenii sunt leneși și, prin urmare, vor rezista tuturor inovațiilor care în vreun fel le complică viața, chiar înțelegând pe deplin importanța și necesitatea acestor inovații.
clasificarea secretului comercial al informaţiei
1Se determină gradul de relevanță a problemei securității informațiilor la momentul actual. Sunt prezentate principalele definiții legate de inginerie și protecție tehnică. Sunt descrise etapele de asigurare a securității informațiilor necesare în întreprinderi. Obiectele protejate au fost împărțite în clase corespunzătoare. Sunt descrise posibilele canale de scurgere de informații și este prezentată o clasificare a canalelor tehnice de scurgere de informații. Au fost stabilite cerințe pentru volumul și natura unui set de măsuri care vizează protejarea informații confidențiale de la scurgeri prin canalele tehnice în timpul funcționării obiectului protejat. Sunt indicați principalii funcționari ai întreprinderii responsabile cu implementarea securității informațiilor. Sunt luate în considerare tipurile de mijloace tehnice de primire, prelucrare, stocare și transmitere a informațiilor. Sunt descrise principalele metode și metode de protecție a informațiilor împotriva scurgerilor prin canale tehnice - organizatorice, de căutare și tehnice. Sunt prezentate metode de protecție activă și pasivă a informațiilor.
protejarea datelor
facilităţi
canale de scurgere
clasificare
informație
1. Khorev A.A. Organizarea protecției informațiilor împotriva scurgerilor prin canale tehnice // Echipamente speciale. – 2006. – Nr. 3.
2. Khalyapin D.B. Protejarea datelor. Ești ascultat cu urechea? Protejeaza-te. – M.: NOU SHO Bayard, 2004.
3. Averchenkov V.I., Rytov M.Yu. Serviciul de securitate a informațiilor: organizare și management: tutorial pentru universități [resursă electronică] - M.: FLINTA, 2011.
4. Torokin A.A. Fundamentele ingineriei și securității informațiilor tehnice. – M.: Helius, 2005.
5. Buzov G.A. Protecție împotriva scurgerilor de informații prin canale tehnice. M.: Linia fierbinte, 2005.
În zilele noastre, informația este cheia. Informații - informații despre persoane, fapte, evenimente, fenomene și procese, indiferent de forma de prezentare a acestora. Deținerea de informații în orice moment a oferit avantaje părții care avea informații mai exacte și mai extinse, mai ales dacă se referea la informații despre rivali sau concurenți. „Cine deține informațiile, deține lumea” (Nathan Rothschild - bancher și politician britanic).
Problema securității informației a existat dintotdeauna, dar în prezent, datorită saltului uriaș în progresul științific și tehnologic, ea a căpătat o relevanță deosebită. Prin urmare, sarcina specialiștilor în securitatea informațiilor este de a stăpâni întreaga gamă de tehnici și metode de securitate a informațiilor, metode de modelare și proiectare a sistemelor de securitate a informațiilor. Una dintre modalitățile de a proteja informațiile este protecția informațiilor tehnice și de inginerie. Ingineria și protecția tehnică reprezintă un ansamblu de organisme speciale, mijloace tehnice și măsuri pentru utilizarea acestora în interesul protecției informațiilor confidențiale.
Scurgerea de informații se referă la procesul neautorizat de transfer de informații de la o sursă la un concurent. Calea fizică a transferului de informații de la sursa sa la un destinatar neautorizat se numește canal de scurgere. Canalul în care se efectuează transferul neautorizat de informații folosind mijloace tehnice se numește canal tehnic de scurgere de informații (TCLE). Clasificarea canalelor tehnice de scurgere de informații este prezentată în figură.
Pentru a asigura o protecție de înaltă calitate a informațiilor împotriva scurgerilor prin canale tehnice, este necesară în primul rând o abordare diferențiată a informațiilor protejate. Pentru a face acest lucru, ele trebuie împărțite în categorii și clase adecvate. În acest caz, clasificarea obiectelor se realizează în conformitate cu sarcinile de protecție a informațiilor tehnice. De asemenea, stabilește cerințe pentru volumul și natura unui set de măsuri menite să protejeze informațiile confidențiale împotriva scurgerii prin canale tehnice în timpul funcționării obiectului protejat.
Clasa de protecție A include facilitățile în care semnalele de informații care apar în timpul prelucrării sau negocierilor de informații sunt complet ascunse (ascunderea faptului de a prelucra informații confidențiale la instalație).
Clasificarea canalelor tehnice de scurgere de informații
Clasa de protectie B include obiectele la care sunt ascunsi parametrii semnalelor informatice aparute in timpul procesarii sau negocierilor informatiei, pentru care este posibila restaurarea informatiilor confidentiale (ascunderea informatiilor procesate la obiect).
În funcție de natura sursei de informații confidențiale, canalele de scurgere au următoarea clasificare:
- canale electromagnetice de scurgere de informații în domeniul de frecvență radio al undelor electromagnetice, în care semnul de recunoaștere tehnică (demascare) a obiectelor protejate este radiația electromagnetică, ai căror parametri caracterizează calitativ sau cantitativ un anumit obiect protejat;
- canale electromagnetice de scurgere de informații în domeniul infraroșu al undelor electromagnetice, în care caracteristica tehnică de demascare a obiectului protejat este emisiile proprii ale obiectelor în acest interval;
- canal acustic de scurgere de informații. Folosit pentru a obține informații în vorbirea acustică și recunoașterea semnalului;
- canale hidroacustice de scurgere de informații. Folosit pentru obținerea de informații despre transmiterea comunicațiilor informaționale sonore, recunoașterea câmpurilor de zgomot și a semnalelor hidroacustice;
- canale de scurgere a informațiilor seismice, care permit, prin detectarea și analiza câmpurilor de deformare și forfecare de pe suprafața pământului, determinarea coordonatelor și rezistența diferitelor explozii, precum și negocierile de interceptare care au loc la distanță scurtă;
- canale de scurgere de informații magnetometrice care oferă informații despre obiecte prin detectare schimbări locale Câmpul magnetic al Pământului sub influența unui obiect;
- canale chimice de scurgere de informații, permițând obținerea de informații despre un obiect prin contact sau analiza de la distanță a modificărilor compoziției chimice a mediului din jurul obiectului.
Procesul de asigurare a securității informațiilor poate fi împărțit în mai multe etape.
Prima etapă (analiza obiectului protejat) este de a determina ce trebuie protejat.
Analiza se realizează în următoarele domenii:
- se determină în primul rând informațiile care necesită protecție;
- ies în evidență cel mai mult elemente importante informații (critice) protejate;
- se determină durata de viață a informațiilor critice (timp, necesare unui concurent să implementeze informațiile obținute);
- sunt determinate elemente cheie informații (indicatori) care reflectă natura informațiilor protejate;
- indicatorii sunt clasificați în funcție de zonele funcționale ale întreprinderii (procese de producție și tehnologice, sistem logistic pentru producție, divizii, management etc.).
A doua etapă se rezumă la identificarea amenințărilor:
- se stabilește cine poate fi interesat de informațiile protejate;
- sunt evaluate metodele utilizate de concurenți pentru a obține aceste informații;
- sunt evaluate canalele probabile de scurgere de informații;
- se dezvoltă un sistem de măsuri pentru suprimarea acțiunilor unui concurent.
În al treilea rând, este analizată eficiența subsistemelor de securitate adoptate și care funcționează permanent ( siguranță fizică documentație, fiabilitatea personalului, securitatea liniilor de comunicație utilizate pentru transmiterea informațiilor confidențiale etc.).
Al patrulea este stabilirea măsurilor de protecție necesare. Pe baza primelor trei etape ale cercetării analitice se determină măsurile și mijloacele suplimentare necesare pentru asigurarea siguranței întreprinderii.
În al cincilea rând - șefii companiei (organizației) examinează propunerile depuse pentru toate măsurile de securitate necesare și calculează costul și eficacitatea acestora.
Al șaselea este punerea în aplicare a măsurilor suplimentare de securitate ținând cont de prioritățile stabilite.
Al șaptelea este monitorizarea și aducerea măsurilor de securitate implementate în atenția personalului companiei.
În cadrul unei organizații, procesul de protecție a informațiilor trece, într-o măsură sau alta, prin etapele de mai sus.
Sistemul de securitate al întreprinderii este înțeles în prezent ca un ansamblu organizat de organisme speciale, servicii, mijloace, metode și măsuri care asigură protecția intereselor vitale ale individului, întreprinderii și statului de amenințările interne și externe.
Sistemul de securitate al companiei este format din următoarele elemente principale (funcționari și organisme):
- Șeful companiei care se ocupă de problemele de securitate a informațiilor.
- Sfaturi de siguranta companiei.
- Serviciul de securitate al companiei.
- Divizii ale companiei implicate în asigurarea securității companiei.
Managementul siguranței este atribuit, de regulă, șefului companiei și adjunctului acestuia pt probleme generale(1-adjunct), căruia îi este direct subordonat serviciul de securitate.
Pentru a organiza securitatea informațiilor la o întreprindere, este necesară formarea unui Consiliu de Securitate. Este un organ colegial aflat sub conducerea societății, a cărui componență este desemnată de acesta dintre funcționarii calificați și responsabili cu problemele de securitate a informațiilor. Consiliul de Securitate elaborează propuneri pentru manager cu privire la principalele probleme de asigurare a securității informațiilor, inclusiv:
- domeniile activităților de securitate ale companiei;
- îmbunătățirea sistemului de securitate;
- interacțiunea cu autoritățile, clienții, partenerii, concurenții și consumatorii de produse etc.
Alături de mijloacele tehnice de primire, prelucrare, stocare și transmitere a informațiilor (TSPI), în sediul sunt instalate mijloace și sisteme tehnice care nu sunt direct implicate în prelucrarea informațiilor confidențiale, dar sunt utilizate împreună cu TSPI și sunt situate în zona câmpului electromagnetic creat de acestea. Astfel de mijloace și sisteme tehnice sunt numite mijloace și sisteme tehnice auxiliare (HTSS).
În organizații, lucrați la inginerie protectie tehnica informația constă de obicei în două etape:
- construirea sau modernizarea unui sistem de protecție;
- menținerea securității informațiilor la nivelul cerut.
Formarea unui sistem de securitate a informațiilor se realizează în organizații nou create, în rest se realizează modernizarea sistem existent.
