Защита информации виды и содержание мероприятий. Специальное программное обеспечение по защите информации ПК

1

Определена степень актуальности проблемы защиты информации в настоящее время. Представлены основные определения, связанные с инженерно-технической защитой. Описаны этапы обеспечения защиты информации, необходимые на предприятиях. Проведено распределение защищаемых объектов на соответствующие классы. Описаны возможные каналы утечки информации и представлена классификация технических каналов утечки информации. Установлены требования к объему и характеру комплекса мероприятий, направленных на защиту конфиденциальной информации от утечки по техническим каналам в процессе эксплуатации защищаемого объекта. Указаны основные должностные лица на предприятии, отвечающие за реализацию информационной безопасности. Рассмотрены виды технических средств приема, обработки, хранения и передачи информации. Описаны основные методы и способы защиты информации от утечки по техническим каналам – организационные, поисковые и технические. Представлены способы активной и пассивной защиты информации.

защита информации

средства

каналы утечки

классификация

информация

1. Хорев А.А. Организация защиты информации от утечки по техническим каналам // Специальная Техника. – 2006. – № 3.

2. Халяпин Д.Б. Защита информации. Вас подслушивают? Защищайтесь. – М.: НОУ ШО Баярд, 2004.

3. Аверченков В.И., Рытов М.Ю. Служба защиты информации: организация и управление: учебное пособие для вузов [электронный ресурс] – М.: ФЛИНТА, 2011.

4. Торокин А.А. Основы инженерно-технической защиты информации. – М.: Гелиус, 2005.

5. Бузов Г.А. Защита от утечки информации по техническим каналам. М.: Горячая линия, 2005.

В настоящее время информация занимает ключевое место. Информация - сведения о лицах, фактах, событиях, явлениях и процессах независимо от формы их представления. Владение информацией во все времена давало преимущества той стороне, которая располагала более точной и обширной информацией, тем более если это касалось информации о соперниках или конкурентах. «Кто владеет информацией, тот владеет миром» (Натан Ротшильд - британский банкир и политик).

Проблема защиты информации существовала всегда, но в настоящее время из-за огромного скачка научно-технического прогресса она прибрела особую актуальность. Поэтому задача специалистов по защите информации заключается в овладении всем спектром приемов и методов защиты информации, способов моделирования и проектирования систем защиты информации. Одним из способов защиты информации является инженерно-техническая защита информации. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Под утечкой информации понимается несанкционированный процесс переноса информации от источника к конкуренту. Физический путь переноса информации от ее источника к несанкционированному получателю называется каналом утечки. Канал, в котором осуществляется несанкционированный перенос информации с использованием технических средств, называется техническим каналом утечки информации (ТКУИ). Классификация технических каналов утечки информации представлена на рисунке .

Для обеспечения высококачественной защиты информации от утечки по техническим каналам прежде всего необходим дифференцированный подход к защищаемой информации. Для этого их надо разделить на соответствующие категории и классы. При этом классификация объектов проводится в соответствии с задачами технической защиты информации. Здесь же устанавливаются требования к объему и характеру комплекса мероприятий, направленных на защиту конфиденциальной информации от утечки по техническим каналам в процессе эксплуатации защищаемого объекта.

К классу защиты А относятся объекты, на которых осуществляется полное скрытие информационных сигналов, возникающих при обработке информации или ведении переговоров (скрытие факта обработки конфиденциальной информации на объекте).

Классификация технических каналов утечки информации

К классу защиты Б относятся объекты, на которых осуществляется скрытие параметров информационных сигналов, возникающих при обработке информации или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте) .

