.RU

Глава 3. ОРГАНИЗАЦИЯ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ - Учебное пособие М.: Горячая линия-Телеком, 2005


^ Глава 3. ОРГАНИЗАЦИЯ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

В предыдущих главах пособия были рассмотрены как возможные технические каналы утечки информации, так и возможности современных технических средств по выявлению этих естественных или искусственно созданных каналов. Выявление этих каналов не является самоцелью, а служит основой для построения эффективной системы защиты информации от утечки ее по техническим каналам.

^ 3.1. Организационно-методические основы защиты информации


Общие требования к защите информации

Защита информации в новых экономических условиях представляет собой целенаправленную деятельность собственников информации по исключению или существенному ограничению утечки, искажения или уничтожения защищаемых ими сведений.

Защита информации должна предусматривать ее сохранность от широкого круга различных угроз, таких, как утечка информации, несанкционированные и непреднамеренные воздействия.

Как правило, защите подлежит категорированная или конфиденциальная информация. В зависимости от вида угроз предусматривается и вид защиты:

• от разглашения и несанкционированного доступа;

• от искажения, копирования, блокирования доступа к ней и ее уничтожения;

• от утраты или уничтожения носителя информации или сбоя его функционирования;

• от утраты или уничтожения носителя информации или сбоя его функционирования из-за ошибок пользователя информацией;

• от сбоя технических и программных средств информационных систем или природных явлений или иных нецеленаправленных на изменение информации воздействий.

Защита информации от технических средств разведки представляет собой совокупность организационных и технических мероприятий, проводимых с целью исключения (существенного затруднения) добывания злоумышленником информации об объекте защиты с помощью технических средств. Защита от этих средств достигается комплексным применением согласованных по цели, месту и времени мер защиты.

Эффективное противодействие обеспечивается только при комплексном использовании средств и организационно-технических методов в целях защиты охраняемых сведений об объекте, осуществляемых в соответствии с целями и задачами противодействия, этапами жизненного цикла объекта и способами противодействия. При этом к защите информации предъявляется ряд требований.

Защита должна проводиться: своевременно, активно, разнообразно, непрерывно, рационально, комплексно, планово.

Одним из основных требований является своевременность принятия решения на организацию защиты информации. Ускорение процесса выработки решения необходимо, во-первых, для того чтобы своевременно решить возникшие проблемы и не давать им разрастись до такого состояния, когда решение их станет невозможным или бесполезным, во-вторых, для того чтобы подчиненные имели достаточно времени для выполнения поставленных перед ними задач.

Активность противодействия прежде всего предусматривает наступательный, активный характер противодействия, основанный на анализе складывающейся обстановки, умении сделать правильные выводы о возможных действиях потенциального противника, позволяющие упредить их и настойчиво осуществлять эффективные меры противодействия.

Разнообразие противодействия направлено на исключение шаблона в организации и проведении мероприятий и подразумевает творческий подход к его организации и осуществлению.

Комплексность предусматривает проведение комплекса мероприятий, направленных на своевременное закрытие всех возможных каналов утечки информации об объекте. Недопустимо применять отдельные технические средства или методы, направленные на защиту только некоторых, из общего числа возможных, каналов утечки информации.

Непрерывность противодействия предусматривает проведение мероприятий по комплексной защите объекта информатизации на всех этапах жизненного цикла разработки и существования специальной продукции или обеспечения производственной деятельности объекта защиты.

Плановость проведения мероприятий предусматривает прежде всего предусмотренные заранее, еще на стадии проектирования и строительства объекта, мероприятия, направленные на защиту информации.

Важно также, чтобы мероприятия по противодействию выглядели правдоподобно и отвечали условиям обстановки, выполнялись в соответствии с планами защиты информации объекта. В связи с этим разрабатываются и осуществляются практические меры по легендированию и маскировке мероприятий, направленных на защиту.

Особое внимание при проведении таких мероприятий должно обращаться на выбор замысла защиты информации объекта, замысла противодействия. Замысел защиты - общая идея и основное содержание организационных, технических мероприятий и мер направленных на маскировку, обеспечивающих устранение или ослабление (искажение) демаскирующих признаков и закрытие технических каналов утечки охраняемых сведений.