În funcție de obiective, procedura de realizare a măsurilor de asigurare a securității informațiilor și a echipamentelor utilizate, metodele și metodele de protecție împotriva scurgerilor de informații prin canale tehnice pot fi împărțite în organizatorice, de căutare și tehnice.
Metode organizatorice de protectie
Aceste măsuri sunt efectuate fără utilizarea echipamentelor speciale și presupun următoarele:
- stabilirea unei zone controlate în jurul unității;
- introducerea restricțiilor de frecvență, energie, timp și spațiu asupra modurilor de funcționare a mijloacelor tehnice de primire, prelucrare, stocare și transmitere a informațiilor;
- deconectarea de la liniile de legătură pentru perioada de ședințe închise;
- utilizați numai certificate TSPI și VTSS;
- implicarea în construcția și reconstrucția spațiilor dedicate (protejate), instalarea echipamentelor TSPI, precum și în lucrările de securitate a informațiilor, numai organizațiile autorizate de serviciile relevante să opereze în acest domeniu;
- categorizarea și certificarea obiectelor de informatizare și a spațiilor alocate pentru respectarea cerințelor de asigurare a securității informațiilor la desfășurarea lucrărilor cu informații de diferite grade de secretizare;
- regim de restricție a accesului la unitățile de cazare TSPI și la spațiile desemnate.
Activități de căutare
Dispozitivele portabile de ascultare (încorporate) sunt identificate în timpul sondajelor și verificărilor speciale. Inspecția unităților de cazare TSPI și a spațiilor desemnate se efectuează fără utilizarea echipamentului de către inspectie vizuala. Pe parcursul verificare specială efectuate folosind instrumente de căutare pasive (de primire) și active, se realizează:
- controlul spectrului radio și al emisiilor electromagnetice laterale ale TSPI;
- identificarea dispozitivelor de ascultare instalate în secret utilizând indicatoare de câmp electromagnetic, interceptoare, frecvențemetre, scanere sau sisteme software și hardware;
- inspecție specială a spațiilor desemnate, TSPI și VTSS folosind locatoare neliniare și unități mobile de raze X.
Protectie tehnica
Astfel de evenimente se desfășoară folosind tehnici și mijloace de protecție atât pasive, cât și active. Metodele tehnice pasive de protecție includ:
- instalarea sistemelor de restricție și control al accesului la instalațiile TSPI și în incintele desemnate;
- ecranarea TSPI și liniile de legătură ale instalațiilor;
- împământarea TSPI și ecranele liniilor de conectare ale dispozitivelor;
- izolare fonică a camerelor dedicate;
- încorporarea de filtre speciale în VTSS, care au un efect de „microfon” și se extind dincolo de zona controlată;
- introducerea surselor autonome și stabilizate, precum și a dispozitivelor de alimentare garantate în circuitul de alimentare TSPI;
- instalarea de filtre de suprimare a zgomotului în circuitele de alimentare TSPI, precum și în rețelele electrice ale spațiilor dedicate.
Influența activă asupra canalelor de scurgere se realizează prin implementarea:
- zgomot spațial creat de generatoarele de zgomot electromagnetic;
- interferențe țintite generate la frecvențele de funcționare ale canalelor radio ale dispozitivelor de ascultare de către emițătoare speciale;
- interferențe acustice și de vibrații generate de dispozitivele de protecție vibroacustică;
- suprimarea înregistratoarelor de voce de către dispozitive de emisie radio direcționată de înaltă frecvență;
- zgomotul provenit de la rețelele electrice, conductorii străini și liniile de legătură ale VTSS care se extind dincolo de zona controlată;
- moduri de distrugere termică a dispozitivelor electronice.
Ca urmare a utilizării fondurilor pentru a desfășura măsuri pentru a asigura protecția inginerească și tehnică a informațiilor, organizația va reduce semnificativ probabilitatea realizării amenințărilor, ceea ce contribuie, fără îndoială, la păstrarea capitalului material și intelectual al întreprinderii.
Recenzători:
Kitova O.V., Doctor în Economie, Profesor, Șef al Departamentului de Informatică, Universitatea Economică Rusă, numită după G.V. Plehanov” de la Ministerul Educației și Științei al Federației Ruse, Moscova;
Petrov L.F., Doctor în Științe Tehnice, Profesor al Departamentului de Metode Matematice în Economie, Universitatea Economică Rusă numită după G.V. Plehanov" de la Ministerul Educației și Științei al Federației Ruse, Moscova.
Lucrarea a fost primită de redactor pe 18 martie 2014.
Link bibliografic
Titov V.A., Zamaraeva O.A., Kuzin D.O. EVENIMENTE PENTRU ORGANIZAREA SECURITATEA INFORMAȚIILOR INGINERIE ȘI TEHNICĂ // Cercetare de baza. – 2014. – Nr. 5-3. – P. 573-576;URL: http://fundamental-research.ru/ru/article/view?id=33920 (data acces: 04/06/2019). Vă aducem în atenție reviste apărute la editura „Academia de Științe ale Naturii”
Toată lumea a încetat să fie surprins de faptul că informațiile care constituie un secret comercial al unei anumite organizații apar în mod constant la vânzare. Astăzi nu va fi dificil să achiziționați o bază de clienți sau date personale ale angajaților companiei care vă interesează. Acest lucru se întâmplă deoarece liderii organizaționali nu depun eforturi suficiente pentru a proteja informațiile legate de secretele comerciale. Mai mult, nu ar trebui să uităm de vânătorii din viața reală pentru astfel de informații. Progresul științific și tehnologic a introdus în viața noastră un număr mare de mijloace tehnice care fac posibilă înregistrarea convorbirilor telefonice și a întâlnirilor și a devenit posibilă citirea informațiilor de pe ecranul unui computer în timp ce ne aflăm geografic departe de locația companiei.
Dar principala sursă de scurgere de informații sunt angajații. Ei sunt cei care scurg informații care constituie un secret comercial. Pot exista o mulțime de motive pentru acest lucru - obținerea de venituri suplimentare, din neglijență sau din accident.
Astăzi, companii specializate în protecția tehnică informatie pretioasa, oferă o serie de produse capabile să blocheze în mod dinamic dispozitivele prin care atacatorii pot descărca informații.
Dar este mai dificil să construiești o apărare împotriva factorului uman. Este necesar să se explice clar angajaților ce informații sunt clasificate ca secret comercial și care este gradul de responsabilitate pentru dezvăluirea acestora. Limitați accesul la informațiile care constituie secret comercial: stabiliți procedura de manipulare a acestor informații, monitorizați respectarea acestei proceduri. Dezvolta Instrucțiuni Speciale privind păstrarea confidențialității.
Este obligatorie încheierea contractelor de muncă cu angajații, și cu contrapărțile (în latină contrahens - contractant - persoane, instituții, organizații legate de obligații prin contract general, care cooperează în procesul de îndeplinire a contractului) contracte civile, care trebuie să cuprindă condițiile privind protecția informațiilor confidențiale. Obligația de nedezvăluire a secretelor comerciale poate fi întocmită sub orice formă; important este ca aceasta să conțină o listă de informații care constituie secret comercial în compania dumneavoastră.
De asemenea, organizați lucrări speciale de birou pentru a asigura siguranța mass-media care conțin secrete comerciale și introduceți un sistem de separare a informațiilor în blocuri. Fiecare angajat ar trebui să știe exact cât este necesar pentru a-și îndeplini sarcinile.
O altă modalitate de a proteja drepturile titularului unui secret comercial este stabilirea de sancțiuni pentru încălcarea obligațiilor de confidențialitate de către contrapartidele din contractele civile. De regula generala, protecția drepturilor civile încălcate se realizează în instanță (recunoașterea drepturilor, suprimarea acțiunilor ilegale, compensarea pierderilor). Pe lângă metodele de protecție din dreptul civil, secretele comerciale pot fi protejate prin dreptul muncii, dreptul penal și, de asemenea, prin normele privind concurența neloială.
Dintre posibilitățile prevăzute de dreptul muncii, drepturile titularului unui secret comercial pot fi protejate prin acțiuni precum răspunderea financiară și acțiuni disciplinare până la și inclusiv încetarea raportului de muncă. În plus, dacă există semne ale unei infracțiuni prevăzute de ramurile de drept relevante, este posibilă atragerea la răspundere penală a infractorilor.
La stocarea informațiilor în formă electronică se pot distinge trei domenii de lucru privind securitatea informației: cercetarea teoretică, dezvoltarea instrumentelor de securitate și justificarea metodelor de utilizare a instrumentelor de securitate în sistemele automatizate.
În plan teoretic, atenția principală este acordată studiului vulnerabilității informaționale în sistemele electronice de procesare a informațiilor, fenomenului și analizei canalelor de scurgere a informațiilor, fundamentarii principiilor protecției informațiilor în sistemele automate mari și dezvoltării metodelor de evaluare a fiabilitatea protecției.
Până în prezent, au fost dezvoltate multe instrumente, metode, măsuri și măsuri diferite pentru a proteja informațiile acumulate, stocate și procesate în sisteme automate. Acestea includ hardware și software, închiderea informațiilor criptografice, măsuri fizice, evenimente organizate și măsuri legislative. Uneori, toate aceste mijloace de protecție sunt împărțite în tehnice și non-tehnice, iar mijloacele tehnice includ hardware și software și închiderea informațiilor criptografice, iar mijloacele non-tehnice includ restul enumerate mai sus.
a) metode de protecție hardware.
Protecția hardware include diverse dispozitive electronice, electronice-mecanice și electro-optice. Până în prezent, au fost dezvoltate un număr semnificativ de produse hardware în diverse scopuri, cu toate acestea, următoarele sunt cele mai răspândite:
Registre speciale pentru stocarea detaliilor de securitate: parole, coduri de identificare, clasificări sau niveluri de securitate,
generatoare de coduri concepute pentru a genera automat un cod de identificare a dispozitivului,
Dispozitive pentru măsurarea caracteristicilor individuale ale unei persoane (voce, amprente) în scopul identificării,
Biți speciali de confidențialitate, a căror valoare determină nivelul de confidențialitate al informațiilor stocate în memoria căreia îi aparțin acești biți,
Circuite pentru întreruperea transmisiei de informații într-o linie de comunicație în scopul verificării periodice a adresei de ieșire a datelor.