В зависимости от природы источника конфиденциальной информации каналы утечки имеют следующую классификацию :

• электромагнитные каналы утечки информации в радиочастотном диапазоне электромагнитных волн, в которых техническим разведывательным (демаскирующим) признаком объектов защиты являются электромагнитные излучения, параметры которых качественно или количественно характеризуют конкретный объект защиты;
• электромагнитные каналы утечки информации в инфракрасном диапазоне электромагнитных волн, в которых техническим демаскирующим признаком объекта защиты являются собственные излучения объектов в этом диапазоне;
• акустический канал утечки информации. Используется для получения информации в акустической речевой и сигнальной разведках;
• гидроакустические каналы утечки информации. Используется при получении информации о передаче звукоинформационной связи, разведке шумовых полей и гидроакустических сигналов;
• сейсмические каналы утечки информации, позволяющие за счет обнаружения и анализа деформационных и сдвиговых полей в земной поверхности определять координаты и силу различных взрывов, а также перехват ведущихся на небольшой дальности переговоров;
• магнитометрические каналы утечки информации, обеспечивающие получение информации об объектах за счет обнаружения локальных изменений магнитного поля Земли под воздействием объекта;
• химические каналы утечки информации, позволяющие получать информацию об объекте путем контактного или дистанционного анализа изменений химического состава окружающей объект среды .

Процесс обеспечения защиты информации можно разделить на несколько этапов.

Первый этап (анализ объекта защиты) заключается в определении, что нужно защищать.

Анализ проводится по следующим направлениям:

• определяется информация, которая нуждается в защите в первую очередь;
• выделяются наиболее важные элементы (критические) защищаемой информации;
• определяется срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации);
• определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;
• классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения, управления и т.д.).

Второй этап сводится к выявлению угроз:

• определяется - кого может заинтересовать защищаемая информация;
• оцениваются методы, используемые конкурентами для получения этой информации;
• оцениваются вероятные каналы утечки информации;
• разрабатывается система мероприятий по пресечению действий конкурента.

Третий - анализируется эффективность принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т. д.).

Четвертый - определение необходимых мер защиты. На основании проведенных первых трех этапов аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.

Пятый - руководителями фирмы (организации) рассматриваются представленные предложения по всем необходимым мерам безопасности, и производится расчет их стоимости и эффективности.

Шестой - реализация дополнительных мер безопасности с учетом установленных приоритетов.

Седьмой - осуществление контроля и доведение реализуемых мер безопасности до сведения персонала фирмы.

В рамках организации процесс защиты информации проходит, в той или иной мере, через вышеприведенные этапы.

Под системой безопасности предприятия в настоящее время понимается организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз .

Система безопасности фирмы состоит из следующих основных элементов (должностные лица и органы):

• Руководитель фирмы, курирующий вопросы безопасности информации.
• Совет по безопасности фирмы.
• Служба безопасности фирмы.
• Подразделения фирмы, участвующие в обеспечении безопасности фирмы.

Руководство безопасностью возлагается, как правило, на руководителя фирмы и его заместителя по общим вопросам (1-го заместителя), которым непосредственно подчиняется служба безопасности.

Для организации защиты информации на предприятии необходимо сформировать Совет по безопасности. Он представляет собой коллегиальный орган при руководителе фирмы, состав которого назначается им из числа квалифицированных и ответственных по вопросам информационной безопасности должностных лиц. Совет по безопасности разрабатывает для руководителя предложения по основным вопросам обеспечения защиты информации, в том числе:

• направления деятельности фирмы по обеспечению безопасности;
• совершенствование системы безопасности;
• взаимодействия с органами власти, заказчиками, партнерами, конкурентами и потребителями продукции и др. .

Наряду с техническими средствами приема, обработки, хранения и передачи информации (ТСПИ) в помещениях устанавливаются технические средства и системы, непосредственно не участвующие в обработке конфиденциальной информации, но использующиеся совместно с ТСПИ и находящиеся в зоне электромагнитного поля, создаваемого ими. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС).

В организациях работа по инженерно-технической защите информации, как правило, состоит из двух этапов:

• построение или модернизация системы защиты;
• поддержание защиты информации на требуемом уровне.

Формирование системы защиты информации проводится во вновь создаваемых организациях, в остальных осуществляется модернизация существующей системы.

В зависимости от целей, порядка проведения мероприятий по обеспечению безопасности информации и применяемого оборудования методы и способы защиты от утечки информации по техническим каналам можно разделить на организационные, поисковые и технические.

