Характеристика организационных и технических мер инженерно-технической защиты информации в государственных структурах

В результате эффективного использования каналов несанкционированного доступа к информации ограниченного доступа и разнообразных методов ее добывания злоумышленник получает:

- подлинник или официальную копию документа (бумажного, машиночитаемого, электронного), содержащего информацию ограниченного доступа;

- несанкционированно, нелегально сделанную копию этого документа (рукописную или изготовленную с помощью копировального аппарата, фототехники, компьютера и т. п.);

- диктофонную, магнитофонную или видеокассету с записью текста документа, переговоров, совещания;

- письменное или устное изложение за пределами фирмы содержания документа, ознакомление с которым осуществлялось санкционированно или тайно;

- устное изложение текста документа по телефону, мобильной связи, переговорному устройству, специальной радиосвязи и т. п.;

- аналог документа, переданного по факсимильной связи или электронной почте;

- речевую или визуальную запись текста документа, выполненную с помощью технических средств разведки (радиозакладок, встроенных микрофонов и видеокамер, микрофотоаппаратов, фотографирования с большого расстояния).

Получение ценных документов или информации ограниченного доступа может быть единичным явлением или регулярным процессом, протекающим на протяжении относительно длительного времени. Длительность этого процесса является наиболее предпочтительной, поэтому каналы несанкционированного доступа всегда носят тайный характер.

Следовательно, любые информационные ресурсы фирмы являются весьма уязвимой категорией, и при интересе, возникшем к ним со стороны злоумышленника, опасность их утраты становится достаточно реальной. Безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений.

Выводы поразделу

Безопасность информационных ресурсов (информации) - защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы и условиях экстремальных ситуаций: стихийных бедствий, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных.

Политика (концепция, программа) информационной безопасности фирмы практически реализуется комплексом направлений и методов защиты информации, обеспечивающим ее безопасность.

Информационная безопасность, безопасность информации и защита информации связаны единой целью, решаемыми задачами и последовательной реализацией их в условиях необходимости обеспечения экономической безопасности предприятия.

Информационные ресурсы (информация) являются объектами отношений физических и юридических лиц между собой и с государством, составляют в совокупности информационные ресурсы России и охраняются законом наряду с другими видами ресурсов.

Документированная информация является комплексным понятием, основанным на ее двуединстве: с одной стороны, это информация (факты, данные, сведения), а с другой - материальный носитель. В процессе документирования информация (результат творческой работы человека) овеществляется, становится документом. Подобный подход к документированной информации представляется существенным при решении задач обеспечения безопасности информации и сохранности ее носителя.

Документ может быть не только и даже не столько управленческим (деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму. Значительно большие объемы наиболее ценных документов представлены в изобразительной форме: конструкторские документы, картографические, научно-технические, документы на фотографических, магнитных и иных носителях.

По принадлежности к тому или иному виду собственности информационные ресурсы могут быть государственными или негосударственными и как элемент состава имущества находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур. Защите, охране подлежит любая ценная документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу.

Ценная информация охраняется нормами права (патентного, авторского, смежных прав и др.), товарным знаком или защищается включением ее в категорию информации, составляющей тайну фирмы.

Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные.

Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой или предпринимательской, банковской, профессиональной, производственной и др.) или содержащие персональные данные граждан, именуются конфиденциальными.

Конфиденциальный (закрытый, защищаемый) документ- необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица.

Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до значительного числа лет).

Угроза утраты информации - единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных.

Каждая конкретная фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов - профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т. п.

Утрата информации характеризуется двумя условиями, а именно информация переходит: а) непосредственно к заинтересованному лицу - конкуренту, злоумышленнику или б) к случайному, третьему лицу.

3 ОРГАНИЗАЦИЯ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

3.1. Общие положения по инженерно-технической защите информации в организациях

Рассмотренные ранее вопросы создают теоретическую базу для построения, модификации и эксплуатации системы защиты информации.

Любая система создается под заданные требования с учетом существующих ограничений. Факторы, влияющие на структуру и функционирование системы, называются системообразующими. К ним относятся:

- перечни защищаемых сведений, составляющих государственную (по тематике государственного заказа, если он выполняется организацией) и коммерческую тайну;

- требуемые уровни безопасности информации, обеспечение которых не приведет к превышению ущерба над затратами на защиту информации;

- угрозы безопасности информации:

- ограничения, которые надо учитывать при создании или модернизации системы защиты информации;

- показатели, по которым будет оцениваться эффективность системы защиты.

