Организационные методы защиты информации

Размещено на http://www.allbest.ru/

Введение

информационный безопасность регламентация

Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик ИС. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль(например, банковские информационные системы).

Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Тема курсовой работы «Организационные методы защиты информации».

Цель курсовой работы - приобретение навыков работы с организационными методами защиты информации, а также выявление дискуссионных теоретических вопросов в рамках исследуемой темы.



1. Информационная безопасность

1.1 Защита информации

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной:

разрабатываются всевозможные документы по защите информации;

формируются рекомендации по защите информации;

Примечательная особенность нынешнего периода - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы - отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.

1.2 Основные концептуальные положения системы защиты информации

Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;

значительное число фирм, специализирующихся на решении вопросов защиты информации;

достаточно четко очерченная система взглядов на эту проблему;

наличие значительного практического опыта и др.

И, тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.

Опыт также показывает, что:

- обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;

- безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;

- никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.

С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

- непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;

- плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);

- целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;

- конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

- активной. Защищать информацию необходимо с достаточной степенью настойчивости;

- надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выраже-ния и вида физического носителя, на котором они закреплены;

- универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;

- комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.

Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.

Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

- охватывать весь технологический комплекс информационной деятельности;

- быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;

- быть открытой для изменения и дополнения мер обеспечения безопасности информации;

- быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;

- быть простой для технического обслуживания и удобной для эксплуатации пользователями;

- быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;

- быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также определенные требования:

- четкость определения полномочии и прав пользователей на доступ к определенным видам информации;

- предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

- сведение к минимуму числа общих для нескольких пользователей средств защиты;

- учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

- обеспечение оценки степени конфиденциальной информации;

- обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию.



С учетом этого СЗИ может иметь:

- правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;

- организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;

- аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;

- информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;

- программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;

- математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;

- лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;

- нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.



2. Организационные методы защиты информации

2.1 Методы защиты информации

Организационные (административные) меры и методы защиты - это меры и методы организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они основаны на принципах управления коллективом и предприятием (службой) и принципах законности. Они включают:

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;

- мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);

- мероприятия, осуществляемые при подборе и подготовке персонала системы;

- организацию охраны и надежного пропускного режима;

- организацию учета, хранения, использования и уничтожения документов и носителей с информацией;

- распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

- организацию явного и скрытого контроля за работой пользователей;

- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако, это вовсе не означает, что систему защиты необходимо строить исключительно на их основе, как это часто пытаются сделать чиновники, далекие от технического прогресса.

Достоинства:

- широкий круг решаемых задач;

- простота реализации;

- гибкость реагирования на несанкционированные действия;

- практически неограниченные возможности изменения и развития.

Этим мерам присущи серьезные недостатки, такие как:

- необходимость использования людей,

- повышенная зависимость от субъективных факторов,

- высокая зависимость от общей организации работ в организации; низкая надежность без соответствующей поддержки физическими, техническими и программными средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, если только их можно нарушить),

- дополнительные неудобства, связанные с большим объемом рутинной формальной деятельности.

Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими и всеми другими средствами. В связи с этим в системе организационного обеспечения компьютерной безопасности выделяют два направления:

- направление, связанное с реализацией мер организационно- правового характера,

- направление, связанное с реализацией мер организационно-технического характера.

Первое направлено на реализацию правовых методов защиты информации и поддержание правового режима обработки информации. Второе направлено на поддержание правового режима обработки информации методами инженерно- технической защиты.

Рисунок 1 - Способы и средства защиты информации

Система информационной безопасности, как и любая ИС, должна иметь определенные виды собственного программного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию:

1. Правовое обеспечение -- совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

2. Организационное обеспечение. Имеется в виду, что реализация информационной безопасности осуществляется определенными структурными единицами, такими, например, как служба безопасности фирмы и ее составные структуры: режим, охрана и др.

3. Информационное обеспечение, включающее в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование СИБ. Сюда могут входить как показатели доступа, учета, хранения, так и информационное обеспечение расчетных задач различного характера, связанных с деятельностью службы безопасности.

4. Техническое (аппаратное) обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности СИБ.

5. Программное обеспечение. Имеются в виду различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и способов несанкционированного доступа к информации.

6. Математическое обеспечение. Это -- математические методы, используемые для различных расчетов, связанных с оценкой опасности технических средств, которыми располагают злоумышленники, зон и норм необходимой защиты.

7. Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере обеспечения информационной безопасности.

8. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.

Нормативно-методическое обеспечение может быть слито с правовым. Следует отметить, что из всех мер защиты в настоящее время ведущую роль играют организационные мероприятия.



2.2 Виды организационных методов защиты информации

Организационная защита информации - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией, и включает в себя организацию режима охраны, организацию работы с сотрудниками, с документами, организацию использования технических средств и работу по анализу угроз информационной безопасности.

