Разработка рекомендаций по техническому обеспечению информационной безопасности частного бизнеса

Размещено на http://www.allbest.ru/

[Введите текст]

ВВЕДЕНИЕ

В настоящее время получили широкое распространение средства и методы несанкционированного и негласного добывания информации. Они находят все большее применение не только в деятельности государственных правоохранительных органов, но и в деятельности разного рода преступных группировок.

Необходимо помнить, что естественные каналы утечки информации образуются спонтанно, в силу специфических обстоятельств, сложившихся на объекте защиты.

Что касается искусственных каналов утечки информации, то они создаются преднамеренно с применением активных методов и способов получения информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести незаконное подключение к каналам, проводам и линиям связи, установка в технических средствах и помещениях микрофонов и телефонных закладных устройств, а также несанкционированный доступ к информации, обрабатываемой в автоматизированных системах (АС) и т.д. [1]

Таким образом, проблема зашиты информации и обеспечения конфиденциальности приобретает актуальность.

Цель курсовой работы - разработка рекомендаций по техническому обеспечению информационной безопасности частного бизнеса.

Для этого должны быть выполнены следующие задачи курсовой работы:

- Анализ информационной безопасности частного бизнеса;

- Разработка рекомендаций по её техническому обеспечению.

Объект исследования - типовой объект частного бизнеса.

Предмет исследования - система технической защиты информации.



1. АНАЛИЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЧАСТНОГО БИЗНЕСА

1.1 Аналитическое обеспечение мероприятий безопасности

Среднее коммерческое предприятие рассматривается как некоторый объект.

В общем случае объект, как некоторое образование, имеет свои структуру, функции и источники существования.

В применении к среднему предприятию, структуру фирмы в общем случае можно представить как совокупность помещений, персонала, оборудования, транспорта, коммуникаций, сырья, готовой продукции, информации, имиджа; функции фирмы могут быть самыми разными.

Обеспечение безопасности фирмы в этих условиях можно рассматривать как реализацию комплекса защитных мероприятий в отношении объекта, если принять условие, что объекту что-либо угрожает. Для формализации этих процессов целесообразно ввести такие понятия: источники угроз объекту (потенциальные противники), угрозы объекту (цели угроз, угрозы, как таковые, результаты (реакции) воздействия угроз). Учитывая состав объекта, угрозы возможно разделить на виды: угрозы физического воздействия, угрозы психологического воздействия, угрозы информационного воздействия. Источники этих угроз можно представить как угрозу структуре, функциям и источниками существования объекта [2].

Изображение в табличной (матричной) форме приведенных выше положений и понятий можно назвать матрицей анализа безопасности фирмы.

Построение этой матрицы стало возможно только на основе предложенного «объектового» подхода к вопросам безопасности фирмы. Дело в том, что на сегодняшний день в большинстве случаев коммерческое применение понятия безопасности несколько обезличено. Фирме предлагаются услуги в области охраны (личная охрана, охрана периметра помещений), техническая защита информации (ТЗИ).

Ядром всего этого процесса является анализ выбранного нами объекта. Анализ конкретного объекта обычно осуществляется руководством фирмы или службой безопасности фирмы. Другими словами, первой конкретной задачей ответственного за безопасность фирмы лица должен быть анализ защищаемого объекта, только после этого можно говорить о выделении разнообразных источников угроз этому объекту.

1.2 Анализ рисков

Анализ риска состоит из следующих основных этапов [3]:

- Описание состава системы;

- Определение уязвимых мест: выясняется уязвимость по каждому элементу системы с оценкой возможных источников угроз.

- Оценка вероятностей реализации угроз.

- Оценка ожидаемых размеров потерь.

Этот этап сложен, поскольку не всегда возможна количественная оценка данного показателя (например, ущерба репутации объекта при нарушении конфиденциальности информации о счетах и операциях клиентов).

- Анализ возможных методов и средств защиты.

- Оценка выигрыша от предлагаемых мер. Если ожидаемые потери больше допустимого уровня, необходимо усилить меры защиты.

1.3 Категорирование информации по важности

Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности объекта и характеризует опасность уничтожения либо модификации информации. Можно указать много вариантов такого категорирования. Здесь приводится наиболее простой [4]:

- Важная информация - незаменимая и необходимая для деятельности объекта информация, процесс восстановления которой после уничтожения невозможен либо очень трудоемок и связан с большими затратами, а ее ошибочное изменение или подделка приносит большой ущерб.