Un grup special și cel mai răspândit de dispozitive de securitate hardware constă din dispozitive pentru criptarea informațiilor ( metode criptografice).
b) metode de protecţie software.
Software-ul de securitate include programe speciale care sunt concepute pentru a îndeplini funcții de securitate și sunt incluse în software-ul sistemelor de prelucrare a datelor. Protecția software este cel mai comun tip de protecție, care este facilitat de proprietăți pozitive ale acestui instrument precum versatilitatea, flexibilitatea, ușurința de implementare, posibilitățile aproape nelimitate de schimbare și dezvoltare etc. De scop functional ele pot fi împărțite în următoarele grupe:
Identificarea mijloacelor tehnice (terminale, dispozitive controlul grupului intrare-ieșire, computere, medii de stocare), sarcini și utilizatori,
Determinarea drepturilor mijloacelor tehnice (zile și orele de funcționare, sarcini permise pentru utilizare) și utilizatorilor,
Monitorizarea funcționării echipamentelor tehnice și a utilizatorilor,
Înregistrarea funcționării mijloacelor tehnice și a utilizatorilor la prelucrarea informațiilor cu utilizare limitată,
Distrugerea informațiilor stocate după utilizare,
Alarme pentru acțiuni neautorizate,
Programe auxiliare în diverse scopuri: monitorizarea funcționării mecanismului de securitate, aplicarea unei ștampile de secretizare pe documentele emise.
c) backup.
Copierea de rezervă a informațiilor implică stocarea unei copii a programelor pe medii de stocare. Pe aceste medii, copiile programelor pot fi în formă normală (necomprimată) sau arhivată. Backup-ul este efectuat pentru a salva programele de deteriorare (atât intenționată, cât și accidentală) și pentru a stoca fișiere utilizate rar.
G) criptare criptografică informație.
Închiderea criptografică (criptarea) informațiilor constă într-o astfel de transformare a informațiilor protejate în care conținutul datelor închise nu poate fi determinat prin aspectul lor. Experții acordă o atenție deosebită protecției criptografice, considerând-o cea mai fiabilă, și pentru informațiile transmise prin linii de comunicație la distanță lungă - singura cale protejarea informațiilor împotriva furtului.
Principalele direcții de lucru pe acest aspect al protecției pot fi formulate după cum urmează:
Selectarea sistemelor de criptare raționale pentru închiderea securizată a informațiilor,
Justificarea modalităților de implementare a sistemelor de criptare în sisteme automate,
Dezvoltarea regulilor de utilizare a metodelor de protecție criptografică în timpul funcționării sistemelor automate,
Evaluarea eficacității protecției criptografice.
O serie de cerințe sunt impuse cifrurilor destinate închiderii informațiilor din computere și sisteme automate, printre care: rezistență suficientă (fiabilitatea închiderii), ușurința de criptare și decriptare în funcție de metoda de prezentare a informațiilor în mașină, insensibilitate la mici erori de criptare , posibilitatea de procesare în mașină a informațiilor criptate, o ușoară redundanță a informațiilor din cauza criptării și o serie de altele. Într-o măsură sau alta, aceste cerințe sunt îndeplinite de anumite tipuri de substituție, permutare, cifruri gamma, precum și de cifruri bazate pe transformări analitice ale datelor criptate.
Deosebit de eficiente sunt cifrurile combinate, atunci când textul este criptat secvenţial de două sau mai multe sisteme de criptare (de exemplu, substituţie şi gamma, permutare şi gamma). Se crede că în acest caz puterea de criptare depășește puterea totală în cifrurile compozite.
Fiecare dintre sistemele de criptare poate fi implementat într-un sistem automat sau în mod programatic, sau folosind echipamente speciale. Implementarea software este mai flexibilă și mai ieftină decât implementarea hardware. Cu toate acestea, criptarea hardware este în general de câteva ori mai productivă. Această circumstanță este de o importanță decisivă pentru volume mari de informații confidențiale.
e) măsuri de protecţie fizică.
Următoarea clasă din arsenalul măsurilor de securitate a informațiilor sunt măsurile fizice. Acestea sunt diverse dispozitive și structuri, precum și măsuri care fac dificilă sau imposibilă pătrunderea potențialilor infractori în locuri în care pot avea acces la informații protejate. Măsurile cele mai frecvent utilizate sunt:
Izolarea fizică a structurilor în care sunt instalate echipamente de sistem automatizat de alte structuri,
Împrejmuirea teritoriului centre de calcul garduri la distanțe suficiente pentru a exclude înregistrarea efectivă a radiațiilor electromagnetice și pentru a organiza monitorizarea sistematică a acestor teritorii;
Organizarea de puncte de control la intrările în sediul centrelor de calcul sau ușile de intrare dotate cu încuietori speciale care permit reglarea accesului în incintă,
Organizarea unui sistem de alarma de securitate.
f) măsuri organizatorice de protecţie a informaţiilor.
Următoarea clasă de măsuri de securitate a informațiilor sunt măsuri organizaționale. Acestea sunt reglementări care reglementează funcționarea unui sistem de prelucrare a datelor, utilizarea dispozitivelor și resurselor acestuia, precum și relația dintre utilizatori și sisteme în așa fel încât acces neautorizat accesul la informație devine imposibil sau devine semnificativ mai dificil. Măsurile organizaționale joacă un rol important în crearea unui mecanism fiabil de securitate a informațiilor. Motivele pentru care măsurile organizatorice joacă un rol sporit în mecanismul de protecție este că posibilitatea utilizării neautorizate a informațiilor este determinată în mare măsură de aspecte netehnice: acțiuni rău intenționate, neglijență sau neglijență a utilizatorilor sau a personalului sistemelor de prelucrare a datelor. Impactul acestor aspecte este aproape imposibil de evitat sau de controlat folosind hardware-ul și software-ul discutat mai sus, închiderea informațiilor criptografice și măsurile de securitate fizică. Acest lucru necesită un set de măsuri organizatorice, organizatoric-tehnice și organizatoric-juridice care să elimine posibilitatea pericolului de scurgere de informații în acest mod.
Principalele activități în acest ansamblu sunt următoarele:
Activități desfășurate în perioada de proiectare, construcție și echipare a centrelor de calcul (CC),
Activități desfășurate în timpul selecției și instruirii personalului CC (verificarea celor angajați, crearea condițiilor în care personalul nu ar dori să-și piardă locul de muncă, familiarizarea cu sancțiunile pentru încălcarea regulilor de protecție),
Organizarea unui control fiabil al accesului,
Organizarea stocării și utilizării documentelor și suporturilor: stabilirea regulilor de emitere, menținere a jurnalelor de emitere și utilizare,
Controlul modificărilor la matematică și software,
Organizarea instruirii și controlul muncii utilizatorilor,
Una dintre cele mai importante măsuri organizatorice este menținerea în CC a unui serviciu special de protecție a informațiilor cu normă întreagă, al cărui număr și componență ar asigura crearea. sistem fiabil protecţie şi funcţionarea sa regulată.
Astfel, mijloacele, metodele și măsurile de protecție discutate mai sus se rezumă la următoarele:
1. Cel mai mare efect se obține atunci când toate mijloacele, metodele și măsurile utilizate sunt combinate într-un singur mecanism holistic de protecție a informațiilor.
2. Mecanismul de protecție ar trebui proiectat în paralel cu crearea sistemelor de prelucrare a datelor, începând din momentul în care se elaborează proiectarea generală a sistemului.
3. Funcționarea mecanismului de protecție trebuie să fie planificată și asigurată odată cu planificarea și furnizarea proceselor de bază de prelucrare automată a informațiilor.
4. Este necesară monitorizarea constantă a funcționării mecanismului de protecție.
Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos
Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.
postat pe http://www.allbest.ru/
Introducere
„Cine deține informațiile deține lumea” este probabil una dintre cele mai veridice expresii de astăzi, care exprimă esența celei mai presante probleme din lume. De-a lungul istoriei omenirii, se pot cita mii de exemple de furt de informații, care au dus la cele mai neplăcute și complexe consecințe. De aceea, toate informațiile de orice valoare trebuie protejate, deoarece activitățile de informații nu dorm și sunt doar îmbunătățite.
În ciuda interdicțiilor în vigoare în conformitate cu legislația rusă, probabilitatea de scurgere a informațiilor confidențiale implementate cu mijloace tehnice moderne este destul de mare. Tehnicile și tehnologiile de inteligență se îmbunătățesc, iar acest lucru a dus la faptul că unele metode de obținere a informațiilor sunt deja destul de banale, foarte ieftine și destul de productive. În consecință, este nevoie de suprimarea completă a tuturor canalelor posibile de scurgere de informații, și nu doar a celor mai simple și mai accesibile.
Există mai multe canale de comunicare prin care se transmit informații și toate acestea trebuie protejate corespunzător. Pentru a evita situațiile cu scurgeri de informații, se folosesc diverse mijloace tehnice care nu permit răspândirea informațiilor dincolo de o anumită zonă. Dacă informația s-a răspândit dincolo de zona controlată, atunci astfel de canale se numesc canale de scurgere de informații. De asemenea, există un astfel de lucru precum accesul neautorizat, care poate include cazuri de denaturare intenționată, furt sau ștergere a informațiilor de către un atacator.
Această lucrare va avea în vedere aspecte legate de asigurarea securității informațiilor unei întreprinderi, precum și posibilele amenințări la adresa securității spațiilor destinate desfășurării evenimentelor închise la care se discută informații care constituie secret de stat sau informații confidențiale (folosind exemplul biroului conducătorul întreprinderii).
Relevanța acestei lucrări este necesitatea de a proteja datele confidențiale, informațiile și informațiile, a căror pierdere, dezvăluire sau denaturare ar putea duce la consecințe negative pentru organizație, întreprindere și stat, precum și necesitatea conformității. Sistem informatic cerințele documentelor de reglementare ale Federației Ruse.
Scopul acestei lucrări este de a elabora un set de recomandări pentru asigurarea securității informației într-o întreprindere, de a studia metode de protejare a informațiilor de inteligența tehnică și de scurgerea acesteia prin canalele tehnice, precum și de a studia și construi un sistem de inginerie și tehnică. protejarea unui local dedicat destinat desfasurarii evenimentelor inchise la care se discuta discutii.informatii constituind secret de stat sau informatii confidentiale.