Структура и алгоритм функционирования системы защиты организации определяются в руководящих, нормативных и методических документах. К руководящим документам относятся:

- руководство (инструкция) по защите информации в организации;

- положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации;

- инструкции по работе с грифованными документами;

- инструкции по защите информации о конкретных изделиях: В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается неизменной, так как необходимость в них объективна.

Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Оно может содержать следующие разделы:

- общие положения;

- перечень охраняемых сведений;

- демаскирующие признаки объектов организации;

- демаскирующие вещества, создаваемые в организации;

- оценки возможностей органов и средств добывания информации,

организационные и технические мероприятия по защите информации;

- порядок планирования работ службы безопасности;

- порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.

Но в данном руководстве нельзя учесть всех особенностей защиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфиденциальной информации угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая работа, включающая различные этапы и стадии: проведение исследований, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, подготовка производства (документации, установка дополнительного оборудования, изготовление оснастки - специфических средств производства, необходимых для реализации технологических процессов), изготовление опытной серии для выявления спроса на товар, массовый выпуск продукции.

На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющиеся в различные моменты времени.

Для защиты информации об изделии на каждом этапе его создания разрабатывается соответствующая инструкция. Инструкция должна содержать необходимые для обеспечения безопасности информации сведения, в том числе: общие сведения о наименовании образца, защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц. ответственных за безопасность информации.

Основным нормативным документом является перечень сведений, составляющих государственную, военную, коммерческую или любую другую тайну. Перечень сведений, содержащих государственную тайну, основывается на положениях закона «О государственной тайне» [31]. Перечни подлежащих защите сведений этого закона конкретизируются ведомствами применительно к тематике конкретных организаций. В коммерческих структурах, выполняющих государственные заказы, перечни распространяются на информацию, относящуюся к этому заказу. Перечни сведений, составляющих комическую тайну, составляются руководством фирмы при участии сотрудников службы безопасности.

Другие нормативные документы определяют максимально допустимые значения уровней полей с информацией и концентрации демаскирующих веществ на границах контролируемой зоны, которые обеспечивают требуемый уровень безопасности информации. Эти нормы разрабатываются

соответствующими ведомствами, а для коммерческих структур, выполняющих негосударственные заказы, - специалистами этих структур.

Работа по защите информации в организации проводится всеми сотрудниками, но степень участия различных категорий существенно отличается. Любой сотрудник, подписавший обязательство о неразглашении тайны участвует в защите информации хотя бы путем выполнения руководящих документов о защите информации.

Ответственность за состояние защиты информации возлагается на соответствующее подразделение и лиц службы безопасности. Применительно к типовой структуре службы безопасности коммерческой структуры инженерно-техническая защита обеспечивается группой инженерно-технической защиты, которая, как вариант, может состоять из старшего инженера (инженера) - руководителя группы и инженера (техника) по специальным измерениям.

Основные задачи группы:

- обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования;

- выявление и оценка степени опасности технических каналов утечки информации;

- разработка мероприятий по ликвидации (предотвращению утечки) потенциальных каналов утечки информации;

- организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий, анализ результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты;

- подготовка заявок на приобретение технических средств защиты информации, участие в их установке, эксплуатации и контроле состояния.

Кроме того, на группу инженерно-технической защиты информации целесообразно возложить также технические вопросы охраны носителей информации.

3.2 Организационные и технические меры по инженерно- технической защите информации

В организациях работа по инженерно-технической защите информации включает два этапа:

- построение или модернизация системы защиты;

- поддержание защиты информации на требуемом уровне.

Построение системы защиты информации проводится во вновь создаваемых организациях, в остальных - модернизация существующей.

Построение (модернизация) системы защиты информации и поддержания на требуемом уровне ее защиты в организации предусматривают проведение следующих основных работ:

- уточнение перечня защищаемых сведений в организации, определение источников и носителей информации, выявление и оценка угрозы ее безопасности;

- определение мер по защите информации, вызванных изменениями

целей и задач защиты, перечня защищаемых сведений, угроз безопасности информации;

- контроль эффективности мер по инженерно-технической защите

информации в организации.