Организационные способы защиты

Эти меры осуществляются без применения специальной техники и предполагают следующее:

• установление контролируемой зоны вокруг объекта;
• введение частотных, энергетических, временных и пространственных ограничений в режимы работы технических средств приема, обработки, хранения и передачи информации;
• отключение на период проведения закрытых совещаний вспомогательных технических средств и систем (ВТСС), обладающих качествами электроакустических преобразователей (телефон, факс и т.п.), от соединительных линий;
• применение только сертифицированных ТСПИ и ВТСС;
• привлечение к строительству и реконструкции выделенных (защищенных) помещений, монтажу аппаратуры ТСПИ, а также к работам по защите информации исключительно организаций, лицензированных соответствующими службами на деятельность в данной области;
• категорирование и аттестация объектов информатизации и выделенных помещений на соответствие требованиям обеспечения защиты информации при проведении работ со сведениями различной степени секретности;
• режимное ограничение доступа на объекты размещения ТСПИ и в выделенные помещения.

Поисковые мероприятия

Портативные подслушивающие (закладные) устройства выявляют в ходе специальных обследований и проверок. Обследование объектов размещения ТСПИ и выделенных помещений выполняется без применения техники путем визуального осмотра. В ходе специальной проверки, выполняемой с применением пассивных (приемных) и активных поисковых средств, осуществляется:

• контроль радиоспектра и побочных электромагнитных излучений ТСПИ;
• выявление с помощью индикаторов электромагнитного поля, интерсепторов, частотомеров, сканеров или программно-аппаратных комплексов негласно установленных подслушивающих приборов;
• специальная проверка выделенных помещений, ТСПИ и ВТСС с использованием нелинейных локаторов и мобильных рентгеновских установок.

Техническая защита

Подобные мероприятия проводятся с применением как пассивных, так и активных защитных приемов и средств. К пассивным техническим способам защиты относят:

• установку систем ограничения и контроля доступа на объектах размещения ТСПИ и в выделенных помещениях;
• экранирование ТСПИ и соединительных линий средств;
• заземление ТСПИ и экранов соединительных линий приборов;
• звукоизоляция выделенных помещений;
• встраивание в ВТСС, обладающие «микрофонным» эффектом и имеющие выход за пределы контролируемой зоны, специальных фильтров;
• ввод автономных и стабилизированных источников, а также устройств гарантированного питания в цепи электроснабжения ТСПИ;
• монтаж в цепях электропитания ТСПИ, а также в электросетях выделенных помещений помехоподавляющих фильтров.

Активное воздействие на каналы утечки осуществляют путем реализации :

• пространственного зашумления, создаваемого генераторами электромагнитного шума;
• прицельных помех, генерируемых на рабочих частотах радиоканалов подслушивающих устройств специальными передатчиками;
• акустических и вибрационных помех, генерируемых приборами виброакустической защиты;
• подавления диктофонов устройствами направленного высокочастотного радиоизлучения;
• зашумления электросетей, посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны;
• режимов теплового разрушения электронных устройств .

В результате использования средств для проведения мероприятий по обеспечению инженерно-технической защиты информации организация существенно уменьшит вероятность реализации угроз, что несомненно способствует сохранению материального и интеллектуального капитала предприятия.

Рецензенты:

Китова О.В., д.э.н., профессор, заведующая кафедрой информатики, ФГБОУ ВПО «Российский экономический университет имени Г.В. Плеханова» Министерства образования и науки РФ, г. Москва;

Петров Л.Ф., д.т.н., профессор кафедры математических методов в экономике, ФГБОУ ВПО «Российский экономический университет имени Г.В. Плеханова» Министерства образования и науки РФ, г. Москва.

Работа поступила в редакцию 18.03.2014.

Библиографическая ссылка

Титов В.А., Замараева О.А., Кузин Д.О. МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ // Фундаментальные исследования. – 2014. – № 5-3. – С. 573-576;
URL: http://fundamental-research.ru/ru/article/view?id=33920 (дата обращения: 06.04.2019). Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»

Всех уже перестал удивлять тот факт, что в продаже постоянно появляются сведения, составляющие коммерческую тайну той или иной организации. Сегодня не составит труда приобрести клиентскую базу или персональные данные работников интересующей вас компании. Это происходит потому, что руководители организаций не прилагают достаточных усилий для защиты информации, относящейся к коммерческой тайне. Более того, не стоит забывать о реально существующих охотниках за подобной информацией. Научно-технический прогресс внес в нашу жизнь большое количество технических средств, позволяющих производить запись телефонных переговоров, совещаний, появилась возможность считывать информацию с экрана компьютера, территориально находясь вне места расположения компании.