Obiectivele postului
Investigați amenințările și canalele de scurgere de informații. Luați în considerare implementarea masuri tehnice protectia informatiilor.
Explorați principalele măsuri de protecție a informațiilor într-o întreprindere.
Cercetați sistemul de securitate al localurilor pentru desfășurarea evenimentelor închise la care se discută informații care constituie secrete de stat sau informații confidențiale (denumite în continuare sediul). Efectuați o analiză a sistemului existent de inginerie și protecție tehnică pentru incintă și propuneți opțiuni posibile modernizarea sistemului ingineresc și de protecție tehnică a incintei;
Lucrarea a fost efectuată în interesul unei întreprinderi industriale electronice.
Bazat Dispoziții generale o politică de securitate și mijloacele de asigurare a acesteia sunt recomandate pentru funcționarea întreprinderii. În această lucrare, pe baza unei analize a canalelor de scurgere de informații, se propune un sistem de protecție a spațiilor, ținând cont de interceptarea multicanal.
Semnificația practică a acestei lucrări este de a reduce riscurile de scurgere de informații confidențiale și secrete de stat diverse canaleîn biroul în cauză al conducătorului unei întreprinderi industriale electronice.
1. CONCEPTE GENERALE DE SECURITATE A INFORMAȚIILOR
securitatea informațiilor accesul computerului
1.1 Definiția conceptului de „protecție a informațiilor” și scopurile acestuia
Protecția informațiilor reprezintă adoptarea de măsuri legale, organizatorice și tehnice care vizează:
Asigurarea protecției informațiilor împotriva accesului neautorizat, distrugerii, modificării, blocării, copierii, furnizării, distribuirii, precum și împotriva altor acțiuni ilegale în legătură cu astfel de informații;
Menținerea confidențialității informațiilor restricționate;
Implementarea dreptului de acces la informații.
Astăzi, se pot distinge mai multe tipuri de informații protejate, iar fiecare dintre ele are propriile caracteristici în domeniul reglementării, organizării și implementării protecției în sine. Merită să subliniem câteva aspecte comune protecția informațiilor de orice fel.
De exemplu,
proprietarul informațiilor însuși organizează și ia măsuri pentru a le proteja;
prin protejarea informațiilor sale, proprietarul le limitează de accesul de către terți, achiziția ilegală sau utilizarea ilegală în detrimentul intereselor sale și, de asemenea, își păstrează drepturile de a deține și dispune de aceste informații;
Pentru a proteja informațiile, este necesar să se implementeze un set de măsuri care să limiteze accesul la acestea și să creeze condiții care să elimine complet sau să complice accesul neautorizat la informațiile clasificate (confidențiale) și la media acestora.
Protecția informațiilor este împărțită în două grupuri principale de sarcini:
a) Satisfacerea nevoilor de informatii care apar in derularea oricarei activitati, adica furnizarea de informatii secrete sau confidentiale specialistilor organizatiilor, firmelor, intreprinderilor.
Fiecare specialist, în procesul de lucru, poate folosi informații atât deschise, cât și tip închis. informație tip deschis rareori poartă ceva util, așa că nu există restricții aici. Atunci când furnizează unui specialist informații clasificate, se aplică anumite restricții: această persoană are autorizația corespunzătoare (nivelul de secret al informațiilor la care este admisă) și permisiunea de a accesa anumite informații. Există întotdeauna contradicții în rezolvarea problemei accesului unui specialist la informații clasificate: pe de o parte, este necesar să se limiteze cât mai mult posibil accesul acestuia la informații clasificate și, prin urmare, să se reducă probabilitatea de scurgere a acestor informații, pe de altă parte. , pentru a-și satisface pe deplin nevoile de informații, inclusiv numărul și clasificarea pentru decizie informată lor sarcini oficiale. În acest caz, este necesar să te ghidezi după doi factori: poziția sa oficială și problema în curs de rezolvare de către specialist.
b) Protejarea informațiilor clasificate împotriva accesului neautorizat în scopuri rău intenționate.
Acest grup include condiții precum:
Crearea condițiilor utilizare eficientă resurse de informare;
Asigurarea securității informațiilor protejate;
Menținerea secretului sau confidențialității informațiilor clasificate în conformitate cu regulile stabilite pentru protecția acestora;
Asigurarea drepturilor constituționale ale cetățenilor de a păstra secretele personale și informațiile personale confidențiale;
Prevenirea furtului nepedepsit și a utilizării ilegale a proprietății intelectuale;
Protejarea suveranității informaționale a țării și extinderea capacității statului de a-și consolida puterea prin formarea și gestionarea dezvoltării potențialului său informațional;
Tipurile de informații protejate sunt prezentate în Figura 1.
Figura 1. Tipuri de informații protejate
1.2 Modul de confidențialitate sau confidențialitate
Conceptul de securitate a informațiilor este strâns legat de problema secretului sau confidențialității. Un regim de secretizare este implementarea unui sistem de protecție a informațiilor pentru o anumită întreprindere, firmă, fabrică, laborator sau program specific, de exemplu, cum ar fi dezvoltarea de noi produse.
Concluzia este că regimul de secretizare sau confidențialitate este un set complet de măsuri care implementează un sistem de securitate a informațiilor, în funcție de toți factorii care au impact asupra construcției unui sistem de securitate a informațiilor. sarcina principală Acest regim este de a asigura un nivel adecvat de protecție a informațiilor. Totul depinde de gradul de secretizare a acestuia; cu cât este mai mare, cu atât este mai mare nivelul de protecție și regimul de secretizare corespunzător.
Regimul de secretizare reprezintă implementarea la un obiect specific a normelor și regulilor actuale de protecție a datelor și informațiilor, inclusiv a secretelor protejate de lege (de stat, comerciale etc.), definite și reglementate de reglementările legislative relevante. Grupuri de măsuri pe care le cuprinde regimul secretului:
Un sistem de autorizare, și anume determinarea precisă a angajaților care au acces la una sau la alta informație protejată și la spațiile specifice în care se desfășoară activitatea.
Implementarea controlului accesului necesar pentru regimul de securitate specific cerut de facilitate.
Reguli și proceduri stabilite cu precizie pentru lucrul cu documentație clasificată sau alte medii de informații protejate.
Monitorizare constantă și lucru preventiv cu personalul care are acces la informații clasificate, ceea ce ajută la prevenirea scurgerii acestora.
1.3 Securitatea informației și obiectivele acesteia
Sub securitatea informațiilor Federația Rusă este înțeles ca starea de protecție a intereselor sale naționale în sfera informațională, determinată de totalitatea intereselor echilibrate ale individului, societății și statului.
Cu alte cuvinte, securitatea informațiilor este un set de măsuri care vizează asigurarea securității activelor informaționale ale unei întreprinderi. Merită să subliniem că securitatea informației poate fi asigurată doar printr-o abordare integrată. Revizuire și decizie probleme individuale(de exemplu, tehnic sau organizatoric) nu va rezolva în întregime problema securității informațiilor întreprinderii.
O strategie de securitate a informațiilor întreprinderii este o combinație de acțiuni bine gândite, planificate și decizii rapide pentru a adapta întreprinderea la noi oportunități de a obține avantaje competitiveși noi amenințări de a-și slăbi poziția competitivă.
Obiectivele principale ale securității informațiilor:
Confidențialitate
Integritate
Adecvare
1.4 Politica de securitate a informațiilor
În multe întreprinderi și companii rusești, securitatea informațiilor este la un nivel scăzut. Acest lucru este confirmat de rezultatele studiilor statistice și comunicare directă cu experți în domeniu. Astăzi, la întreprinderi, practic nu există o procedură completă de gestionare a riscurilor de securitate a informațiilor. Majoritatea practicienilor nici măcar nu își asumă această sarcină; ei preferă să se lase ghidați doar de propria experiență și intuiție atunci când rezolvă problemele de securitate a informațiilor. Pierderile din încălcările securității informațiilor pot fi exprimate ca scurgeri de informații confidențiale, pierderea timpului de lucru pentru recuperarea datelor, lichidarea consecințelor atacuri de virus, și active materiale, de exemplu, fraudă în sector Financial folosind sisteme informatice.
Politica de securitate a informațiilor este un set de decizii de management documentate care vizează protejarea informațiilor și a resurselor asociate.
Politica de securitate a informațiilor poate fi împărțită în trei niveluri.
Cel mai înalt nivel include deciziile care privesc organizația în ansamblu și provin din conducerea organizației sau întreprinderii. O astfel de listă poate include următoarele elemente:
Formarea sau revizuirea unui program de securitate a informațiilor;
Stabilirea obiectivelor pe care o organizație ar trebui să le urmărească în domeniul securității informațiilor;
Asigurarea unui cadru legislativ;
Formularea deciziilor de management privind implementarea programului de securitate a informațiilor.
Politică nivel superior se ocupă de trei aspecte ale respectării legii și disciplinei executive:
respectarea legilor existente.
controlul acţiunilor persoanelor responsabile cu elaborarea programului de siguranţă.
asigurarea subordonării personalului, introducând, în consecință, un sistem de recompense și pedepse.
Nivelul mediu include aspecte legate de anumite aspecte ale securității informațiilor, dar importante pentru diverse sisteme operate de organizație. De exemplu, atitudinea față de tehnologiile insuficient dovedite, utilizarea computerelor de acasă sau a altor persoane, utilizarea de software neoficial de către utilizatori etc.
Politica de securitate a informațiilor la nivel mediu ar trebui să acopere următoarele subiecte:
Zona de aplicare;
Poziția companiei;
Roluri si responsabilitati;
respectarea legii;
Puncte de contact;
Politicile de securitate de nivel scăzut pot fi atribuite unor servicii specifice. Include obiective și reguli pentru atingerea lor. Dacă compari nivelul inferior cu cele două superioare, atunci ar trebui să fie mult mai detaliat. Acest nivel este foarte important pentru asigurarea securității informațiilor. Deciziile la acest nivel ar trebui luate la nivel managerial, nu la nivel tehnic.
Politica de nivel scăzut la formularea obiectivelor se poate baza pe trei considerente: integritate, disponibilitate și confidențialitate.