Меры по защите информации целесообразно разделить на 2 группы: организационные и технические. В публикациях, в том числе в некоторых руководящих документах, меры по защите делят на организационные, организационно-технические и технические. Учитывая отсутствие достаточно четкой границы между организационно-техническими и организационными, организационно-техническими и техническими мерами, целесообразно ограничиться двумя группами: организационными и техническими. При такой классификации к техническим относятся меры, реализуемые путем установки новых или модернизации используемых инженерных и технических средств защиты информации. Основу организационных мер инженерно-технической зашиты информации составляют меры, определяющие порядок использования этих средств.

Организационные меры инженерно-технической защиты информации включают, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом.

Регламентация - это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации.

Регламентация предусматривает:

- установление границ контролируемых и охраняемых зон;

- определение уровней защиты информации в зонах;

регламентация деятельности сотрудников и посетителей (разработка

распорядка дня, правил поведения сотрудников в организации и вне ее

и т. д.);

- определение режимов работы технических средств, в том числе сбора,

обработки и хранения защищаемой информации на ПЭВМ, передачи

документов, порядка складирования продукции и т. д.

Управление доступом к информации включает следующие мероприятия:

- идентификацию лиц и обращений;

- проверку полномочий лип и обращений;

- регистрацию обращений к защищаемой информации;

- реагирование на обращения к информации.

Идентификация пользователей, сотрудников, посетителей, обращений

к каналам телекоммуникаций проводится с целью их надежного опознавания.

Способы идентификации рассмотрены выше.

Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к информации уровень полномочий обращения не может быть ниже разрешенного. С целью обеспечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.

Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

Технические меры предусматривают применение способов и средств. рассмотренных в данной книге.

Важнейшее и необходимое направление работ по защите информации -контроль эффективности защиты. Этот вид деятельности проводится прежде всего силами службы безопасности, а также руководителями структурных подразделений. Контроль инженерно-технической зашиты является составной частью контроля защиты информации в организации и заключается, прежде всего, в определении (измерении) показателей эффективности защиты техническими средствами и сравнении их с нормативными.

Применяют следующие виды контроля:

- предварительный;

- периодический;

- постоянный.

Предварительный контроль проводится при любых изменениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:

- после установки нового технического средства защиты или изменении организационных мер;

- после проведения профилактических и ремонтных работ средств защиты;

- предотвращение использование поддельных документов и документов лицами, которым они не принадлежат.

- после устранения выявленных нарушений в системе защиты.

Периодический контроль осуществляется с целью обеспечения систематического наблюдения за уровнем зашиты. Он проводится выборочно (применительно к отдельным темам работ, структурным подразделениям или

всей организации) по планам, утвержденным руководителем организации,

а также вышестоящими органами.

Наиболее часто должен проводиться периодический контроль на химических предприятиях, так как незначительные нарушения в технологическом процессе могут привести к утечке демаскирующих веществ. Для определения концентрации демаскирующих веществ регулярно берутся возле предприятия пробы воздуха, воды, почвы, снега, растительности.

Периодичность и места взятия проб определяются характером производил с учетом условий возможного распространения демаскирующих веществ, например, розы ветров и скорости воздушных потоков, видов водоемов (искусственный, озеро, болото, река и др.), характера окружающей местности и т. д. Пробы воздуха рекомендуется брать с учетом направлений ветра на высоте примерно 1.5 м в непосредственной близости от границ территории (50-100 м) и в зоне максимальной концентрации демаскирующих веществ, выбрасываемых в атмосферу через трубы. Пробы воды берутся в местах слива в водоемы к поверхностном слое и на глубине 30-50 см с последующим смешиванием. Берутся также пробы почвы и пыли на растительности. С этой целью собирают листья с нескольких деревьев и кустов на уровне 1.5-2 м от поверхности и не ранее недели после дождя.

Периодический (ежедневный, еженедельный, ежемесячный) контроль должен проводиться также сотрудниками организации в части источников информации, с которыми они работают.

Общий (в рамках всей организации) периодический контроль проводится обычно 2 раза в год. Целью его является тщательная проверка работоспособности всех элементов и системы защиты информации в целом.

Постоянный контроль осуществляется выборочно силами службы безопасности и привлекаемых сотрудников организации с целью объективной оценки уровня зашиты информации и. прежде всего, выявления слабых мест в системе защиты организации. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников организации, вынуждая их более тщательно выполнять требования по обеспечению защиты информации.