- Полезная информация - необходимая информация, которая может быть восстановлена без больших затрат, причем ее модификация или уничтожение приносит относительно небольшие материальные потери.

Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения. Для деятельности коммерческого объекта достаточно двух степеней градации.

- Конфиденциальная информация - информация, доступ к которой для части персонала или посторонних лиц нежелателен, так как может вызвать материальные и моральные потери.

- Открытая информация - информация, доступ к которой посторонних не связан ни с какими потерями.

Руководство должно принять решение о том, кто и каким образом будет определять степень важности и конфиденциальности информации. Без такого решения невозможна никакая целесообразная работа по созданию объектовой электронной системы.

1.4 Определение и анализ угроз

Для начала необходимо осуществить анализ объектов защиты, ситуационного плана, условий функционирования предприятия, учреждения, организации, оценить вероятность проявления угроз и ожидаемый вред от их реализации, подготовить данные для построения отдельной модели угроз.

Источниками угроз может быть деятельность иностранных спецслужб, а также намеренные или неумышленные действия юридических и физических лиц.

Угрозы могут осуществляться:

- техническими каналами, которые включают каналы побочных электромагнитных излучений и наводок, акустические, оптические, радио-, радиотехнические, химические и прочие каналы;

- каналами специального влияния путем формирования полей и сигналов с целью разрушения системы защиты или нарушения целостности информации;

- несанкционированным доступом путем подключения к аппаратуре и линиям связи, маскировка под зарегистрированного пользователя, преодоления системы защиты для доступа к информации или введения дезинформации, применения закладных устройств или программ и внедрение компьютерных вирусов.

Описание угроз и схематическое представление путей их осуществления составляют отдельную модель угроз.

Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности объекта и характеризует опасность уничтожения либо модификации информации. Источниками угроз может быть деятельность иностранных спецслужб, а также намеренные или неумышленные действия юридических и физических лиц.



2. РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЧАСТНОГО БИЗНЕСА

После анализа информационной безопасности следует осуществить разработку плана ТЗИ, содержащего организационные, первичные технические и основные технические мероприятия защиты КИ, а также определить зоны безопасности информации.

Организационные мероприятия регламентируют порядок информационной деятельности (ИД) с учетом норм и требований ТЗИ для всех периодов жизненного цикла объекта защиты.

Первичные технические мероприятия предусматривают защиту информации блокированием угроз без использования средств ТЗИ.

Основные технические мероприятия предусматривают защиту информации с использованием средств обеспечения ТЗИ.

Для технической защиты информации следует применять способ технической дезинформации.

Мероприятия защиты информации должны [5]:

- быть соответствующими угрозам;

- быть разработанными с учетом возможного вреда от их реализации и стоимости защитных мероприятий и ограничений, которые вносятся ними;

- обеспечивать заданную эффективность мероприятия защиты информации на установленный равные на протяжении времени ограничения доступа к ней или возможности осуществления угроз.

Уровень защиты информации определяется системой количественных и качественных показателей, которые обеспечивают решение задачи защиты информации на основе норм и требований ТЗИ.

Минимально необходимый уровень защиты информации обеспечивают ограничительными и фрагментарными мероприятиями противодействия опаснейшей угрозе.

Повышение уровня защиты информации достигается наращиванием технических мероприятий противодействия большого множества угроз.

Порядок расчета и инструментального определения зон безопасности информации, реализации мероприятий ТЗИ, расчета эффективности защиты и порядок аттестации технических средств обеспечения информационной деятельности, рабочих мест (помещений) устанавливаются нормативными документами с ТЗИ.

2.1 Типичные мероприятия и средства ТЗИ от утечки

Существует три группы мероприятий ТЗИ: организационные, первичные технические и основные технические.

Организационные мероприятия регламентируют порядок информационной деятельности с учетом норм и требований ТЗИ для всех периодов жизненного цикла объекта защиты.

Первичные технические мероприятия предусматривают защиту информации блокированием угроз без использования средств ТЗИ.

Основные технические мероприятия предусматривают защиту информации с использованием средств обеспечения ТЗИ.

Организационные мероприятия защиты информации - комплекс административных ограничивающих мероприятий, направленных на оперативное решение задач защиты информации, регламентации деятельности персонала и порядка функционирования средств обеспечения ТЗИ [6].