Но основным источником утечки информации являются сотрудники. Именно они «сливают» информацию, составляющую коммерческую тайну. Причин тому может быть масса - и получение дополнительного заработка, и по неосторожности или случайно.

На сегодняшний день компании, специализирующиеся на технической защите ценной информации, предлагают ряд продуктов, способных осуществлять динамическую блокировку устройств, через которые злоумышленники могут скачать информацию.

Но против человеческого фактора защиту строить сложнее. Необходимо четко разъяснить сотрудникам, какая информация относиться к коммерческой тайне, и какова степень ответственности за ее разглашение. Ограничьте доступ к информации, составляющей коммерческую тайну: определите порядок обращения с этой информацией, осуществляйте контроль за соблюдением такого порядка. Разработайте специальную инструкцию по соблюдению конфиденциальности.

В обязательном порядке необходимо заключить с работниками трудовые договоры, а с контрагентами (лат. contrahens -- договаривающийся -- лица, учреждения, организации, связанные обязательствами по общему договору, сотрудничающие в процессе выполнения договора) гражданско-правовые договоры, в которых должны содержаться условия об охране конфиденциальной информации. Обязательство о неразглашении коммерческой тайны может быть составлено в любой форме, важно чтобы оно содержало перечень сведений, которые в вашей компании составляют коммерческую тайну.

Также организовать специальное делопроизводство, обеспечивающее сохранность носителей, содержащих коммерческую тайну, и внедрите систему разъединения информации по блокам. Каждый сотрудник должен знать ровно столько, сколько необходимо для выполнения его обязанностей.

Еще одним способом защиты прав обладателя коммерческой тайны является установление санкций за нарушение обязательств по соблюдению конфиденциальности контрагентами в гражданско-правовых договорах. По общему правилу, защита нарушенных гражданских прав осуществляется в судебном порядке (признание права, пресечение незаконных действий, возмещение убытков). Кроме гражданско-правовых способов защиты, коммерческая тайна может быть защищена по нормам трудового, уголовного права, а также по нормам о недобросовестной конкуренции.

Из возможностей, предусмотренных трудовым правом, права обладателя коммерческой тайны могут защищаться такими действиями как привлечение к материальной ответственности и привлечение к дисциплинарной ответственности вплоть до прекращения трудовых отношений. Кроме того, при наличии признаков правонарушения, предусмотренных соответствующими отраслями права, возможно, привлечение правонарушителей к уголовной ответственности.

При хранении информации в электронном виде можно выделить три направления работ по защите информации: теоретические исследования, разработка средств защиты и обоснование способов использования средств защиты в автоматизированных системах.

В теоретическом плане основное внимание уделяется исследованию уязвимости информации в системах электронной обработки информации, явлению и анализу каналов утечки информации, обоснованию принципов защиты информации в больших автоматизированных системах и разработке методик оценки надежности защиты.

К настоящему времени разработано много различных средств, методов, мер и мероприятий, предназначенных для защиты информации, накапливаемой, хранимой и обрабатываемой в автоматизированных системах. Сюда входят аппаратные и программные средства, криптографическое закрытие информации, физические меры организованные мероприятия, законодательные меры. Иногда все эти средства защиты делятся на технические и нетехнические, причем, к техническим относят аппаратные и программные средства и криптографическое закрытие информации, а к нетехническим - остальные перечисленные выше.

а) аппаратные методы защиты.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

Специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности,

Генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства,

Устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации,

Специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты,

Схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

б) программные методы защиты.

К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

Идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей,

Определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей,

Контроль работы технических средств и пользователей,

Регистрация работы технических средств и пользователей при обработки информации ограниченного использования,

Уничтожения информации в ЗУ после использования,

Сигнализации при несанкционированных действиях,

Вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

в) резервное копирование.