Обеспечение защиты средств обработки информации и автоматизированных рабочих мест от несанкционированного доступа достигается системой разграничесния доступа субъектов к объектам. Данная система реализуется в программно-технических комплексах, в рамках операционной системы, систем управления базами данных или прикладных программ, в средствах реализации ЛВС, в использовании криптографических преобразований, методов контроля доступа.

Защита информации организационными средствами предполагает защиту без использования технических средств. Иногда, задача решается простым удалением ОТСС от границы контролируемой зоны на максимально возможное расстояние. Так же возможен вариант размещения, например, трансформаторной подстанции и контура заземления в пределах контролируемой зоны. К организационно-техническим можно отнести так же удаление ВТСС, линии которых выходят за пределы контролируемой зоны, запрещение использования ОТСС с паразитной генерацией для обработки информации, проведение специальных проверок технических средств на отсутствие закладочных устройств. Необходимо помнить, что организационно-технические меры требуют выполненяе комплекса мер, предписанных нормативными документами.

При разработке СЗИ так же следует принимать во внимание то, что вся система состоит из более мелких систем. К ним относится подсистема управления доступом, подсистема регистрации и учета, криптографическая защита информации и подсистема обеспечения целостности.

Общие принципы организации защиты конфиденциальной информации, применяемые при разработке СЗИ:

- Непрерывность

- Достаточность

- Комплексность

- Согласованность

- Эффективность

Для реализации мер защиты конфиденциальной информации должны применяться сертифицированные в установленном порядке технические средства защиты информации.

К мерам противодействия угрозам безопасности относят правовые, морально-этические, технологические, физические и технические. Морально-этические меры побуждают к созданию правовых мер (примером может быть неприязнь того, что кто-либо незнакомый Вам, может узнать Ваши фамилию имя и отчество, состояние здоровья или иную информацию личного характера). В свою очередь правовые меры побуждают к реализации организационных мер (разработка необходимых норм и правил при собирании, обработке, передаче и хранении информации), которые связаны с физическими и техническими мерами (технические средства защиты информации, физические барьеры на пути злоумышленника и т.д.).

Система безопасности - это организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, в задачи которой входит разработка и осуществление мер по защите информации, формирование, обеспечение и продвижение средств обеспечения безопасности и восстановление объектов защиты, пострадавших в результате каких-либо противоправных действий.

Все эти задачи помогают в достижении целей своевременного выявления угроз, оперативного предотвращения, нейтрализации или пресечения, локализации угроз, отражения атак и уничтожении угроз.

Организационная защита информации является организационным началом, так называемым «ядром» в общей системе защиты конфиденциальной информации. От полноты и качества решения руководством предприятия и должностными лицами организационных задач зависит эффективность функционирования системы защиты информации в целом. Роль и место организационной защиты информации в общей системе мер, направленных на защиту конфиденциальной информации предприятия, определяются исключительной важностью принятия руководством своевременных и верных управленческих решений с учетом имеющихся в его распоряжении сил, средств, методов и способов защиты информации и на основе действующего нормативно-методического аппарата.

Организационная защита информации призвана посредством выбора конкретных сил и средств (включающие в себя правовые, инженерно-технические и инженерно-геологические) реализовать на практике спланированные руководством предприятия меры по защите информации. Эти меры принимаются в зависимости от конкретной обстановки на предприятии, связанной с наличием возможных угроз, воздействующих на защищаемую информацию и ведущих к ее утечке.

Организационная защита информации:

- Организация работы с персоналом;

- Организация внутриобъектового и пропускного режима и охраны;

- Организация работы с носителями сведений;

- Комплексное планирование мероприятий по защите информации;

- Организация аналитической работы и контроля.

Основные принципы организационной защиты информации:

- принцип комплексного подхода -- эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;

- принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководства и персонала предприятия на решение задач защиты информации);

- принцип персональной ответственности -- наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.

Среди основных условий организационной защиты информации можно выделить следующие:

- непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению ее эффективности;

- неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации.

Организационные методы защиты информации делятся на организационно-административные и организационно-технические методы защиты:

- Организационно-административные методы зашиты информации;

- Организационно-технические методы защиты информации.



2.3 Организационно-административные методы зашиты информации

Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, что несанкционированный доступ к информации становится либо невозможным, либо существенно затрудняется. Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:

- выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;

- выделение специальных ЭВМ для обработки конфиденциальной информации, организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;

- использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;

- организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации; организация регламентированного доступа пользователей к работе на ЭВМ, средствах связи и в хранилищах носителей конфиденциальной информации, установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

- разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации, постоянный контроль за соблюдением установленных требований по защите информации.