В процессе разработки и реализации мероприятий нужно:

- определить отдельные задачи КИ.

- обосновать структуру и технологию функционирования систем защиты информации;

- разработать и ввести правила реализации мероприятий ТЗИ;

- определить и установить права и обязательства подразделений и лиц, которые берут участие в обработке КИ;

- приобрести средства обеспечения ТЗИ и нормативные документы и обеспечить ими предприятие;

- установить порядок внедрения защищенных средств обработки информации, а также средств контроля ТЗИ;

- установить порядок контроля над функционированием системы защиты информации и ее качественных характеристик;

- определить зоны безопасности информации;

- установить порядок проведения аттестации системы ТЗИ, ее элементов и разработать программы аттестационного испытания.

- обеспечить управление системою защиты информации;

2.1.1 Блокирование каналов утечки информации

Блокирование каналов утечки информации может осуществляться:

- демонтированием технических средств, линий связи, энергетических сетей, использование которых не связано с жизнеобеспечением предприятия и обработки КИ;

- удаление отдельных элементов технических средств, которые являются средой распространения сигналов, с помещений, где циркулирует КИ;

- временное отключение технических средств, которые не берут участия в обработке КИ, от линий связи, сигнализации, управления и энергетических сетей;

- применение средств и схемных решений защиты информации, которые не нарушают основные технические характеристики средств обеспечения информационной деятельности [7].



2.1.2 Блокирование несанкционированного доступа

Блокирование несанкционированного доступа к информации или ее носителям может осуществляться:

- созданием условий работы в пределах установленного регламента;

- невозможность использования программных, програмно-аппаратных средств, которые не прошли проверки;

Проверку исправности и работоспособности технических средств и систем обеспечения ИД необходимо проводить соответственно эксплуатационных документов.

Найденные неисправные блоки и элементы могут содействовать утечке или нарушению целостности информации и подлежат немедленной замене;

В процессе реализации основных технических мероприятий защиты нужно [8]:

- установить средства определения и индикации угроз и проверить их работоспособность;

- установить защищенные средства обработки информации, средства ТЗИ и проверить их работоспособность;

- применить программные средства защиты в средствах вычислительной техники, автоматизированных систем, провести их функциональное тестирование и тестирование на соответствие требований защищенности;

- применить специальные инженерно технические сооружения, средства;

Выбор средств обеспечения ТЗИ обусловливается фрагментарным или комплексным способом защиты информации.

Фрагментарная защита обеспечивает противодействие некоторой угрозе.

Комплексная защита обеспечивает одновременно противодействию множеству угроз.

Средства определения и индикации угроз применяют для сигнализации и оповещения владельца КИ об утечке информации или нарушения ее целостности.

Средства ТЗИ применяют автономно или вместе с техническими средствами обеспечения ИД для пассивного или активного скрытия КИ.

Для пассивного скрытия применяют фильтры - ограничители, линейные фильтры, специальные абонентские устройства защиты и электромагнитные экраны.

Для активного скрытия применяют генераторы линейного и пространственного зашумления [9].

Программные средства применяют для обеспечения:

- идентификации и аутентификации пользователей, персонала и ресурсов системы обработки информации;

- разграничение доступа пользователей к информации, средств вычислительной аппаратуры и технических средств автоматизированных систем;

-- целостности информации и конфигурацию автоматизированных систем;

- регистрация и учет действий пользователей;

- скрытие обрабатываемой информации;

- реагирование на попытки несанкционированных действий;

Специальные инженерно технические сооружения, средства и системы используют для оптического, акустического, электромагнитного и другого экранирования носителей информации.

Размещение, монтаж и прокладка инженерно-технических средств и систем, среди них систем зашумления и электропитания средств обеспечения ИД, следует осуществлять соответственно требованиям нормативных документов (НД) ТЗИ.

Технические характеристики, порядок применения и проверки средств обеспечения ТЗИ наводят в соответственно эксплуатационной документации.

2.2 Нормативные документы ТЗИ

информация защита несанкционированный доступ

Нормативные документы разрабатываются в ходе проведения комплекса работ по стандартизации в области ТЗИ.