Din aceste obiective, trebuie derivate reguli de siguranță care să descrie cine poate face ce și în ce condiții. Cum reguli mai detaliate, cu cât sunt enunțate mai formal, cu atât este mai ușor să sprijiniți implementarea lor cu măsuri software și hardware. Dar regulile prea stricte vor interfera cu munca și va trebui să petreci timp revizuindu-le. Într-o astfel de situație, managerul trebuie să găsească o soluție rațională, un compromis, când va fi asigurat un nivel decent de securitate la un preț acceptabil, iar muncitorii nu vor fi supraîncărcați sau constrânși.
2. AMENINȚĂRI ȘI CANALE DE SCURSARE DE INFORMAȚII, MĂSURI DE PROTECȚIE
2.1 Clasificarea amenințărilor informaționale
Orice date de orice valoare sunt întotdeauna sub amenințarea accesului neautorizat, distrugerii sau modificării accidentale sau intenționate.
Există două tipuri de amenințări la adresa datelor - amenințări naturale și amenințări provocate de om.
Amenințările naturale includ amenințările cauzate de impactul asupra sistemului informațional și asupra elementelor acestuia de procese fizice obiective sau fenomene naturale care nu depind de factorul uman.
Amenințările artificiale includ amenințările la adresa sistemului informațional și a elementelor acestuia cauzate de activitatea umană. Pe baza motivației pentru acțiune, dintre amenințările artificiale merită evidențiate:
urmărirea intenționată (deliberată) a scopului de a provoca daune sistemului gestionat sau utilizatorilor. Acest lucru este adesea făcut de criminali pentru câștig personal.
neintenţionat (neintentionat, accidental). Sursa unor astfel de amenințări poate fi defecțiunea hardware, acțiunile incorecte ale angajaților sau utilizatorilor, erorile software etc. De asemenea, ar trebui să se țină cont de astfel de amenințări, deoarece daunele cauzate de acestea pot fi semnificative;
În ceea ce privește sistemul informațional, merită evidențiate două opțiuni pentru sursa amenințărilor: externă și internă. Clasificarea amenințărilor la adresa securității informațiilor este prezentată în Figura 2.
postat pe http://www.allbest.ru/
Figura 2. Clasificarea amenințărilor la adresa securității informațiilor
2.2 Model de amenințări de securitate la adresa informațiilor procesate la o instalație informatică
O amenințare la adresa securității informațiilor este un set de condiții și factori care creează pericolul unei încălcări a securității informațiilor. Cu alte cuvinte, aceasta este posibilitatea potențială de influențare a obiectului protecției (intențională sau accidentală), din cauza căreia se poate produce o pierdere sau scurgere de informații și, prin urmare, se va produce daune proprietarului informațiilor.
Modelul de amenințare la securitatea informațiilor este prezentat în Figura 3.
Figura 3. Modelul de amenințare pentru securitatea informațiilor
2.3 Clasificarea canalelor de scurgere de informații
Canale de scurgere de informații - căi și metode de scurgere de informații dintr-un sistem informațional.
a) Canal electromagnetic. Cauza apariției sale este câmpul electromagnetic. Electricitate, curgerea în mijloace tehnice de prelucrare a informațiilor creează un câmp electromagnetic. Un câmp electromagnetic poate induce curenți în liniile de cablu din apropiere (zgomot).
La rândul său, canalul electromagnetic este împărțit în:
Canal radio (emisii de înaltă frecvență).
Canal de joasă frecvență.
Canal de rețea (interferență cu firele de împământare).
Canal de împământare (diafonie cu firele de împământare).
Canal liniar (interferență asupra liniilor de comunicație între computere).
b) Canal acustic. Este asociat cu propagarea undelor sonore în aer sau vibrațiilor elastice în alte medii care apar în timpul funcționării dispozitivelor de afișare a informațiilor.
c) Canalul de copiere neautorizată.
d) Canal de acces neautorizat.
Principalele canale de scurgere sunt prezentate în Figura 4.
Figura 4. Principalele canale de scurgere de informații
2.4 Canale de scurgere de informații la o instalație informatică
2.4.1 Amenințare la adresa securității informațiilor printr-un canal de scurgere acustică
Accesul neautorizat la informații confidențiale prin canalul de scurgere acustică (Figura 5) poate fi efectuat:
prin ascultare directă;
folosind mijloace tehnice.
Ascultarea directă a negocierilor (conversațiilor) de către un atacator poate fi efectuată:
prin usa;
printr-o fereastră (fereastră) deschisă;
prin pereți, pereți despărțitori;
prin canalele de aerisire.
Ascultarea conversațiilor prin ușă este posibilă cu condiția ca intrarea în sala de ședințe să se facă cu încălcarea cerințelor de izolare fonică. De asemenea, nu ar trebui să negociezi când ferestre deschise sau ferestre. În aceste condiții poate exista acces direct la conținutul negocierilor.
Pereții, pereții despărțitori, tavanele și chiar podeaua sălilor de ședințe nu au protecție garantată împotriva ascultării decât dacă sunt testate pentru izolare fonică și există încredere că îndeplinesc cerințele de izolare fonică.
Conductele de ventilație sunt foarte periculoase din punct de vedere al accesului neautorizat la conținutul negocierilor. Ele vă permit să ascultați o conversație într-o cameră la o distanță considerabilă. Prin urmare, sunt puse cerințe mari asupra echipamentului conductelor de ventilație.
Utilizarea microfoanelor direcționale pentru ascultarea conversațiilor este în prezent larg răspândită. În acest caz, distanța de ascultare, în funcție de situația reală de interferență, poate ajunge la sute de metri.
Atacatorii pot folosi următoarele ca microfoane direcționale:
microfoane cu reflector parabolic;
microfoane rezonante;
microfoane slot;
microfoane laser.
Pentru interceptări, atacatorii folosesc și așa-numitele microfoane cu fir. Cel mai adesea, se folosesc microfoane cu fire special așezate pentru transmiterea informațiilor, precum și microfoane cu transmisie de informații printr-o linie de rețea de 220 V.
Este posibil ca și alte tipuri de comunicații (fire de alarmă, transmisii radio, ceasuri etc.) să poată fi utilizate pentru a transmite informații interceptate.
Prin urmare, atunci când se efectuează tot felul de reparații și reconstrucții, trebuie acordată o atenție deosebită acestui lucru, deoarece altfel nu poate fi exclusă posibilitatea introducerii unor astfel de dispozitive de ascultare. Microfoanele radio sunt utilizate pe scară largă de atacatori pentru a asculta conversații. În prezent, există peste 200 de tipuri diferite. Caracteristicile generalizate ale microfoanelor radio sunt următoarele:
Gama de frecventa: 27 - 1500 MHz;
Greutate: unități grame - sute de grame;
Raza de actiune: 10 - 1600m;
Timp operație continuă: de la câteva ore la câțiva ani (în funcție de metoda de alimentație).
Aceste dispozitive reprezintă o mare amenințare la adresa securității negocierilor (conversațiilor). Prin urmare, este necesar să faceți tot posibilul pentru a exclude prezența lor în sălile de întâlnire.
În ultimul deceniu, atacatorii au început să folosească dispozitive care le permit să asculte conversații în spații aflate la o distanță considerabilă de ei (din alte zone, orașe etc.), folosind linii telefonice.
postat pe http://www.allbest.ru/
Figura 5. Model de amenințări la adresa informațiilor printr-un canal de scurgere acustică
2.4.2 Amenințare la adresa securității informațiilor din cauza intruziunii de înaltă frecvență
Esența ascultării conversațiilor folosind impunerea de înaltă frecvență este conectarea unui generator de frecvență la linia telefonică și apoi primirea semnalului „reflectat” de la aparatul telefonic, modulat de conversația care are loc în cameră.
Astfel, o analiză a amenințărilor la adresa informațiilor confidențiale conținute în timpul negocierilor (conversațiilor) arată că dacă nu se iau măsuri de protecție, atunci atacatorii pot avea acces la conținutul acestora.
postat pe http://www.allbest.ru/
Figura 6. Model de amenințări la adresa informațiilor din cauza impunerii de înaltă frecvență
2.4.3 Amenințare la adresa securității informațiilor prin canalul de scurgere optic
Dacă negocierile au loc într-o cameră în care ferestrele nu sunt echipate cu perdele sau jaluzele, atunci în acest caz atacatorul are posibilitatea de a folosi instrumente optice vizualizați camera cu mărire mare (binoclu, telescoape). Vezi cine este în ea și ce fac.
Laser
Figura 7. Model de amenințări la adresa informațiilor printr-un canal optic
2.4.4 Amenințare la adresa securității informațiilor printr-un canal de scurgere vibroacustică
Accesul neautorizat la conținutul negocierilor (conversațiilor) de către atacatori poate fi realizat și (Figura 8) folosind stetoscoape și senzori hidroacustici.
postat pe http://www.allbest.ru/
Figura 8. Model de amenințări la adresa informațiilor printr-un canal de scurgere vibroacustic
Cu ajutorul stetoscoapelor se pot asculta negocieri (conversatii) prin pereti de pana la 1 m 20 cm grosime (in functie de material).
În funcție de tipul de canal de transmitere a informațiilor de la senzorul de vibrații însuși, stetoscoapele sunt împărțite în:
Cablat ( canal cu fir transmitere);
Radio (canal de transmisie radio);
Infraroșu (canal de transmisie în infraroșu).
Este posibil ca atacatorii să folosească, de asemenea, senzori hidroacustici pentru a asculta conversațiile din încăperi folosind conducte de alimentare cu apă și încălzire.
2.4.5 Amenințări la adresa securității informațiilor cauzate de factori intenționați
Amenințările cauzate de factori intenționați pot proveni atât de la angajați fără scrupule ai organizației (persoane cu acces la o instalație informatică, utilizatori), cât și de la persoane din afară (atacatori). Unele tipuri de amenințări intenționate pot fi atribuite ambelor criterii, totuși, este recomandabil să le luați în considerare separat.
Amenințările prezentate de utilizatori.
Acest tip de amenințare include:
utilizarea unei metode standard de accesare a sistemului pentru a impune acțiuni interzise (modificări anormale ale atributelor de acces);
utilizarea poziției oficiale pentru a obține acces privilegiat la informații (la un site VT) sau ridicarea restricțiilor impuse de cerințele de protecție a informațiilor;
distrugerea fizică a sistemului sau defecțiunea componentelor acestuia;
dezactivarea sau dezactivarea subsistemelor de securitate a informațiilor;
furtul suporturilor de stocare și copierea lor neautorizată;
citirea informațiilor reziduale din RAM și dispozitivele de stocare externe (vizionarea „gunoi”);
introducerea de „marcaje”, „viruși” și programe „troiene” hardware și software care permit obținerea secretă și ilegală de informații de la o unitate de VT sau obținerea accesului la modificarea (distrugerea) informațiilor procesate la o unitate de VT.