Резервное копирование информации заключается в хранении копии программ на носителе. На этих носителях копии программ могут находится в нормальном (несжатом) или заархивированном виде. Резервное копирование проводится для сохранения программ от повреждений (как умышленных, так и случайных), и для хранения редко используемых файлов.

г) криптографическое шифрование информации.

Криптографическое закрытие (шифрование) информации заключается в таком преобразовании защищаемой информации, при котором по внешнему виду нельзя определить содержание закрытых данных. Криптографической защите специалисты уделяют особое внимание, считая ее наиболее надежной, а для информации, передаваемой по линии связи большой протяженности, - единственным средством защиты информации от хищений.

Основные направления работ по рассматриваемому аспекту защиты можно сформулировать таким образом:

Выбор рациональных систем шифрования для надежного закрытия информации,

Обоснование путей реализации систем шифрования в автоматизированных системах,

Разработка правил использования криптографических методов защиты в процессе функционирования автоматизированных систем,

Оценка эффективности криптографической защиты.

К шифрам, предназначенным для закрытия информации в ЭВМ и автоматизированных системах, предъявляется ряд требований, в том числе: достаточная стойкость (надежность закрытия), простота шифрования и расшифрования от способа внутримашинного представления информации, нечувствительность к небольшим ошибкам шифрования, возможность внутримашинной обработки зашифрованной информации, незначительная избыточность информации за счет шифрования и ряд других. В той или иной степени этим требованиям отвечают некоторые виды шифров замены, перестановки, гаммирования, а также шифры, основанные на аналитических преобразованиях шифруемых данных.

Особенно эффективными являются комбинированные шифры, когда текст последовательно шифруется двумя или большим числом систем шифрования (например, замена и гаммирование, перестановка и гаммирование). Считается, что при этом стойкость шифрования превышает суммарную стойкость в составных шифрах.

Каждую из систем шифрования можно реализовать в автоматизированной системе либо программным путем, либо с помощью специальной аппаратуры. Программная реализация по сравнению с аппаратной является более гибкой и обходится дешевле. Однако аппаратное шифрование в общем случае в несколько раз производительнее. Это обстоятельство при больших объемах закрываемой информации имеет решающее значение.

д) физические меры защиты.

Следующим классом в арсенале средств защиты информации являются физические меры. Это различные устройства и сооружения, а также мероприятия, которые затрудняют или делают невозможным проникновение потенциальных нарушителей в места, в которых можно иметь доступ к защищаемой информации. Чаще всего применяются такие меры:

Физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений,

Ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий,

Организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения,

Организация системы охранной сигнализации.

е) организационные мероприятия по защите информации.

Следующим классом мер защиты информации являются организационные мероприятия. Это такие нормативно-правовые акты, которые регламентируют процессы функционирования системы обработки данных, использование ее устройств и ресурсов, а также взаимоотношение пользователей и систем таким образом, что несанкционированный доступ к информации становится невозможным или существенно затрудняется. Организационные мероприятия играют большую роль в создании надежного механизма защиты информации. Причины, по которым организационные мероприятия играют повышенную роль в механизме защиты, заключается в том, что возможности несанкционированного использования информации в значительной мере обуславливаются нетехническими аспектами: злоумышленными действиями, нерадивостью или небрежностью пользователей или персонала систем обработки данных. Влияние этих аспектов практически невозможно избежать или локализовать с помощью выше рассмотренных аппаратных и программных средств, криптографического закрытия информации и физических мер защиты. Для этого необходима совокупность организационных, организационно-технических и организационно-правовых мероприятий, которая исключала бы возможность возникновения опасности утечки информации подобным образом.

Основными мероприятиями в такой совокупности являются следующие:

Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров (ВЦ),

Мероприятия, осуществляемые при подборе и подготовки персонала ВЦ (проверка принимаемых на работу, создание условий при которых персонал не хотел бы лишиться работы, ознакомление с мерами ответственности за нарушение правил защиты),

Организация надежного пропускного режима,

Организация хранения и использования документов и носителей: определение правил выдачи, ведение журналов выдачи и использования,

Контроль внесения изменений в математическое и программное обеспечение,

Организация подготовки и контроля работы пользователей,

Одно из важнейших организационных мероприятий - содержание в ВЦ специальной штатной службы защиты информации, численность и состав которой обеспечивали бы создание надежной системы защиты и регулярное ее функционирование.