В основе защиты информации лежит совокупность правовых форм деятельности собственника и организационно-технических мероприятий, реализуемых с целью выполнения требований по сохранению защищаемых сведений и информационных процессов, а также мероприятия по контролю эффективности принятых мер защиты информации.

Рассматривая вопросы организации защиты информации от ее утечки по техническим каналам, необходимо отметить, что защита информации не является отдельными, разовыми эпизодами и мероприятиями, а, как указано в требованиях, предъявляемых к защите, она должна вестись комплексно и непрерывно.

Грамотное построение эффективной системы защиты в организации требует настойчивой и целенаправленной повседневной работы.

Для создания эффективной системы защиты прежде всего необходимо определиться с пониманием слова «система» применительно к организации и осуществлению мероприятий по защите информации.

Любая система состоит из управляющего объекта и объекта управления (рис.3.1) и создается под заданные требования с учетом существующих ограничений.

Всякая система может нормально функционировать только при наличии в ней определенных связей между объектом управления и управляющим объектом.


Внешние воздействия



Управляющий объект

Объект управления


Входящий Выход

сигнал








Обратная связь


Рис. 3.1. Принципиальная схема системы управления с обратной связью


Обязательным для нормального функционирования системы является наличие обратной связи. В общем случае, для функционирования любой системы необходимы прежде всего побудительные причины, которые могут появиться как от внешнего воздействия, так и от внутренней неудовлетворенности состоянием дел.

Рассмотрим динамику функционирования системы на уровне организации, работающей с категорированной информацией. Так как, любая система создается для решения определенного рода задач, то в своем функционировании она ограничивается как, объективными, так и субъективными факторами. К ним относятся:

- перечни защищаемых сведений, составляющих государственную и коммерческую тайну;

- требуемые уровни безопасности информации, обеспечение которых не приведет к превышению ущерба над затратами на защиту информации;

- угрозы безопасности информации;

- показатели, по которым будет оцениваться эффективность системы защиты.

Входами системы инженерно-технической защиты информации являются:

- воздействия злоумышленников при физическом проникновении к источникам конфиденциальной информации с целью ее хищения, изменения или уничтожения;

- различные физические поля, электрические сигналы, создаваемые техническими средствами злоумышленников, которые воздействуют на средства обработки и хранения информации;

- стихийные силы, прежде всего пожары, приводящие к уничтожению или изменению информации;

- физические поля и электрические сигналы с информацией, передаваемой по функциональным каналам связи;

- побочные электромагнитные и акустические поля, а также электрические сигналы, возникающие в процессе деятельности объектов защиты и несущие конфиденциальную информацию.

Выходами системы защиты являются меры по защите информации, адекватные входным воздействиям.

Алгоритм процесса преобразования входных воздействий (угроз) в меры защиты определяет вариант системы защиты.

Порядок функционирования системы защиты информации в организации определяется в руководящих, нормативных и методических документах, выходящих как в вышестоящих организациях, так и разрабатываемых в самой организации.

^ Руководящие и нормативно-методические документы, регламентирующие деятельность в области защиты информации

К руководящим документам вышестоящих организаций в области защиты информации относятся: «Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9.09.2000 г. № Пр.-1895; Федеральный закон от 20.02.95 г. № 24-ФЗ «Об информации, информатизации и защите информации»; Федеральный закон от 04.07.96 г. № 85-ФЗ «Об участии в международном информационном обмене»; Федеральный закон от 16.02.95 г. № 15-ФЗ «О связи»; Федеральный закон от 26.11.98 г. № 178-ФЗ «О лицензировании отдельных видов деятельности»; Указ Президента Российской Федерации от 19.02.99 г. № 212 «Вопросы Государственной технической комиссии при Президенте Российской Федерации»; Указ Президента Российской Федерации от 17.12.97 г. № 1300 «Концепция национальной безопасности Российской Федерации» в редакции указа Президента Российской Федерации от 10.01.2000 г. № 24; Указ Президента Российской Федерации от 06.03.97 г. № 188 «Перечень сведений конфиденциального характера».