Нормативные документы должны обеспечивать:

- проведения единой технической политики;

- создания и развитие единой терминологической системы;

- функционирования многоуровневых систем защиты информации на основе взаимно согласованных положений, методик, правил, требований и норм;

- функционирования систем сертификации, лицензирования и аттестации в соответствии с требованиями безопасности информации;

- развитие сферы услуг в области ТЗИ;

- установления порядка разработки, производства та эксплуатации средств обеспечения ТЗИ;

- организацию проектирования строительных работ в части обеспечения ТЗИ;

- подготовку и переподготовку кадров в системе ТЗИ.

Нормативные документы с ТЗИ делятся на:

- нормативные документы из стандартизации в области ТЗИ;

- государственные стандарты и приравненные к ним нормативные документы;

- нормативные документы ведомственного значения органов государственной власти и органов местного самоуправления.

Порядок проведения работ по стандартизации и нормирование в области ТЗИ, а также порядок разработки, оформления утверждения, регистрации, издания, внедрения, проверки, просмотра, изменения и отмена нормативных документов устанавливается СТР-К.



2.2.1 Общие положения

Техническая защита информации (ТЗИ) - это деятельность, направленная на своевременное выявление и противодействие угрозам безопасности конфиденциальной информации (КИ).

Угрозы могут осуществляться техническими каналами утечки КИ и каналами специального влияния на носители КИ или средства обеспечения ТЗИ.

Носителями КИ могут быть электромагнитные и акустические поля, электрические сигналы и химические вещества.

К средствам обеспечения ТЗИ относятся средства выявления и индикации угроз, защищенные технические средства, средства ТЗИ, аппаратура специального контроля.

КИ может быть получена с помощью средств космической, воздушной, морской и наземной разведки с использованием приборов оптической, оптико-электpонной, радиотехнической, электронной, лазерной разведки посредством работы с такими техническими каналами [10]:

- вибро-акустическим, лазеpно-акустическим (излучением инфразвукового, звукового и ультразвукового диапазонов частот);

- радио-, радиотехническим (элекpомагнитное излучение в диапазоне радиочастот);

- побочных электромагнитных излучений и наводок;

- оптическим (электромагнитные излучения инфракрасного, видимого и ультрафиолетового диапазонов частот);

- химическим (химические вещества разной природы, что используются как вещество, происходят в новых технологических процессах, во время разработки новых материалов, проведения испытаний специальной техники и изделий и помещаются в окружающую среду);

- другими (радиационным, магнитометрическим и т.п.).

Решения относительно мероприятий ТЗИ принимает заказчик проектной документации для строительства(далее - заказчик) на основании действующих требований и норм.

На этапе проектирования осуществляется разработка организационных и технических мероприятий защиты КИ, адекватных угрозам, и обеспечение запланированных технико-экономических показателей для установленных уровней защиты информации на протяжении времени ограничения доступа к ней. Техническая защита КИ предусматривает применения систем инженерно-технических сооружений вместе с средствами обеспечения ТЗИ.

Требования к ТЗИ должны быть изложены в задаче на проектирование мероприятий ТЗИ и учитываться в процессе проектирования объекта, особенно во время разработки:

- ситуационного плана размещение объекта;

- технологии производства;

- принципиальных схем производства технологических процессов;

- схемы генерального плана производственного комплекса;

- архитектурно-строительных решений относительно объекта;

- принципиальных решений с организации систем связи, сигнализации, управления, автоматизированных и других систем;

- основных решений с организации строительства.

Задача на проектирование мероприятий ТЗИ должна быть составной частью общей задачи на проектирования объекта. Затраты на проектирования и строительство, которое связанные с реализацией мероприятий ТЗИ, включаются к общим затратам на проектирование и строительство объекта.

2.2.2 Задание на проектирование мероприятий ТЗИ

Необходимость разработки проектной документации для строительства объекта с учетом требований ТЗИ должна быть определена после выполнения следующих подготовительных работ [11]:

- определения количества помещений, в которых циркулирует информация, что подлежит технической защите;

- обусловленность необходимости разработки мероприятий защиты КИ с учетом вреда от его утечки или нарушения целостности;

- уточнения границ контролируемой территории на основе анализа угроз безопасности информации;

- определения главных задач технической защиты КИ;

- определения путей и средств реализации мероприятий ТЗИ с учетом технической и экономической целесообразности.

К началу выполнения проектных работ заказчик, при необходимости, готовит пересчет исходных данных для решения вопросов с ТЗИ.

Итоги подготовительных работ и исходные данные являются основанием для разработки задач на проектирование мероприятий ТЗИ.