Таким образом, рассмотренные выше средства, методы и мероприятия защиты, сводится к следующему:

1. Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.

2. Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.

3. Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.

4. Необходимо осуществлять постоянный контроль функционирования механизма защиты.

Мероприятия по технической защите информации можно условно разделить на три направления: пассив­ные, активные и комбинированные.

Пассивная защита подразумевает обнаружение и локализацию источников и каналов утечки информа­ции.

Активная - создание помех, препятствующих съему информации.

Комбинированная - сочетает в себе использование двух предыдущих направлений и явля­ется наиболее надежной.

Однако пассивная и активная защиты уязвимы в не­котором смысле. Например, при использовании ис­ключительно пассивной защиты приходится проводить круглосуточный мониторинг, так как неизвестно, ког­да включаются средства съема, или теряется возмож­ность использовать оборудование обнаружения при проведении деловой встречи.

Активная защита может заметно ослож­нить жизнь людям, ведущим наблюдение за вами, а вы можете использовать ее вхоло­стую, не зная точно, есть ли наблюдение.

Комбинированная защита позволяет уст­ранить эти недостатки.

Модель защиты информации от утечки по техническим каналам с объекта зашиты

Таблица 9

	Место установки	Позиционное место установки устройств съема информации	Тип (индекс) устройства съема информации	Способ применения	Технический канал закрытия утечки информации
			Генератор шума «Гром ЗИ – 4»	Постоянно	Радиоэлектронный
	ПЭВМ кабинета №3		Генератор шума «ГШ-К-1000М»	Постоянно	Радиоэлектронный
			Генератор шума «Купол-W-ДУ»	Постоянно	Радиоэлектронный
	Розетка 220 В. Кабинет руководителя объекта защиты		Генератор шума	По решению руководства	Радиоэлектронный
Продолжение таблицы
			Генератор шума «SI-8001»	Постоянно	Радиоэлектронный
	Розетка 220 В. Кабинета №2		Генератор шума «SI-8001»	По решению руководства	Радиоэлектронный
			Генератор зашумления «Волна 4 М»	По решению руководства	Радиоэлектронный
	Кабинет руководителя объекта защиты		Генератор зашумления «SELSP-21B1»	По решению руководства	Радиоэлектронный
	Кабинет руководителя объекта защиты		Фильтр питания «ФСП-1Ф-7А»	Постоянно	Радиоэлектронный
	Окно кабинета руководителя объекта защиты		Виброакустическая система «ВГШ-103»	Постоянно	Акустический
	Окно помещения секретного отделения		Виброакустический генератор шума «ANG-2000»	По решению руководства	Акустический

Тактико-технические характеристики средств защиты

Таблица 10

	Место установки	Тип (индекс) устройства защиты информации	Технические характеристики
	Рабочий стол руководителя объекта защиты	Гром ЗИ-4	Диапазон частот- 20 - 1000 МГц Питание - сеть 220 В Напряжение сигнала - в диапазоне частот 100 кГц - 1МГц - 60 дБ
	Кабинет руководителя объекта защиты		Диапазон частот - 100 кГц - 1000 МГц Питание-+12 В, от шины компьютера Уровни излучаемой мощности шума - 30 - 45 дБ
Продолжение таблицы
	Помещение секретного отделения	Купол-W-ДУ	Радиус действия - 5 - 10 м Диапазон рабочих частот - 100 кГц - 1800 МГц Питание - 220 В мощность излучения - 15 Вт Коэффициент качества шума - не хуже 0.6
	Розетка 220 В. Кабинет руководителя объекта защиты		Ширина спектра помехи - 30 кГц - 30 МГц Питание - 220 В Уровень шумового сигнала - 75 - 35 дБ/мкВ
	Розетка 220 В. Помещения секретного отделения		Потребляемая мощность< 15ВА Питание-220 В Уровень помех-30 - 80 дБ
	Розетка 220 В. Кабинета №2		Ширина спектра помехи-5 кГц - 10 МГц Питание-220 В Уровень помех-30 - 80 дБ
	Кабинет руководителя объекта защиты		Диапазон частот - 0,5...1000 МГц Мощность - 20 Вт Питание - 220 В Амплитуда шумового сигнала - не менее 3 В
	Кабинет руководителя объекта защиты		Питание - 12 В Диапазон частот - 5 МГц...1 ГГц Уровень сигнала на выходе - 45 дБ Ток потребления - 350 мА
	Кабинет руководителя объекта защиты		Диапазон рабочих частот-0,15-1000 МГц Величина затухания-60 дБ Допустимый ток нагрузки-7 А
	Окно кабинета руководителя объекта защиты		Диапазон-40 дБв диапазоне частот 175 - 5600 Гц Радиус - 5 м
	Окно помещения секретного отделения		Ширина спектра помехи-250 Гц - 5 кГц Питание-220 В Потребляемая мощность-24 Вт Выходное напряжение -1 - 12 В Сопротивление> 0.5 Ом