К нормативно-методическим документам вышестоящих организаций относятся: Постановление Правительства Российской Федерации от 03.11.94 г. № 1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти»; Решение Гостехкомиссии России и ФАПСИ от 27.04.94 г. № 10 «Положение о государственном лицензировании деятельности в области защиты информации» (с дополнением); Постановление Правительства Российской Федерации от 11.04.2000 г. № 326 «О лицензировании отдельных видов деятельности»; «Сборник руководящих документов по защите информации от несанкционированного доступа» Гостехкомиссия России, Москва, 1998 г.; ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»; ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении»; ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний»; ГОСТ 12.1.050-86 «Методы измерения шума на рабочих местах»; ГОСТ Р ИСО 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель»; ГОСТ Р ИСО 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации»; ГОСТ 2.114-95 «Единая система конструкторской документации. Технические условия»; ГОСТ 2.601-95 «Единая система конструкторской документации. Эксплуатационные документы»; ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»; ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создании автоматизированных систем»; ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения»; РД Госстандарта СССР 50-682-89 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения»; РД Госстандарта СССР 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов»; РД Госстандарта СССР 50-680-89 «Методические указания. Автоматизированные системы. Основные положения»; ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания»; ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению»; ГОСТ 6.10-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники, ЕСКД, ЕСПД и ЕСТД»; ГОСТ Р-92 «Система сертификации ГОСТ. Основные положения»; ГОСТ 28195-89 «Оценка качества программных средств. Общие положения»; ГОСТ 28806-90 «Качество программных средств. Термины и определения»; ГОСТ Р ИСОМЭК 9126-90 «Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению»; ГОСТ 2.111-68 «Нормоконтроль»; ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации»; РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей», Москва, 1999 г.; РД Гостехкомиссии России «Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам», Москва, 2000 г.; ГОСТ 13661-92 «Совместимость технических средств электромагнитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания»; ГОСТ 29216-91 «Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний»; ГОСТ 22505-83 «Радиопомехи индустриальные от приемников телевизионных и приемников радиовещательных частотно-модулированных сигналов в диапазоне УКВ. Нормы и методы измерений»; ГОСТ Р 50628-93 «Совместимость электромагнитная машин электронных вычислительных персональных. Устойчивость к электромагнитным помехам. Технические требования и методы испытаний».

Руководствуясь положениями вышеперечисленных документов Гостехкомиссия России разработала свои нормативно-методические документы. К ним относятся: ряд методик по оценке защищенности основных технических средств и систем; защищённости информации, обрабатываемой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы и их коммуникации; защищенности помещений от утечки речевой информации по акустическому и виброакустическому каналам; по каналам электроакустических преобразований. Приняты: решение Гостехкомиссии России от 14.03.95 г. № 32 «Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам»; решение Гостехкомиссии России от 03.10.95 г. № 42 «Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и ее утечки по техническим каналам на объекте» и ряд других документов.

На базе этих документов разрабатываются необходимые руководящие и нормативно-методические документы в организациях.

К руководящим документам, разрабатываемым в организациях, относятся:

• руководство (инструкция) по защите информации в организации;

• положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации;

• инструкции по работе с грифованными документами;

• инструкции по защите информации о конкретных изделиях.

В различных организациях эти документы могут иметь разные наименования, отличающиеся от перечисленных выше. Но сущность этих документов остается неизменной, так как их наличие в организации объективно.

Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Руководство должно состоять из следующих разделов:

• общие положения;

• охраняемые сведения об объекте;

• демаскирующие признаки объекта и технические каналы утечки информации;

• оценка возможностей технических разведок и других источников угроз безопасности информации (возможно, спецтехника, используемая преступными группировками);

• организационные и технические мероприятия по защите информации;

• оповещение о ведении разведки (раздел включается в состав Руководства при необходимости);

• обязанности и права должностных лиц;

• планирование работ по защите информации и контролю;

• контроль состояния защиты информации;

• аттестование рабочих мест;

• взаимодействие с другими предприятиями (учреждениями, организациями).