В этой задаче должны быть изложены:

- цель, задачи, требования ТЗИ;

- исходные данные для проектирования комплексного ТЗИ;

- требования к контролю за реализацией предусмотренных мероприятий ТЗИ.

Задача на проектирование мероприятий ТЗИ разрабатывается заказчиком и согласовывается с проектной организацией и, при необходимости, c организацией, которой подчинен заказчик.

В случае предъявления заказчиком в ходе проектирования дополнительных требований технической защиты КИ, которые требуют корректировки принятых решений или дополнительных вложений в строительство, задача на проектирование мероприятий ТЗИ корректируется в соответствии с установленным порядком.

2.2.3 Разработка проектной документации

Содержание работ с ТЗИ при выполнении предпpоектных исследований:

- выявления характерных особенностей объекта, которые влияют на выбор проектных решений с ТЗИ;

- оценка условий реализации мероприятий ТЗИ;

- ориентировочный выбор основных проектных решений с ТЗИ и их экономическое объяснение;

- объяснение выбору площадки для строительства.

Во время выбора площадки для строительства с учетом мероприятий ТЗИ берут во внимание специфические условия окружающей среды.

В состав комиссии (комплексной бригады) с выбором площадки для строительства включаются специалисты по ТЗИ от заказчика и от проектной организации.

Принятые решения о ТЗИ прописываются в отдельном разделе документации предпроектных исследований, которое имеет название "Мероприятия ТЗИ".

Проектные решения с ТЗИ есть составная часть технологических, планировочных, архитектурных и конструкторских решений и должны разрабатываться соответствующими подразделениями проектной организации без раскрытия их предназначения.

Проектная документация для строительства объекта выполняется на основании задачи на проектирование и подтвержденного эскизного проекта или технико-экономического объяснения (документация передпpоектных исследований).

У проектной документации должны быть учтены требования ТЗИ при разработке:

- технологии производства;

- генерального плана;

- зданий и сооружений;

- систем инженерного обеспечения производства и технических средств.

Проектная документация разрабатывается авторами решений с ТЗИ, которые разрабатывали эскизный проект или технико-экономическое объяснения.

В состав проектной документации на осуществление мероприятий с ТЗИ должны входить [12]:

- рабочие чертежи;

- финансовая документация;

- спецификация оборудования и материалов.

Объяснение решений с ТЗИ, что предусмотрены в разделах проектной документации, преподаются в отдельном разделе "Мероприятия ТЗИ" общей объяснительной записки. В остальных разделах проектной документации, при необходимости, следует делать ссылки на раздел "Мероприятия ТЗИ".

2.2.4 Экспертиза проектной документации

Проектная документация с ТЗИ подлежит экспертизе на общих основаниях в соответствии с определенным порядком проведения государственной экспертизы инвестиционных проектов и программ и допуска должностных лиц к материалам ТЗИ.

Во время экспертизы проектной документации на строительство проверяются:

- соответствие технических решений утвержденному в задаче на проектирование мероприятий ТЗИ;

- следование требований нормативных документов системы ТЗИ;

- соответствие уровня выполненных разработок современному состоянию науки и техники в области ТЗИ.

В выводе экспертизы должны быть указанные результаты выполнения требований ТЗИ в проектной документации на строительство.

Выводы экспертизы вносятся в отдельный раздел экспертной документации.

Экспертизу проектной документации на строительство в особенности важных объектов необходимо проводить в установленном порядке с участием специалистов по вопросам ТЗИ.

Выводы экспертизы должны быть представлены в орган, который согласовал задачу на проектирование мероприятий ТЗИ.

2.3 Реализация плана защиты информации

На этом этапе следует реализовать организационные, первичные технические и основные технические мероприятия защиты КИ, установить необходимые зоны безопасности информации, провести аттестацию технических средств обеспечения информационной деятельности, рабочих мест (помещений) на соответствие требованиям безопасности информации.

Техническая защита информации обеспечивается применением защищенных программ и технических средств обеспечения информационной деятельности, программных и технических средств защиты информации (далее - средства ТЗИ) и средств контроля, которые имеют сертификат соответствия требованиям нормативных документов ФСТЭК, а также применения специальных инженерно - технических сооружений, средств и систем (далее - средства обеспечения ТЗИ) [13].

Средства ТЗИ могут функционировать автономно или совместно с техническими средствами обеспечения информационной деятельности в виде самостоятельных устройств или встроенных в них составных элементов.