Amenințări venite din exterior (atacatori).
mascarizarea drept utilizator real prin impunerea caracteristicilor autorizației sale (folosirea de parole selectate sau spionate, chei de criptare, cărți de identitate furate, permise etc.);
mascandu-se ca un utilizator real după obținerea accesului;
mita sau șantajul personalului cu anumite atribuții;
furt de medii de stocare;
introducerea de „marcaje”, „viruși” și programe „troiene” hardware și software care permit obținerea secretă și ilegală de informații de la o unitate de VT sau obținerea accesului la modificarea (distrugerea) informațiilor procesate la o unitate de VT;
conexiune ilegală la liniile de comunicație;
interceptarea datelor transmise prin canale de comunicare;
interceptarea informațiilor prin dispozitive încorporate;
2.5 Implementarea măsurilor tehnice de protecție a informațiilor la unitatea de VT
Pentru implementarea măsurilor tehnice primare de protecție, este necesar să se asigure:
* blocarea canalelor de scurgere de informații și accesul neautorizat la media;
* verificarea funcționalității și exploatării echipamentelor tehnice ale instalației de VT;
* instalați mijloace de identificare și indicare a amenințărilor, verificați performanța acestora;
* instalați instrumente securizate de procesare a informațiilor, instrumente de securitate a informațiilor și verificați performanța acestora;
* aplică instrumente software de securitate în echipamentele informatice, sisteme automatizate, efectuează testarea și testarea funcțională a acestora pentru conformitatea cu cerințele de securitate;
* utilizați structuri și mijloace inginerești speciale (sisteme).
Alegerea mijloacelor de asigurare a securității informațiilor este determinată de o metodă fragmentată sau complexă de protecție a informațiilor.
Protecția fragmentată oferă contramăsuri împotriva unei amenințări specifice.
Protecția cuprinzătoare asigură contracararea simultană la mai multe amenințări.
Blocarea canalelor de scurgere de informații poate fi efectuată:
* dezmembrari mijloace tehnice, linii de comunicatie, semnalizare si control, retele energetice, a caror utilizare nu este legata de suportul vital al intreprinderii si prelucrarea informatiilor;
* îndepărtarea elementelor individuale de mijloace tehnice, care reprezintă mediul de propagare a câmpurilor și semnalelor, din incinta în care circulă informația;
* deconectarea temporară a mijloacelor tehnice care nu sunt implicate în prelucrarea informațiilor de la liniile de comunicație, rețelele de semnalizare, control și energie;
* utilizarea de metode și soluții de proiectare pentru protecția informațiilor care nu încalcă principiul de bază specificații mijloace de furnizare a datelor informaţionale.
Blocarea accesului neautorizat la informații sau la media acesteia poate fi efectuată:
* crearea conditiilor de munca in cadrul reglementarilor stabilite;
* excluzând posibilitatea utilizării de software, hardware și software care nu a fost verificat (testat).
Instrumentele de detectare și indicare a amenințărilor sunt utilizate pentru a semnala și a notifica proprietarul (utilizator, manager) informații despre o scurgere de informații sau o încălcare a integrității acesteia. Instrumentele de securitate a informațiilor sunt folosite pentru a ascunde pasiv sau activ informațiile.
Filtrele limitatoare sunt folosite pentru ascunderea pasivă. filtre liniare, special dispozitivele de abonat protectie si scuturi electromagnetice.
Pentru ascunderea activă, se folosesc generatoare de zgomot liniar și spațial în bandă îngustă și în bandă largă.
Instrumentele software sunt utilizate pentru a oferi:
* identificarea și autentificarea utilizatorilor, personalului și resurselor sistemului de prelucrare a informațiilor;
* restricționarea accesului utilizatorilor la informații, echipamente informatice și mijloace tehnice ale sistemelor automatizate;
* integritatea informațiilor și configurarea sistemelor automatizate;
* înregistrarea și înregistrarea acțiunilor utilizatorilor;
* mascarea informatiilor prelucrate;
* raspuns (alarma, oprire, suspendarea lucrarilor, refuzul cererii) la incercarile de actiuni neautorizate.
Pe baza rezultatelor implementării recomandărilor raportului de anchetă și implementării măsurilor de protecție a informațiilor, acesta ar trebui întocmit în liber de la act de acceptare a lucrării de protecție a informațiilor, care trebuie semnat de executantul lucrării, persoana responsabilă cu protecția informațiilor și aprobat de șeful întreprinderii.
Pentru a determina caracterul complet și calitatea activității de securitate a informațiilor, trebuie efectuată certificarea. Certificarea este realizată de organizații care au licențe pentru a opera în domeniul securității informațiilor. Obiectele certificării sunt componentele sistemului informațional și elementele lor individuale în care circulă informațiile care fac obiectul protecției tehnice. În timpul certificării sunt necesare următoarele:
Stabilirea conformității obiectului certificat cu cerințele de securitate a informațiilor;
Evaluează calitatea și fiabilitatea măsurilor de securitate a informațiilor;
Evaluează caracterul complet și suficient al documentației tehnice pentru obiectul de certificare;
Determinați necesitatea de a face modificări și completări la documentele organizatorice și administrative.
Măsurile tehnice pentru protejarea informațiilor la o unitate de VT ar trebui să includă:
Restricționarea accesului la interiorul carcasei computerului prin instalarea dispozitivelor de blocare mecanică.
Distrugerea tuturor informațiilor de pe hard disk-ul unui computer atunci când îl trimiteți pentru reparație folosind instrumente de formatare de nivel scăzut.
Organizarea sursei de alimentare pentru computer dintr-o sursă de alimentare separată sau dintr-o rețea generală de alimentare (orașă) printr-un stabilizator de tensiune ( filtru de rețea) sau motor-generator.
Utilizarea de ecrane cu cristale lichide sau cu plasmă pentru afișarea informațiilor și imprimante cu jet de cerneală sau laser pentru imprimare.
Plasarea afișajului, unitate de sistem, tastatura si imprimanta la o distanta de minim 2,5-3,0 metri de iluminat, aer conditionat, comunicatii (telefon), tevi metalice, echipamente de televiziune si radio, precum si alte calculatoare neutilizate pentru prelucrarea informatiilor confidentiale.
Deconectarea unui computer de la o rețea sau o rețea locală acces de la distanță atunci când procesează informații confidențiale despre acesta, cu excepția cazului în care aceste informații sunt transmise prin rețea.
Instalarea imprimantei și a tastaturii pe tampoane moi pentru a reduce scurgerea de informații prin canalul acustic.
Atunci când procesați informații valoroase pe un computer, se recomandă să porniți dispozitivele care creează zgomot de fond suplimentar (aparate de aer condiționat, ventilatoare), precum și să procesați alte informații pe computerele din apropiere. Aceste dispozitive trebuie amplasate la o distanță de cel puțin 2,5-3,0 metri.
Distrugerea informațiilor imediat după utilizarea acesteia.
3. PRINCIPALE MĂSURI DE PROTECȚIA INFORMAȚIILOR LA ÎNTREPRINDERE
3.1 Obiectivele și principiile organizării unui serviciu de securitate a informațiilor
Multe întreprinderi organizează departamente de securitate. Responsabilitățile unui astfel de serviciu includ organizarea protecției informațiilor legate direct de secretele de stat și comerciale, instruirea angajaților pentru a păstra secretele companiei lor, explicarea regulilor de respectare a protecției informațiilor și a politicii de confidențialitate a companiei și crearea documentelor metodologice. Serviciul de securitate colectează tot ce este necesar despre disponibilitatea informațiilor secrete, perioada de stocare a acestora, secretul comercial al unei anumite întreprinderi, determină cercul de persoane care au acces la acestea și îl controlează astfel încât accesul să fie asigurat numai acelor angajați care au nevoie de ea direct pentru munca lor. De asemenea, serviciului de securitate i se încredințează, de obicei, responsabilități precum monitorizarea informațiilor despre starea pieței, concurenți, analiza și monitorizarea încercărilor firmelor concurente de a obține acces la informații protejate, precum și posibilitatea de a elimina clar și rapid deficiențele din domeniul ocrotirii secretelor comerciale.
Organizat sistem special acces la informații confidențiale - un întreg ansamblu de norme administrative și juridice care organizează accesul la informații de către executanți sau manageri de muncă secretă. Scopul acestui sistem este de a proteja munca de primirea neautorizată a informațiilor clasificate. Acest sistem este împărțit în:
sistem de autorizare a accesului la documentația clasificată;
un sistem de coduri și permise pentru accesul la spațiile în care se desfășoară activități secrete.
Sistemul de securitate asigură siguranța fizică a purtătorilor de informații clasificate și împiedică accesul neautorizat pe teritoriul muncii secrete. Sistemul de securitate este un set de măsuri, mijloace, forțe și măsuri care blochează accesul persoanelor din exterior la informațiile protejate.
Un set de măsuri menite să protejeze informațiile confidențiale efectuate de conducere, administrație și sistemul de securitate este:
monitorizarea zilnică a respectării angajaților cu regulile de securitate a informațiilor;
respectarea de către toți angajații a reglementărilor interne, de securitate la incendiu, instrucțiuni privind protecția datelor etc.;
controlul asupra trecerii în teritoriu a persoanelor neautorizate și urmărirea mișcărilor acestora;
identificarea canalelor de scurgere de informații și măsurile de blocare a acestora;
prevenirea dezvăluirii de informații protejate în publicațiile deschise;
lucrul cu clienții, negocierea cu partenerii etc., este important să se încheie acorduri reciproc avantajoase și să nu se obțină informații despre informațiile protejate.
Protecția juridică a informațiilor.
Măsurile legale care reglementează protecția informațiilor secrete și confidențiale sunt împărțite în două grupe:
reglementări care reglementează regulile și procedurile de protecție a informațiilor;
reglementări care stabilesc răspunderea pentru tentativele de furt de informații.