Каждая организация решает задачу защиты информации самостоятельно, исходя из действующего законодательства и своих собственных интересов и возможностей. Однако к настоящему времени многолетней практикой выработаны общие рекомендации, которые могут быть полезны любому предприятию, которое решает проблему засекречивания своей коммерческой информации.

1. Выделяется ответственный за эту работу – один из руководителей предприятия (например, заместитель руководителя по коммерции или маркетингу) который совместно со службой безопасности (СБ) организует и осуществляет весь комплекс работ.

2. Создается комиссия из числа квалифицированных специалистов ведущих структурных подразделений, на которую возлагаются экспертные функции.

3. Членами созданной комиссии с привлечением руководителей и специалистов патентно-лицензионного отдела, финансового отдела и отдела, занимающегося рекламой, и других структурных подразделений определяется первоначальный вариант перечня сведений, составляющих коммерческую тайну предприятия,

4. Проводится анализ поступивших предложений и готовится окончательный вариант перечня сведений, составляющих коммерческую тайну.

5. Окончательный вариант перечня утверждается руководителем предприятия и доводится до исполнителей в полном объеме или части, касающихся их полномочий.

Способы защиты информации

Все разнообразные способы защиты информации обычно классифицируют по двум признакам.

1. По собственнику информации (по видам охраняемых тайн):

Защита государственной тайны;

Защита межгосударственных секторов;

Защита коммерческой тайны.

2. По группам используемых для защиты информации сил, средств и методов:

Правовая (разработка правовых норм, регламентирующих правоотношения персонала в условиях организации документооборота);

Организационная (установка постов охраны; разработка методических и руководящих материалов при организации документооборота; соответствующий подбор кадров и др.);

Инженерно-техническая (использование соответствующих технических средств, предотвращающих или существенно затрудняющих хищение средств вычислительной техники, информационных носителей, а также исключающих несанкционированны доступ к электронному документообороту);

Программно-математическая (применение общесистемных и специальных программ; инструктивно-методических материалов по применению средств программного обеспечения; математических методов, моделей и алгоритмов обработки информации и др.).

Остановимся на проблеме подбора кадров. Первостепенной задачей в этом случае является выявление и отсев кандидатов с признаками психологической патологии. При этом даже опытные руководители не могут правильно, достоверно и быстро оценить подлинное психическое состояние кандидатов, в следствие их повышенного волнения. В этом случае представляется целесообразным требовать от пришедших на собеседование предоставления справок о состоянии здоровья либо направлять их в определенные клиники для прохождения полной диспансеризации.

Первичный контакт с кандидатом следует максимально использовать для сбора информации и в воспитательно-профилактических целях. Рекомендуется:

Обращать внимание будущего работника на характерные особенности и режим предстоящей работы;

Привлекать внимание к условиям работы с конфиденциальной информацией, к которой он будет допущен;

Приводить примеры из практики защиты коммерческой информации на предприятии и внимательно оценить реакцию кандидата на эти сведения.

Кроме этого, можно дополнительно потребовать составление анкеты кандидата и его фотографии с целью обеспечения максимальной полноты формулировок окончательного заключения и выявления возможных скрытых противоречий в характере проверяемого лица с приглашением высокопрофессиональных специалистов, графологов, психоаналитиков и даже экстрасенсов.