На четвертом этапе следует провести анализ функционирования системы защиты информации, проверку выполнения мероприятий ТЗИ, контроль эффективности защиты, подготовить и выдать установочные данные для управления системой защиты информации.

Управление системой защиты информации состоит в адаптации мероприятий ТЗИ к текущей задаче защиты информации.

При изменении условий функционирования или выявлении новых угроз мероприятия ТЗИ обновляются и дополняются в кротчайшие сроки.

Порядок проведения проверок и контроля эффективности защиты информации устанавливается нормативными документами с ТЗИ.

2.3.1 Общие положения

КИ в процессе информационной деятельности, к которой можно отнести получение, использование, распространение и сохранение КИ, может подвергаться влиянию угроз, в результате которых может произойти утечка или нарушение целостности информации.

Возможные варианты постановки задач системе защиты информации:

- достижение необходимого уровня защиты КИ при минимальных затратах и допустимого уровня ограничений видов ИД;

- достижения наиболее возможного уровня защиты КИ при допустимых затратах и заданного уровня ограничений видов ИД;

- достижения максимального уровня защиты КИ при необходимых затратах и минимального уровня ограничений видов ИД.

Защита информации, которая не является государственной тайной, обеспечивается, как правило, применением первого или второго вариантов.

Защита информации, которая составляет государственную тайну, обеспечивается, как правило, путем применения третьего варианта.

Содержание и последовательность работ по противодействию угрозам или их нейтрализации должны отвечать следующим этапам функционирования системы защиты информации и состоят в:

- проведении обследования предприятия, учреждения, организации;

- разработке и реализации организационных, первичных технических, основных технических мероприятий с использованием средств обеспечения ТЗИ;

- приеме работ по ТЗИ;

- аттестации средств (систем) обеспечения ИД на соответствие требованиям нормативных документов системы ТЗИ.

Порядок проведения работ по ТЗИ или отдельным их этапам устанавливается приказом (распоряжением) руководителя предприятия.

Работы должны выполняться силами предприятия под руководством специалистов с ТЗИ.

Для участия в работах, представлении методической помощи, оценивании полноты и качества реализации мероприятий защиты могут привлекаться специалисты с ТЗИ посторонних организаций, которые имеют лицензию ФСТЭК на проведение подобного рода работ.

2.3.2 Организация проведения обследования

Целью обследования предприятия есть изучения его ИД, определения объектов защиты - КИ, выявления угроз, их анализ и построение отдельной модели угроз.

Обследования должно быть проведено комиссией, состав которой определяется ответственным за ТЗИ лицом и утверждается приказом руководителя предприятия.

В ходе обследования необходимо:

- провести анализ условий функционирования предприятия, его расположения на местности (ситуационного плана) для определения возможных источников угроз;

- исследовать средства обеспечения ИД, которые имеют выход за границы контролируемой зоны;

- исследовать информационные потоки и технологические процессы обработки информации;

- определить наличие и техническое состояние средств обеспечения ТЗИ;

- проверить наличие на предприятии нормативных документов, которые обеспечивают функционирование системы защиты информации, организацию проектирования строительных работ с учетом требований ТЗИ, а также нормативной и эксплуатационной документации, которая обеспечивает ИД;

- обнаружить наличие незадействованных кабелей и проводов;

- определить технические средства и системы, применения которых не обоснованно служебной или производственной необходимостью и которые подлежат демонтированию;

- определить технические средства, которые подлежат переоборудованию.

По результатам обследования следует составить акт, который должен быть утвержден руководителем предприятия.

Материалы обследования необходимо использовать во время разработки отдельной модели угроз, которые должна включать:

- План предприятия, схемы расположения средств и систем обеспечения ИД, а также инженерных коммуникаций, которые выходят за пределы контролируемой территории;

- схемы и описания каналов утечки информации и путей несанкционированного доступа к КИ;

- оценку вреда, ожидаемого от реализации угроз.

2.3.3 Организация разработки системы защиты информации

На основании материалов обследования и отдельной модели угроз необходимо определить главные задачи защиты информации и составить техническую задачу (ТЗ) на разработку системы защиты информации.

ТЗ должно включать основные разделы:

- требования к системе защиты информации;

- требования к составу проектной и эксплуатационной документации;

- этапы выполнения работ;

- порядок внесения изменений и дополнений в разделе ТЗ;

- требования к порядку проведения испытания системы защиты.