Normele de drept penal din conținutul lor sunt, pe de o parte, prohibitive, adică ele, sub pedeapsa penală, interzic cetățenilor să-și încalce obligațiile și să comită infracțiuni, iar pe de altă parte, obligă organele de stat competente (FSB). , Ministerul Afacerilor Interne, Parchetul) aduc la răspundere penală pe cei vinovați de săvârșirea unei infracțiuni.
În plus, încălcările regimului de secretizare, a regulilor de păstrare a secretelor de stat și comerciale, care nu constituie infracțiune, pot atrage sancțiuni materiale, disciplinare sau administrative în conformitate cu reglementările în vigoare: scoaterea din muncă legată de secrete sau trecerea la un alt loc de muncă care plătește mai puțin și, de asemenea, nu are legătură cu informații clasificate.
Securitatea informațiilor organizaționale.
Acest grup de măsuri are ca scop organizarea lucrărilor de implementare a regulilor, procedurilor și cerințelor de protecție a secretelor de stat și comerciale pe baza unor reguli, stabilite prin legiși regulamente (instrucțiuni, regulamente etc.).
Măsurile organizatorice de protejare a informațiilor presupun, în primul rând, colaborarea cu personalul care va efectua măsuri de protecție a informațiilor, instruirea angajaților în regulile de protecție a informațiilor clasificate. Măsurile de reglementare și de regim organizatoric stau la baza soluționării problemei protecției informațiilor cu respectarea principiului limita maxima numărul persoanelor care au acces la lucrări și documente secrete. Măsurile de securitate a informațiilor organizaționale necesită respectarea detaliată a regulilor de gestionare a înregistrărilor secrete pentru a elimina sau minimiza pierderea documentelor secrete. Scopul principal al măsurilor de securitate a informațiilor organizaționale este de a preveni accesul neautorizat la secretele de stat sau comerciale și scurgerea de informații protejate.
Inginerie și securitate tehnică a informațiilor.
Aceasta este o zonă separată de protecție a informațiilor. Dezvoltarea echipamentelor tehnice de recunoaștere (TCR) a necesitat crearea statului întregul sistem măsuri de contracarare a colectării de informații de informații folosind TSR.
Măsurile tehnice și tehnice pentru protecția informațiilor reprezintă un set de măsuri organizatorice și inginerie și tehnice care vizează eliminarea sau complicarea semnificativă a achiziției de informații protejate folosind TSR. Principalul lucru aici este că fiecare acțiune necesită o reacție. Confruntarea TSR-urilor doar cu ajutorul măsurilor de securitate organizațională nu este în mod clar suficientă, deoarece TSR-urile nu cunosc granițele și activitățile lor nu sunt afectate de condițiile meteorologice.
Măsurile tehnice și tehnice pentru protecția informațiilor sunt împărțite în trei grupe:
Măsuri generale de prevenire inclusiv reglementare legală utilizarea mijloacelor tehnice în procesul relațiilor internaționale; stabilirea și menținerea unor regimuri care vizează prevenirea scurgerii de informații protejate prin canalele disponibile TSR etc.;
măsurile organizatorice includ activități precum analiza și sinteza informațiilor privind TSR și dezvoltarea modalităților de protejare a acestor parametri;
măsurile tehnice includ un set de mijloace și măsuri tehnice și tehnice utilizate pentru a ascunde de la TSR informațiile protejate despre obiectele de protecție și dezinformarea tehnică a adversarului.
3.2 Informații protejate și obiecte de protecție a informațiilor întreprinderii
Scopul măsurilor de protecție a informațiilor efectuate la unitățile întreprinderii este de a reduce riscul de deteriorare în fața amenințărilor intenționate și neintenționate la adresa securității informațiilor. Atingerea nivelului necesar de securitate a informațiilor trebuie să fie asigurată prin aplicarea sistematică a măsurilor organizatorice, organizatoric-tehnice, tehnice și software-tehnice la toate etapele de funcționare a instalațiilor întreprinderii.
Acest obiectiv este atins printr-o soluție rațională și interconectată a următoarelor sarcini la facilitățile întreprinderii, legate printr-un singur plan:
A. identificarea informațiilor, resurselor informaționale și proceselor care trebuie protejate;
b. analiza caracteristicilor de demascare care dezvăluie informații protejate despre obiecte protejate, canale de scurgere, furt, acces neautorizat și impact asupra informațiilor protejate;
c. evaluarea capacităților de informații tehnice și a structurilor criminale de a obține informații protejate, acces neautorizat și impact asupra resurselor și proceselor informaționale, evaluări pericol real scurgerea de informații, denaturarea, modificarea, distrugerea sau blocarea resurselor și proceselor informaționale;
d. dezvoltarea și punerea în aplicare a măsurilor solide din punct de vedere tehnic și economic pentru protejarea informațiilor, ținând cont de posibilele canale identificate ale scurgerii, impactului și accesului acesteia;
e. organizarea si monitorizarea eficacitatii protectiei informatiilor la facilitatile de informatizare ale intreprinderii.
Pentru informații protejate, resurse și procese de informații protejate în toate etapele ciclu de viață Facilitățile întreprinderii includ:
a) Informații de vorbire care conțin informații clasificate ca secret de stat.
b) Resursele informaționale care conțin informații clasificate ca secrete de stat, prezentate sub formă de medii magnetice și optice, semnale electrice informative, câmpuri electromagnetice, matrice de informații și baze de date.
Atunci când se analizează securitatea informațiilor protejate și a resurselor informaționale, trebuie luate în considerare toate tipurile posibile de amenințări.
Obiectele de informatizare ale întreprinderii supuse protecției, conform cerințelor de securitate a informațiilor, aparțin uneia din trei grupe:
A. Prima grupă este principalele mijloace și sisteme tehnice, precum și componentele acestora și sediul în care sunt amplasate.
b. Al doilea grup este spații dedicate special concepute pentru desfășurarea evenimentelor închise la care se discută informații care constituie secret de stat, precum și dotate cu comunicații guvernamentale și alte tipuri de comunicații speciale.
c. Al treilea grup este reprezentat de mijloacele tehnice auxiliare și sistemele instalate în spații dedicate.
Principalele mijloace tehnice includ:
a) Posturi de lucru automatizate separate ale diviziilor structurale ale intreprinderii destinate prelucrarii informatiilor care contin informatii care constituie secret de stat.
b) Mijloace de prelucrare a informațiilor vocale, grafice, video utilizate pentru prelucrarea informațiilor clasificate.
c) Facilități pentru producerea și reproducerea documentelor secrete.
d) Mijloace și sisteme de comunicare în care circulă informații clasificate.
Spațiile alocate de categoria a III-a includ birouri și săli de lucru ale departamentelor întreprinderii, în care se poartă discuții și negocieri pe probleme cu un grad de secret nu mai mare de „secret”, precum și săli de adunări destinate evenimentelor închise.
Spațiile dedicate din categoria II includ spațiile special alocate pentru desfășurarea ședințelor în totalitate chestiuni secrete, precum și birourile personalului de conducere al întreprinderii și principalele sale divizii în care se pot purta discuții și negocieri pe probleme extrem de secrete.
Mijloacele auxiliare includ mijloace tehnice și sisteme care nu sunt destinate prelucrării, transmiterii și stocării informațiilor clasificate, situate în spații dedicate, precum și împreună cu principalele mijloace și sisteme tehnice.
3.3 Măsuri organizatorice și tehnice pentru protecția informațiilor
Protecția informațiilor la instalațiile întreprinderii ar trebui realizată printr-un set de măsuri care vizează: ascunderea sau complicarea semnificativă a extragerii informațiilor protejate despre obiectele protejate folosind mijloace tehnice de recunoaștere; prevenirea scurgerii de informații sau a impactului asupra resurselor și proceselor informaționale prin canale tehnice și prin acces neautorizat la acestea; prevenirea impacturilor software și hardware deliberate cu scopul de a încălca integritatea (distrugerea, denaturarea) informațiilor (tehnologia informației) în timpul prelucrării, transmiterii și stocării acesteia sau de a perturba performanța mijloacelor tehnice.
Pe baza listei principalelor amenințări la adresa securității informațiilor, se pot distinge mai multe domenii în gama de măsuri de protecție a informațiilor din facilitățile întreprinderii:
Protecția împotriva scurgerilor prin canale tehnice de informații secrete de vorbire (acustice) discutate în sediul facilităților întreprinderii.
Protecția echipamentelor și sistemelor tehnice de bază împotriva scurgerii de informații care constituie secrete de stat prin canalele de radiații și interferențe electromagnetice colaterale
Protecția informațiilor împotriva accesului neautorizat, inclusiv virusi informaticiși alte impacturi software și hardware, de la furtul de mijloace tehnice cu informații conținute în acestea sau medii de stocare individuale.
Protecția informațiilor de efectele surselor de radiații electromagnetice destabilizatoare (distructive), precum și de distrugerea și denaturarea informațiilor prin instrumente electronice și software special implementate (marcaje).
Organizarea protecției împotriva scurgerii de informații secrete de vorbire (acustice) prin canale tehnice presupune realizarea unui set de măsuri organizatorice și tehnice care vizează eliminarea canalelor acustice și vibroacustice de scurgere de informații, precum și a canalelor tehnice apărute în timpul funcționării mijloacelor tehnice auxiliare și prin introducerea dispozitivelor electronice de interceptare a informaţiilor .
Efectuarea unei inspecții speciale a spațiilor desemnate, precum și a echipamentelor tehnice de fabricație străină situate în acestea, pentru a identifica posibile dispozitive electronice de interceptare a informațiilor (marcaje) încorporate în acestea.
Efectuarea masurilor organizatorice si de securitate pentru accesul si securitatea spatiilor alocate.
Instalarea in incinte dedicate a mijloacelor tehnice (terminale de comunicatii telefonice, radiodifuziune, alarme, ceasuri electrice etc.), certificate conform cerintelor de securitate a informatiilor sau protejate conform rezultatelor studiilor speciale prin mijloace de securitate certificate.
Excluderea utilizării radiotelefoanelor și a dispozitivelor terminale celulare în spații dedicate.
Îndeplinirea cerințelor pentru izolarea fonică și protecția vibroacustică a structurilor închise ale spațiilor desemnate, sistemele de ventilație și aer condiționat ale acestora. Creșterea izolației fonice a structurilor de închidere a clădirilor sau instalarea mijloacelor active de protecție se realizează pe baza rezultatelor măsurătorilor raportului semnal informativ/zgomot în locurile în care informațiile pot fi interceptate.