Меры контроля, также как и защиты, представляют совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по защите информации. Организационные меры контроля включают:

- проверку выполнения сотрудниками требований руководящих

документов по защите информации;

- проверку работоспособности средств охраны и защиты информации

от наблюдения, подслушивания, перехвата и утечки информации по

материально-вещественному каналу (наличие занавесок, штор, жалюзей на окнах, чехлов на разрабатываемых изделиях, состояние звукоизоляции, экранов, средств подавления опасных сигналов и зашумления, емкостей для сбора отходов с демаскирующими веществами и т. д.);

- контроль за выполнением инструкций по защите информации о разрабатываемой продукции;

- оценка эффективности применяемых способов и средств зашиты

информации.

Технические меры контроля проводятся с использованием технических

средств радио - и электроизмерений, физического и химического анализа и обеспечивают проверку:

- напряженности полей с информацией на границах контролируемой зоны;

- уровней опасных сигналов и помех в проводах и экранах кабелей, выходящих за пределы контролируемой зоны;

- концентрации демаскирующих веществ в отходах производства.

- степени зашумления генераторами помех структурных звуков в ограждениях;

Для измерения напряженности электрических полей используются селективные вольтметры, анализаторы спектра, панорамные приемники.

Следует также отметить, что добросовестное и постоянное выполнение сотрудниками организации требований по защите информации основываете на рациональном сочетании способов принуждения и побуждения.

Принуждение - способ, при котором сотрудники организации вынуждены соблюдать правила обращения с источниками и носителями конфиденциальной информации под угрозой материальной, административной или уголовной ответственности.

Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требований по защите информации, формирование моральных, этических, психологических и других нравственных мотивов. Воспитание побудительных мотивов у сотрудников организации является одной из задач службы безопасности, но ее усилия найдут благодатную почву у тех сотрудников, которые доброжелательно относятся к руководству организации и рассматривают организацию как долговременное место работы. Создание условий, при которых место работы воспринимается как второй дом, является, по мнению компетентных аналитиков, одним из факторов экономического роста Японии. Поэтому эффективность защиты в значительной степени влияет климат в организации, который формируется ее руководством.

Выводы по разделу

Любая система создается под заданные требования с учетом существующих ограничений. Факторы, влияющие на структуру и функционирование системы, называются системообразующими.

Порядок защиты информации в организации определяется соответствующим руководством (инструкцией).

Для защиты информации об изделии на каждом этапе его создания разрабатывается соответствующая инструкция. Инструкция должна содержать необходимые для обеспечения безопасности информации сведения, в том числе: общие сведения о наименовании образца, защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц. ответственных за безопасность информации.

Ответственность за состояние защиты информации возлагается на соответствующее подразделение и лиц службы безопасности.

Регламентация - это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации.

Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

Периодический (ежедневный, еженедельный, ежемесячный) контроль должен проводиться также сотрудниками организации в части источников информации, с которыми они работают.

Заключение

Подводя итоги, хотелось бы отметить, что организация защиты информации в организации на данном этапе имеет достаточно сильную нормативно-правовую базу, в которой учитывается возможность пресечения большинства каналов проникновения злоумышленников, регламентируются меры по организации системы защиты на предприятии.

В данной курсовой работе показано как осуществляется организация офисной деятельности, что представляет собой организация и из каких элементов она состоит.

Основные направления обеспечения безопасности информационных ресурсов, расписанные в данной работе, позволяют увидеть, что следует подразумевать под конфиденциальной информацией, какие организационные и технические меры следует предпринять начальнику службы безопасности, чтобы минимизировать угрозу целостности и конфиденциальности информации, циркулирующей в организации. Ведь как указывалось во введении- никакая, даже самая совершенная в организационном плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию.

Вопросы защиты информации, описанные в данной работе, рассматриваются в широком диапазоне современных проблем и затрагивают организационные и технологические сферы защиты как документированной информации (на бумажных и технических носителях), циркулирующей в традиционном или электронном документообороте, так и недокументированной информации.

Список использованной литературы

1) Привес М. Г. Анатомия человека. - С.-П. «МЕДИЦИНА», 1994.

2) Теория управления социалистическим производством: учеб. / под ред. О. В. Козловой. М.: Экономика, 1979..

3) Афанасьев В. Г. Человек в управлении обществом. М.: Политиздат, 1977.

4) Торокин А.А. Основы инженерно-технической защиты информации. - М.: Издательство «Ось-89».1998