Основной функционирования системы защиты информации есть план ТЗИ, который должен содержать следующие документы:

- перечень распорядительных, организационно - методических, НД ТЗИ, а также указания относительно их применения;

- инструкции о порядке реализации организационных, первичных технических и основных технических мероприятий защиты;

- инструкции, которые устанавливают обязанности, права и ответственность персонала;

- календарный план ТЗИ.

ТЗ и план ТЗИ разрабатывают специалисты по ТЗИ, согласовывают с заинтересованными подразделами (организациями). Утверждает их руководитель предприятия.

2.3.4 Реализация организационных мероприятий защиты

Организационные мероприятия защиты информации - комплекс административных и ограничительных мероприятий, направленных на оперативное решение задач защиты информации, регламентации деятельности персонала и порядка функционирования средств (систем) обеспечения ТЗИ [14].

В процессе разработки и реализации мероприятий нужно:

- обосновать структуру и технологию функционирования системы защиты информации;

- разработать и внедрить правила реализации мероприятий ТЗИ;

- определить права и обязанности подразделений и лиц, принимающих участие в обработке КИ;

- обеспечить предприятие средствами обеспечения ТЗИ и нормативными документами, регламентирующих работу с ними;

- установить порядок внедрения защищенных средств обработки информации, программных и технических средств защиты информации, а также средств контроля ТЗИ;

- установить порядок контроля функционирования системы защиты информации и ее качественных характеристик;

- определить зоны безопасности информации;

- установить порядок проведения аттестации системы технической защиты информации, ее элементов и разработать программы аттестационного испытания;

- обеспечить управление системой защиты информации.

2.3.5 Реализация технических мероприятий защиты

В процессе реализации первичных технических мероприятий нужно обеспечить [15]:

- блокирование каналов утечки информации;

- блокирование несанкционированного доступа к информации или её носителям;

- проверку исправности и работоспособности технических средств обеспечения ИД.

Блокирование каналов утечки информации может осуществляться:

- демонтированием технических средств, линий связи, энергетических сетей, использование которых не связано с жизнеобеспечением предприятия и обработкой КИ;

- удалением отдельных элементов технических средств, которые являются средой распространения полей и сигналов, из помещений, где циркулирует КИ;

- временным отключением технических средств, не участвующих в обработке КИ, от линий связи, сигнализации, управления и энергетических сетей;

Блокирование несанкционированного доступа к информации или её носителям может осуществляться:

- созданием условий работы, установленных регламентом;

- невозможностью использования не сертифицированных программных, программно-аппаратных средств.

Проверку исправности и работоспособности технических средств и систем обеспечения ИД необходимо проводить в соответствии с эксплуатационными документами.

Выявленные неисправные блоки и элементы могут стать причиной утечки или нарушения целостности информации и подлежат немедленной замене (демонтированию).

В процессе реализации основных технических мероприятий защиты нужно:

- установить средства выявления и индикации угроз и проверить их на работоспособность;

- установить защищенные средства обработки информации, средства ТЗИ и проверить их на работоспособность;

- применять программные средства защиты в средствах вычислительной техники, в автоматизированных системах, регулярно осуществлять их функциональное тестирование и тестирования на соответствие требованиям защищенности;

- применить специальные инженерно - технические сооружения, средства (системы).

Выбор средств обеспечения ТЗИ предопределяется фрагментарным или комплексным способом защиты информации.

Фрагментарная защита обеспечивает противодействие определенной угрозе.

Комплексная защита обеспечивает одновременное противодействие множеству угроз.

Средства выявления и индикации угроз применяют для сигнализации и оповещения собственника КИ об утечке информации или нарушении ее целостности.

Средства ТЗИ применяют автономно или совместно с техническими средствами обеспечения ИД для пассивной или активной защиты КИ.

Для пассивной защиты применяют фильтры - ограничители, линейные фильтры, специальные абонентские устройства защиты и электромагнитные экраны.

Для активной защиты применяют узкополосные и широкополосные генераторы линейного и пространственного зашумления.

Программные средства применяют для обеспечения:

- идентификации и аутентификации пользователей и ресурсов системы обработки информации;

- разграничения доступа пользователей к информации, средствам вычислительной техники и техническим средствам автоматизированных систем;

- целостности информации и конфигурации автоматизированных систем;

- регистрации и учета пользователей;

- реагирования (сигнализации, отключения, остановка работ, отказа от запросов) на попытки несанкционированных действий.