Pregătirea pașapoartelor tehnice pe probleme de securitate a informațiilor pentru spațiile dedicate este efectuată de către specialistul șef în securitatea informațiilor al întreprinderii, cu implicarea departamentelor care operează clădiri, sisteme de alimentare cu energie, comunicații și mijloace tehnice, precum și departamente situate în sediul dedicat.
Organizarea și desfășurarea certificării spațiilor alocate conform cerințelor de securitate a informațiilor cu eliberarea unui „Certificat de conformitate”. Certificarea este efectuată de o organizație care dispune de corespunzătoare Licență FSTEC Rusia.
Pentru a proteja informațiile prelucrate de toate tipurile de mijloace și sisteme tehnice de bază, se organizează și se realizează un set de măsuri organizatorice și tehnice, care vizează eliminarea sau reducerea semnificativă a nivelului de radiații electromagnetice parasite și interferențe în liniile de comunicații și comunicații care se extind. dincolo de zona controlată a facilităţilor întreprinderii.
Astfel de evenimente includ:
Efectuarea unei inspecții speciale a echipamentelor tehnice principale de fabricație străină pentru a identifica eventualele dispozitive electronice de interceptare a informațiilor (marcaje) încorporate în acestea.
Efectuarea studiilor speciale ale echipamentelor și sistemelor tehnice de bază și emiterea de instrucțiuni de exploatare.
Respectarea cerințelor reglementărilor de exploatare pentru amplasarea echipamentelor și sistemelor tehnice de bază în raport cu limitele zonei controlate.
Respectarea cerințelor regulamentelor de exploatare pentru amplasarea mijloacelor și sistemelor tehnice principale în raport cu mijloacele și sistemele tehnice auxiliare care se extind dincolo de zona controlată.
Respectarea cerințelor reglementărilor de exploatare pentru protecția sistemului de alimentare cu energie electrică a echipamentelor și sistemelor tehnice de bază.
Respectarea cerințelor reglementărilor de exploatare pentru protecția sistemului de împământare a echipamentelor și sistemelor tehnice de bază.
Pregătirea pașapoartelor tehnice pe probleme de securitate a informațiilor pentru mijloacele și sistemele tehnice de bază se realizează de către specialistul șef în securitatea informațiilor al întreprinderii împreună cu departamentul care operează aceste mijloace.
Pentru a proteja informațiile și procesele informaţionale(tehnologii) în sistemele informaționale (sisteme automate), sunt luate măsuri pentru a le proteja de accesul neautorizat și de influențele software și hardware, inclusiv virușii informatici. Sistemele automate destinate procesării informațiilor care constituie secrete de stat sunt supuse protecției.
Măsurile de protecție a sistemelor automatizate destinate procesării informațiilor care constituie secrete de stat împotriva accesului neautorizat la informații au ca scop atingerea a trei proprietăți principale ale informațiilor protejate: confidențialitate, integritate și disponibilitate.
Sunt stabilite măsuri de protecție a informațiilor atunci când reprezentanții străini se află la unitățile întreprinderii, procedura de implementare a acestora și responsabilitatea funcționarilor pentru implementarea lor. instrucțiuni separate privind admiterea cetăţenilor străini.
Măsurile de asigurare a securității informațiilor sunt efectuate în toate etapele ciclului de viață al obiectelor întreprinderii și fac parte integrantă din activitatea de creare și funcționare a acestora.
La stadiul de funcționare a unității întreprinderii, a sistemului de informatizare și a mijloacelor de securitate a informațiilor din cadrul acestuia se realizează următoarele:
Administrarea sistemelor de informații și comunicații pentru a asigura securitatea informațiilor în timpul funcționării acestora, inclusiv:
controlul accesului la sistem și elementele acestuia;
formarea și distribuirea detaliilor autorității utilizatorului în conformitate cu regulile de control al accesului stabilite;
generare și distribuire de informații despre cheie și parolă;
înregistrarea și contabilizarea acțiunilor în sistem;
Contabilitatea purtătoarelor de informații;
furnizarea de alarme cu privire la încercările de a încălca securitatea;
menținerea funcționării subsistemului de securitate a informațiilor criptografice;
menținerea funcționării hardware și software și a sistemelor de securitate a informațiilor în modurile stabilite prin documentația operațională;
monitorizarea integrității software-ului utilizat pe echipamentele informatice în vederea identificării modificărilor neautorizate ale acestuia, precum și realizarea măsurilor de protecție antivirus pentru mediile de stocare și mesajele primite prin canalele de comunicare;
instruirea personalului și utilizatorilor mijloacelor tehnice de transmitere, prelucrare și stocare a informațiilor cu privire la regulile de lucru cu instrumentele de securitate a informațiilor;
participarea la desfășurarea investigațiilor oficiale privind încălcările sau amenințările cu încălcarea securității informațiilor protejate.
Organizarea și controlul funcționării fondurilor protectie fizica, excluzând accesul neautorizat la obiecte și mijloace tehnice protejate, furtul acestora și perturbarea performanței.
Inspecția periodică a incintelor pentru absența mijloacelor radio-electronice eventual încorporate de interceptare a informațiilor.
Inspecția periodică a spațiilor, instalațiilor și sistemelor informatice alocate.
Verificarea periodică a stațiilor de lucru automatizate pentru conformitatea cu cerințele de protecție antivirus.
Certificarea periodică a obiectelor protejate.
Controlul lucrărilor de reparații și întreținere în spațiile desemnate, precum și asupra echipamentelor tehnice și a comunicațiilor acestora
3.4 Metode software și hardware și mijloace de protejare a informațiilor împotriva accesului neautorizat la o unitate VT
Baza tehnică a sistemului de protecție a informațiilor împotriva accesului neautorizat este metodele și instrumentele software și hardware.
Pentru a crea un set optim de metode software și hardware și instrumente de securitate a informațiilor, este necesar să parcurgem următoarele etape:
Identificarea informațiilor și a resurselor tehnice de protejat;
Identificarea gamei complete de amenințări potențiale și canale de scurgeri;
Efectuarea unei evaluări a vulnerabilității informațiilor pentru amenințările identificate și canalele de scurgeri;
Determinarea cerințelor pentru sistemul de securitate a informațiilor;
Selectarea instrumentelor de securitate a informațiilor și a caracteristicilor acestora;
Introducerea și organizarea utilizării măsurilor, metodelor și mijloacelor de protecție selectate;
Implementarea monitorizării integrității și managementului sistemului de securitate.
Setul de metode și mijloace de protecție include:
Instrumente și metode software;
Hardware;
Transformări de securitate (criptografice);
Evenimente organizatorice.
Metodele de protecție software sunt un set de algoritmi și programe care asigură controlul accesului și exclud utilizarea neautorizată a informațiilor.
Esența protecției hardware sau a circuitelor este aceea că dispozitivele și mijloacele tehnice de procesare a informațiilor asigură prezența unor speciali solutii tehnice, care asigură protecția și controlul informațiilor, de exemplu, dispozitive de ecranare care localizează radiația electromagnetică sau circuite de verificare a parității informației care monitorizează corectitudinea transferului de informații între diferite dispozitive ale sistemului informațional.
Documente similare
Nevoia și nevoia de protecție a informațiilor. Tipuri de amenințări la adresa securității tehnologiei informației și a informațiilor. Canale de scurgere și acces neautorizat la informații. Principii de proiectare a sistemului de protecție. Infractorii interni și externi ai AITU.
test, adaugat 04.09.2011
Cele mai comune modalități de acces neautorizat la informații, canale de scurgere a acesteia. Metode de protecție a informațiilor împotriva amenințărilor naturale (de urgență) și a amenințărilor aleatorii. Criptografia ca mijloc de protejare a informațiilor. Spionaj industrial.
rezumat, adăugat 06.04.2013
Principalele canale de scurgere de informații. Principalele surse de informații confidențiale. Obiecte principale ale protecției informațiilor. Lucrări de bază privind dezvoltarea și îmbunătățirea sistemului de securitate a informațiilor. Model de protecție a securității informațiilor a JSC Căile Ferate Ruse.
lucrare curs, adăugată 09.05.2013
Opțiuni pentru gestionarea computerului în modul offline. Clasificarea amenințărilor de securitate, canalele de scurgere de informații. Sisteme hardware și software și metode criptografice pentru protejarea informațiilor de pe un computer personal. Sistem software„Cobra”, utilități de supraveghere.
test, adaugat 20.11.2011
Căi de acces neautorizat, clasificarea amenințărilor și a obiectelor de protecție. Metode de protecție a informațiilor în sistemele de management al producției. Principalele canale de scurgere de informații la procesarea lor pe un computer. Fluxuri de informații ale organizației SRL „TD Iskra”.
lucrare curs, adăugată 15.03.2016
Modalitati de acces neautorizat, clasificarea metodelor si mijloacelor de protejare a informatiilor. Canale de scurgere de informații. Direcții principale de protecție a informațiilor în sistemul de management. Măsuri de protecție directă a calculatoarelor personale. Analiza securității nodurilor rețelei locale „Stroyproekt”.
teză, adăugată 06.05.2011
Concept și tipuri de sistem de comunicații mobile. Caracteristici de construcție și exploatare. Sistem de securitate a informațiilor. Conceptul și clasificarea amenințărilor. Tipuri de prezentare a informațiilor și posibile canale pentru scurgerea acesteia. Scenarii de acces neautorizat.
lucrare curs, adaugat 23.11.2013
Modelarea obiectelor de securitate a informațiilor. Structurarea informațiilor protejate. Modelarea amenințărilor de securitate: metode de penetrare fizică, canale tehnice de scurgere de informații, amenințări din surse naturale. Activități tehnice și de inginerie.
lucrare curs, adaugat 13.07.2012
Analiza informațiilor procesate în unitate și software și hardware pentru prelucrarea informațiilor. Metode organizatorice de control al accesului. Hardware-software si dispozitive tehnice pentru protectie, control senzori, supraveghere video si sisteme de alarma.
rezumat, adăugat 22.11.2014
Amenințări externe securitatea informaţiei, formele de manifestare a acestora. Metode și mijloace de protecție împotriva spionajului industrial, scopurile acestuia: obținerea de informații despre un concurent, distrugerea informațiilor. Metode de acces neautorizat la informații confidențiale.