Однако в данном руководстве нельзя учесть всех особенностей защиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфиденциальной информации, угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая работа, включающая различные этапы и стадии: проведение исследований, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, подготовка производства (документации, установка дополнительного оборудования, изготовление оснастки - специфических средств производства, необходимых для реализации технологических процессов), изготовление опытной серии для выявления спроса на товар, массовый выпуск продукции.

На каждом этапе и стадии к работе могут подключаться новые люди, разрабатываться новые документы, создаваться узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющихся в различные моменты времени.

Для защиты информации об изделии на каждом этапе его создания должна разрабатываться соответствующая инструкция. Инструкция должна содержать необходимые для обеспечения безопасности информации сведения, в том числе: общие сведения о наименовании образца, защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц, ответственных за безопасность информации.

Основным нормативным документом при организации защиты информации является перечень сведений, составляющих государственную, военную, коммерческую или любую другую тайну. Перечень сведений, содержащих государственную тайну, основывается на положениях закона «О государственной тайне». Перечни подлежащих защите сведений, изложенных в этом законе, конкретизируются ведомствами применительно к тематике конкретных организаций.

Перечни сведений, составляющих коммерческую тайну, составляются руководством фирмы при участии сотрудников службы безопасности.

Другие нормативные документы определяют максимально допустимые значения уровней полей с информацией и концентрации демаскирующих веществ на границах контролируемой зоны, которые обеспечивают требуемый уровень безопасности информации. Эти нормы разрабатываются соответствующими ведомствами, а для коммерческих структур, выполняющих негосударственные заказы, - специалистами этих структур.