2.4 Организационно-технические методы защиты информации

Они охватывают все структурные элементы автоматизированных информационных систем на всех этапах их жизненного цикла. Организационно-технической защита информации обеспечивается осуществлением следующих мероприятий ограничением доступа посторонних лиц внутрь корпуса оборудования за счет установки механических запорных устройств или замков, отключением ЭВМ от локальной вычислительной сети или сети удаленного доступа (региональные и глобальные вычислительные сети) при обработке на ней конфиденциальной информации, кроме случаев передачи этой информации по каналам связи, использованием для отображения конфиденциальной информации жидко- кристаллических, а для печати - струйных принтеров или термопечати с целью снижения утечки информации по электромагнитному каналу. При использовании обычных дисплеев и принтеров с этой же целью рекомендуется включать устройства, создающие дополнительный шумовой эффект (фон) - генераторы шума, кондиционер, вентилятор, или обрабатывать другую информацию на рядом стоящей ЭВМ, установкой клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу, размещением оборудования для обработки конфиденциальной информации на расстоянии не менее 2,5 метров от устройств освещения, кондиционирования, связи, металлических труб, теле- и радиоаппаратуры; организацией электропитания ЭВМ от отдельного блока питания (с защитой от побочных электромагнитных излучений или от общей электросети через Фильтр напряжения), использованием бесперебойных источников питания (БИП) для персональных компьютеров для силовых электрических сетей с неустойчивым напряжением и плавающей частотой. Основное назначение бесперебойных источников питания - поддержание работы компьютера после исчезновения напряжения в электрической сети Это обеспечивается за счет встроенных аккумуляторов, которые подзаряжаются во время нормальной работы. БИП мгновенно предупредит своего владельца об аварии электропитания и позволит ему в течение некоторого времени (от нескольких минут до нескольких часов) аккуратно закрыть файлы и закончить работу. Кроме обычных для БИП функций, они могут выполнять функцию высококлассного стабилизатора напряжения и электрического фильтра. Важной особенностью устройства является возможность непосредственной связи между ним и сетевой операционной системой.

2.5 Физические средства защиты информации

Физические средства защиты предназначены для внешней охраны территории объектов, защиты ЭВМ, систем и объектов на базе вычислительной техники. В настоящее время используются преимущественно чисто механические средства физической защиты при доминирующем участии человека. Однако достижения микроэлектроники и появление микропроцессоров создали объективную базу для разработки и внедрения, наряду с традиционными механическими системами, универсальных автоматизированных электронных систем физической защиты, предназначенных для охраны территории, охраны помещений, организации пропускного режима, организации наблюдения, систем пожарной сигнализации, систем предотвращения хищения носителей. Элементную базу таких систем составляют различные датчики, сигналы которых обрабатываются микропроцессорами, электронные интеллектуальные ключи и замки на микропроцессорах, устройства определения биометрических характеристик человека и т д. Современные физические средства защиты предоставляют широкие возможности для решения многих задач обеспечения информационной безопасности. Так, для организации охраны оборудования (узлов и блоков компьютеров, средств передачи данных) и перемещаемых носителей информации (дискеты, магнитные ленты, распечатки) можно использовать различные замки (механические, с кодовым набором, с управлением от микропроцессора, радиоуправляемые), которые устанавливают на входные двери, ставни, сейфы, шкафы, устройства и блоки системы, микровыключатели, фиксирующие открывание или закрывание дверей и окон; инерционные датчики, для подключения которых можно использовать осветительную сеть, телефонные провода и проводку ТВ-антенн, специальные наклейки из фольги или другого магнитопроводного материала, которые наклеиваются на все документы, приборы, узлы и блоки системы для предотвращения их выноса из помещения. При этом около выхода из охраняемого помещения размещается специальная установка, принцип действия которой аналогичен действию детектора металлических объектов. Эта установка подает сигнал тревоги при любой попытке вынести за пределы помещения предмет с наклейкой, специальные сейфы и металлические шкафы для установки в них отдельных узлов и блоков компьютера для вычислительной системы (принтер, файл-сервер и т п.) и перемещаемых носителей информации (магнитные ленты, диски, распечатки). Для нейтрализации утечки информации по электромагнитным каналам используют экранирующие и поглощающие материалы и изделия. При этом:

- экранизация рабочих помещений, где установлены системы электронной обработки и передачи данных, осуществляется путем покрытия стен, пола и потолка металлизированными обоями, токопроводящей эмалью и штукатуркой, проволочными сетками или фольгой, установкой загородок из токопроводящего кирпича, многослойных стальных, алюминиевых или из специальной пластмассы листов;

- для защиты окон применяют металлизированные шторы и стекла с токопроводящим слоем;

- все отверстия закрывают металлической сеткой, соединяемой с шиной заземления или настенной экранировкой;

- на вентиляционных каналах монтируют, так называемые, предельные магнитные ловушки, препятствующие распространению радиоволн, для зашиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации, а также на коммуникационные электрические цепи, широко используют oэкранированный кабель для внутристоечного, внутриблочного, межблочного и наружного монтажа;

- экранированные эластичные соединители (разъемы), всевозможные сетевые фильтры подавления электромагнитных излучений, провода, наконечники, дросселя, конденсаторы и другие помехоподавляющие радио и электроизделия;

- на водопроводных, отопительных, газовых и других металлических трубах помещают разделительные диэлектрические вставки, которые осуществляют разрыв электромагнитной цепи. Для контроля электропитания могут использоваться электронные отслеживающие устройства, которые устанавливаются в местах ввода сети переменного напряжения.