Если полученные результаты вас не испугали, можно приступать к следующему большому блоку работ. Этот блок заключается в создании правовой базы для защиты информации. В общих чертах эти мероприятия состоят из создания Положения о коммерческой тайне и Перечня информации отнесенной к коммерческой тайне, ознакомления всех сотрудников с данным положением, подписания каждым сотрудником Соглашения о неразглашении Коммерческой тайны. Большое количество документов связано с тем, что институт коммерческой тайны в Российском праве регулируется несколькими отраслями права: - Гражданским правом - Уголовным правом - Трудовым правом И для исключения «осечек» в следствии коллизии права, нужно подстраховаться. Обращаю особое внимание на данный этап. Если вы хотите правовыми мерами защитить свою собственность (в данном случае информацию), то отнеситесь к осуществлению этих мероприятий. Принципиальное значение имеет не только каждое слово в соглашении о неразглашении коммерческой тайны, но и построение предложений и общая логика документа. Далее можно переходить к осуществлению следующих шагов.

Прежде всего нужно сказать о мероприятиях предупредительного характера, а затем уже о мероприятиях по выявлению и пресечению попыток несанкционированного съема информации, попыток уничтожения либо искажения информации. К предупредительным (профилактическим) нужно отнести: - разъяснительная и воспитательная работа с персоналом - объяснение что является коммерческой тайной, как ее защищать, каковы могут быть последствия ее разглашения, что нужно делать сотруднику в той или иной ситуации, КАЖДЫЙ работник должен чувствовать, что данному вопросу уделяется достаточно внимания. - создание условий работникам для защиты информации - условий для хранения носителей информации (сейф, закрывающийся шкаф и т.п.), условий для безопасной передачи информации (закрытые каналы связи) - профилактические зачистки особо важных помещений - перед важными мероприятиями, после встреч, а также планово необходимо особо важные помещения проверять на наличие технических каналов утечки информации - регулярный осмотр территории объекта - осуществляется с той же целью что и предыдущее мероприятие - создание особого режима работы как на предприятии в целом, так и работы с защищаемой информацией в частности - это четкая регламентация хранения, передачи, использования, уничтожения защищаемой информацией с подробным описанием кто, в какой ситуации и что должен делать, это также контроль соблюдения данного режима - изучение кандидатов на работу в компании - это выяснение биографии кандидата, выявление его связей с криминалом, негативные факты жизни, связь с прямыми и косвенными конкурентами либо недоброжелателями, отзывы с предыдущих мест работы и т.п.

К мероприятиям по выявлению фактов либо попыток кражи, модификации и уничтожения информации относятся: - непрерывный мониторинг электромагнитной обстановки - инструментальный контроль всех излучений на объекте и электромагнитных сигналов в коммуникациях - оперативные мероприятия - агентурная работа, провокации, работа с персоналом, с партнерами, с клиентами и с конкурентами.

Мероприятия по пресечению это логическое продолжение предыдущих действий: - собственно пресечение - наказание сотрудника (для этого нужна доказательная база), удаление закладного устройства и т.п. - создание системы подавления несанкционированных излучений - использование в строительстве и отделке помещений материалов, поглощающих электромагнитное излучение, установка и периодическое использование системы шумогенераторов - маскировка либо шифрование полезных сигналов - использование устройств или программ шифрующих передаваемую информацию, либо маскирующих ее наличие. Таков краткий перечень того, что нужно создать для нормальной работы системы защиты информации. Это работа не на один день и система не заработает сама по себе даже если все будет подробно описано на бумаге. Для того, что бы эта махина начала давать результаты нужен человек, знающий КАК это делать, умеющий и желающий это сделать, а также соответствующая поддержка руководства, особенно на начальном этапе - этапе становления. Это связано, прежде всего с сопротивлением сотрудников созданию системы. Ведь это усложнение их работы, а значит дополнительные усилия с их стороны. А люди ленивы и по тому будут сопротивляться всем нововведениям, которые хоть как то усложняют им жизнь, даже прекрасно понимая важность и необходимость этих нововведений.

информация коммерческий тайна засекречивание