generalnaya-shema-stranica-4.html
generalnaya-shema-stranica-9.html
generalnij-direktor-abdrahmanov-firdis-ashatovich-eksportnaya-produkciya-predpriyatij-respubliki-tatarstan.html
generalnij-direktor-mot-nazval-chetire-klyuchevie-zadachi-dlya-obespecheniya-spravedlivoj-globalizacii-i-zayavil-chto-mot-perezhivaet-reshayushij-moment.html
generalnij-direktor-oao-polyarnij-kvarc-arestovan-za-rastratu-advisru-07072011.html
generalnij-direktor-soveta-obedinenij-ocenshikov-sng-kand-fiz-mat-nauk-docent.html
  • institute.bystrickaya.ru/fantasticheskie-zhivotnie-i-mesta-ih-obitaniya-stranica-4.html
  • knigi.bystrickaya.ru/sozdanie-uchebno-metodicheskih-kompleksov-po-discipline-inostrannij-yazik-umk-po-anglijskomu-yaziku-dlya-studentov-stroitelnih-specialnostej-umk-po-francuzskomu-yaziku-dlya-studentov-ekonomicheskih-specialnostej.html
  • letter.bystrickaya.ru/o-prepodavanii-uchebnogo-predmeta-fizicheskaya-kultura-i-zdorove-v-obsheobrazovatelnih-uchrezhdeniyah-v-20082009-uchebnom-godu.html
  • uchebnik.bystrickaya.ru/uchebno-metodicheskij-kompleks-po-ud-etika-semejnih-otnoshenij.html
  • turn.bystrickaya.ru/otkritoe-akcionernoe-obshestvo-baranovichidrev-adres.html
  • upbringing.bystrickaya.ru/london-yuzhnaya-angliya-8-dnej-7-nochej-dati-zaezdov-18-marta-15-aprelya-30-aprelya-3-iyunya-8-iyulya-22-iyulya-5-avgusta-26-avgusta-23-sentyabrya.html
  • abstract.bystrickaya.ru/3-lekciya-19-09-06.html
  • universitet.bystrickaya.ru/test-na-sostoyanie-sistem-organizma-stranica-5.html
  • paragraph.bystrickaya.ru/kollektivnaya-monografiya-sobstvennost-na-zemlyu-v-rossii-istoriya-i-sovremennost-podgotovlennaya-gruppoj-izvestnih-specialistov-istorikov-kak-pishut-ee.html
  • credit.bystrickaya.ru/ocherki-po-istorii-vselenskoj-pravoslavnoj-cerkvi-stranica-3.html
  • literatura.bystrickaya.ru/slovo-29-o-bogoslovii-trete-o-boge-sine-pervoe-svyatitel-grigorij-bogoslov-pyat-slov-o-bogoslovii-slova-27-31-2000.html
  • textbook.bystrickaya.ru/iii-forum-bezopasnosti-seap-novosti-onlajn-euobserver-com-ssha-26-06-2009-valentina-pop-nato-woos-kazakhstan.html
  • occupation.bystrickaya.ru/metodicheskie-ukazaniya-po-kursovoj-raboti-dlya-studentov-zaochnoj-formi-obucheniya-stranica-3.html
  • klass.bystrickaya.ru/417-kosyanova-o-m-v-rossii.html
  • klass.bystrickaya.ru/administrativnoe-pravo-chast-7.html
  • znaniya.bystrickaya.ru/programma-uchebnoj-disciplini-fizika-gornih-porod-specialnost-130102-tehnologii-geologicheskoj-razvedki.html
  • kontrolnaya.bystrickaya.ru/rabochaya-programma-fio-kvalifikacionnaya-kategoriya-po-uchebnomu-kursu-anglijskij-yazik-5-klass.html
  • bukva.bystrickaya.ru/uchrezhdenie-obrazovaniya-federacii-profsoyuzov-belarusi.html
  • control.bystrickaya.ru/diffuznij-vid-chelovek-razumnij-didenko-boris-andreevich-civilizaciya-kanniballov-moskva-1996.html
  • abstract.bystrickaya.ru/1-arhitektura-informacionnih-tehnologij-ponyatie-it-infrastrukturi-predpriyatiya.html
  • pisat.bystrickaya.ru/tezisi-poslaniya-gubernatora.html
  • university.bystrickaya.ru/glava-9-v-kolhoze-hirosima-poluraspad-aleksandr-zorich.html
  • predmet.bystrickaya.ru/sposobi-samostoyatelnoj-deyatelnosti-obrazovatelnie-programmi-municipalnogo-obsheobrazovatelnogo-uchrezhdeniya.html
  • turn.bystrickaya.ru/pochtovaya-svyaz-osnovnie-pokazateli-ekonomicheskogo-razvitiya-rajona.html
  • teacher.bystrickaya.ru/glava-1-specifika-raboti-po-russkomu-yaziku-v-starshih-klassah-srednej-obsheobrazovatelnoj-shkoli.html
  • report.bystrickaya.ru/informacionnij-byulleten-profsoyuza-899-2009-g-stranica-8.html
  • letter.bystrickaya.ru/na-vasilevskom-spuske-krasnoj-ploshadi-sostoitsya-press-konferenciya-i-torzhestvennij-finish-blagotvoritelnogo-veloprobega-krasnaya-ploshad-v-polzu-detej-s-sindromom-dauna.html
  • write.bystrickaya.ru/gosduma-prinyala-zakon-o-dostupe-k-informacii-o-deyatelnosti-gosorganov-novosti-11.html
  • uchit.bystrickaya.ru/tema-deyatelnost-shkoli-po-sozdaniyu-i-razvitiyu-zdorovesberegayushego-prostranstva.html
  • kolledzh.bystrickaya.ru/anar-azimov-zavedushij-otdelom-vostok-zapad-v-sbornike-predstavleni-tezisi-dokladov-i-vistuplenij-uchastnikov.html
  • znaniya.bystrickaya.ru/raspisanie-zanyatij-studentov-1-kursa-dnevnie-gruppi.html
  • predmet.bystrickaya.ru/shedevri-mirovoj-nauki-biblioteka-psihoanaliticheskoj-literaturi-pod-obshej-redakciej-professora-m-m-reshetnikova-stranica-15.html
  • uchitel.bystrickaya.ru/rabochaya-programma-disciplini-v-dv-1-nalogovij-uchet-i-nalogovaya-otchetnost.html
  • thesis.bystrickaya.ru/predsedatel-pk-shkoli-direktor-mou-msosh-2-stranica-3.html
  • otsenki.bystrickaya.ru/specialnij-kurs-stavropol-2009-bbk-67-628-3-k-68.html
  • © bystrickaya.ru
    Мобильный рефератник - для мобильных людей.