2.6 Страхование как метод защиты информации

Страхование как метод защиты информации Определение защитных свойств осуществляется путем непосредственных испытаний. Заключение (сертификат) банковского сертификационного центра должен явиться основой для системы страховых гарантий. Страхование банковских информационных рисков может включать: страхование электронного документооборота при заключении и исполнении договоров с участием банков, при оформлении первичных платежных документов с применением цифровой (электронной) подписи, страхование от несанкционированного доступа в информационную сеть страхование от разрушения или потери информации в результате программных или аппаратных сбоев, страхование от прямых убытков, связанных с незаконным использованием программных и аппаратных средств информационной системы, страхование от потерь рабочего времени и ухудшения качества обслуживания клиентов, вызванных поломками или некорректным функционированием аппаратных средств.

2.7 Основные подходы и требования к организации системы защиты информации

Успешное решение комплекса задач по защите информации не может быть достигнуто без создания единой основы, так называемого «активного кулака» предприятия, способного концентрировать все усилия и имеющиеся ресурсы для исключения утечки конфиденциальной информации и недопущения возможности нанесения ущерба предприятию. Таким «кулаком» призвана стать система защиты информации на предприятии, создаваемая на соответствующей нормативно-методической основе и отражающая все направления и специфику деятельности данного предприятия.

Под системой защиты информации понимают совокупность органов защиты информации (структурных подразделений или должностных лиц предприятия), используемых ими средств и методов защиты информации, а также мероприятий, планируемых и проводимых в этих целях. Для решения организационных задач по созданию и обеспечению функционирования системы защиты информации используются несколько основных подходов, которые вырабатываются на основе существующей нормативно-правовой базы и с учетом методических разработок по тем или иным направлениям защиты конфиденциальной информации.

Один из основных подходов к созданию системы защиты информации заключается во всестороннем анализе состояния защищенности информационных ресурсов предприятия с учетом устремленности конкурирующих организаций к овладению конфиденциальной информацией и, тем самым, нанесению ущерба предприятию. Важным элементом анализа является работа по определению перечня защищаемых информационных ресурсов с учетом особенностей их расположения (размещения) и доступа к ним различных категорий сотрудников (работников других предприятий).

Работу по проведению такого анализа непосредственно возглавляет руководитель предприятия и его заместители по направлениям деятельности. Изучение защищенности информационных ресурсов основывается на положительном и отрицательном опыте работы предприятия, накопленном в течение последних нескольких лет, а также на деловых связях и контактах предприятия с организациями, осуществляющими аналогичные виды деятельности.

При создании системы защиты информации, в первую очередь, учитываются наиболее важные, приоритетные направления деятельности предприятия, требующие особого внимания. Предпочтение также отдается новым, перспективным направлениям деятельности предприятия, которые связаны с научными исследованиями, новейшими технологиями, формирующими интеллектуальную собственность, а также развивающимся международным связям. В соответствии с названными приоритетами формируется перечень возможных угроз информации, подлежащей защите, и определяются конкретные силы, средства, способы и методы ее защиты.

К организации системы защиты информации с позиции системного подхода выдвигается ряд требований, определяющих ее целостность, стройность и эффективность.



Система защиты информации должна быть:

- централизованной -- обеспечивающей эффективное управление системой со стороны руководителя и должностных лиц, отвечающих за различные направления деятельности предприятия;

- плановой -- объединяющей усилия различных должностных лиц и структурных подразделений для выполнения стоящих перед предприятием задач в области защиты информации;

- конкретной и целенаправленной -- рассчитанной на защиту абсолютно конкретных информационных ресурсов, представляющих интерес для конкурирующих организаций;

- активной -- обеспечивающей защиту информации с достаточной степенью настойчивости и возможностью концентрации усилий на наиболее важных направлениях деятельности предприятия;

- надежной и универсальной -- охватывающей всю деятельность предприятия, связанную с созданием и обменом информацией.



Заключение

Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.



Список используемой литературы

1. Титоренко Г.А. Информационные технологии управления. М.,Юнити: 2002.

2. Мельников В. Защита информации в компьютерных системах. -М.: Финансы и статистика, Электронинформ, 1997.

3. Гришина Н.В. Организация комплексной системы защиты информации.

Размещено на Allbest.ru

...