Специальные инженерно - технические сооружения, средства и системы применяют для оптического, акустического, электромагнитного и другого экранирования носителей информации.

Технические характеристики, порядок применения и проверки средств обеспечения ТЗИ приводят в соответствие с эксплуатационной документацией.

Организационные мероприятия регламентируют порядок информационной деятельности (ИД) с учетом норм и требований ТЗИ для всех периодов жизненного цикла объекта защиты.

Первичные технические мероприятия предусматривают защиту информации блокированием угроз без использования средств ТЗИ.

Основные технические мероприятия предусматривают защиту информации с использованием средств обеспечения ТЗИ.

Проверку исправности и работоспособности технических средств и систем обеспечения ИД необходимо проводить в соответствии с эксплуатационными документами.

Выявленные неисправные блоки и элементы могут стать причиной утечки или нарушения целостности информации и подлежат немедленной замене (демонтированию).

Специальные инженерно - технические сооружения, средства и системы применяют для оптического, акустического, электромагнитного и другого экранирования носителей информации.

Технические характеристики, порядок применения и проверки средств обеспечения ТЗИ приводят в соответствие с эксплуатационной документацией.



ЗАКЛЮЧЕНИЕ

Необходимо помнить, что естественные каналы утечки информации образуются спонтанно, в силу специфических обстоятельств, сложившихся на объекте защиты.

Что касается искусственных каналов утечки информации, то они создаются преднамеренно с применением активных методов и способов получения информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести незаконное подключение к каналам, проводам и линиям связи, высокочастотное навязывание и облучение, установка в технических средствах и помещениях микрофонов и телефонных закладных устройств, а также несанкционированный доступ к информации, обрабатываемой в автоматизированных системах и т.д.

После анализа информационной безопасности была осуществлена разработка плана ТЗИ, содержащего организационные, первичные технические и основные технические мероприятия защиты КИ, а также определены зоны безопасности информации, а также разработаны требования к нормативным документам и выделены их функции в системе технической защиты информации.

Наконец, были разработаны рекомендации к реализации организационных и технических мер технической системы защиты информации.



СПИСОК ЛИТЕРАТУРЫ

1. Болдырев А.И., Василевский И.В., Сталенков С.Е. Методические рекомендации по поиску и нейтрализации средств негласного съема информации. Практическое пособие. -- М.: НЕЛК, 2001. -- 138 с.

2. Вартанесян В.А. Радиоэлектронная разведка. -- М.: Воениздат, 1975. -- 255с.

3. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). -- Москва,2001.

4. Всемирная история шпионажа/Авт.-сост. М.И. Ушаков. -- М.: Олимп; ООО «Фирма «Издательство АСТ»”, 2000. -- 496 с.

5. Гавриш В.А. Практическое пособие по защите коммерческой тайны. -- Симферополь: Таврида, 1994. -- 112 с.

6. Герасименко В.А., Малюк А.А. Основы защиты информации. -- М.: МГИФИ, 1997. -- 538 с.

7. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. -- М.: Яхтсмен, 1996. -- 67 с.

8. Зарубежная радиоэлектроника. Специальный выпуск. 1989, N2 12.

9. Каторин Ю.Ф., Куренков Е.В., Лысов А.В. Большая энциклопедия промышленного шпионажа. -- С.-Пб.: ООО “Издательство Полигон”, 2000. -- 896 с.

10. Куликов Е.И., Трифонов АЛ. Оценка параметров сигналов на фоне помех. -- М.: Сов. радио, 1978. -- 296 с.

11. Лагутин В.С. Петряков А.В. Утечка и защита информации в телефонных каналах. -- М.: Энерrоатомиздат, 1996. -- 304 с.

12. Организация и coвpeмeнные методы защиты информации/Под общ. ред. С.А. Диева, A.Г. Шаваева. -- М.: Коцерн “Банковский Деловой Центр”, 1998. -- 472 с.

13. Петраков А.В. Основы практической защиты информации. -- М.: Радио и связь, 1999. -- 368 с.

14. Вартанесян В.А. Радиоэлектронная разведка. -- М.: Воениздат, 1975. -- 145с.

15. Вартанесян В.А. Радиоэлектронная разведка. -- М.: Воениздат, 1975. -- 237с.

Размещено на Allbest.ru

...