WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!


Pages:     | 1 |   ...   | 2 | 3 || 5 | 6 |   ...   | 10 |

- организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам ра боты с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

- организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

- организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

- организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

- организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

- определение границ охраняемой зоны (территории);

- определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;

- определение «опасных», с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;

- выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;

- реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.

Организационные мероприятия выражаются в тех или иных ограничительных мерах.

Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.

Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.

Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.

Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.

Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.

Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей.

Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Средства инженерно-технической защиты По функциональному назначению средства инженерно-технической защиты классифицируются на следующие группы:

физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;

аппаратные средства. Приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации.

программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных;

криптографические средства, специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Очевидно, что такое деление средств защиты информации достаточно условно, так как на практике очень часто они и взаимодействуют и реализуются в комплексе в виде программноаппаратных модулей с широким использованием алгоритмов закрытия информации.

Физические средства это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников.

К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.

Эти средства применяются для решения следующих задач:

- охрана территории предприятия и наблюдение за ней;

- охрана зданий, внутренних помещений и контроль за ними;

- охрана оборудования, продукции, финансов и информации;

- осуществление контролируемого доступа в здания и помещения.

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз. Заборы вокруг объектов - это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов и др.). Средства пожаротушения относятся к системам ликвидации угроз.



В общем плане, по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:

- охранные и охранно-пожарные системы;

- охранное телевидение;

- охранное освещение;

- средства физической защиты.

Аппаратные средства защиты К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.

Аппаратные средства защиты информации применяются для решения следующих задач:

- проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;

- выявление каналов утечки информации на разных объектах и в помещениях;

- локализация каналов утечки информации;

- поиск и обнаружение средств промышленного шпионажа;

- противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.

В особую группу выделяются аппаратные средства защиты ЭВМ и коммуникационных систем на их базе.

Аппаратные средства защиты применяются как в отдельных ПЭВМ, так и на различных уровнях и участках сети: в центральных процессорах ЭВМ, в их оперативных ЗУ (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и др.

Для защиты центральных процессоров (ЦП) применяется кодовое резервирование - создание дополнительных битов в форматах машинных команд (разрядов секретности) и резервных регистров (в устройствах ЦП). Одновременно предусматриваются два возможных режима работы процессора, которые отделяют вспомогательные операции от операций непосредственного решения задач пользователя. Для этого служит специальная система прерывания, реализуемая аппаратными средствами.

Одной из мер аппаратной защиты ЭВМ и информационных сетей является ограничение доступа к оперативной памяти с помощью установления границ или полей. Для этого создаются регистры контроля и регистры защиты данных. Применяются также дополнительные биты четности - разновидность метода кодового резервирования.

Для обозначения степени конфиденциальности программ и данных, категорий пользователей используются биты, называемые битами конфиденциальности (это два-три дополнительных разряда, с помощью которых кодируются категории секретности пользователей, программ и данных).

Для предотвращения считывания оставшихся после обработки данных в ОЗУ применяется специальная схема стирания. В этом случае формируется команда на стирание ОЗУ и указывается адрес блока памяти, который должен быть освобожден от информации. Эта схема записывает нули или какую-нибудь другую последовательность символов во все ячейки данного блока памяти, обеспечивая надежное стирание ранее загруженных данных.

Аппаратные средства защиты применяются и в терминалах пользователей. Для предотвращения утечки информации при подключении незарегистрированного терминала необходимо перед выдачей запрашиваемых данных осуществить идентификацию (автоматическое определение кода или номера) терминала, с которого поступил запрос. В многопользовательском режиме этого терминала идентификации его недостаточно. Необходимо осуществить аутентификацию пользователя, то есть установить его подлинность и полномочия. Это необходимо и потому, что разные пользователи, зарегистрированные в системе, могут иметь доступ только к отдельным файлам и строго ограниченные полномочия их использования.

Для идентификации терминала чаще всего применяется генератор кода, включенный в аппаратуру терминала, а для аутентификации пользователя — такие аппаратные средства, как ключи, персональные кодовые карты, персональный идентификатор, устройства распознавания голоса пользователя или формы его пальцев. Но наиболее распространенными средствами ау тентификации являются пароли, проверяемые не аппаратными, а программными средствами опознавания.

Программные средства защиты.

Средства защиты компьютера от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы, как:

Средства собственной защиты, предусмотренные общим программным обеспечением. Элементы защиты присущие самому программному обеспечению или сопровождающие его продажу.

Средства защиты в составе вычислительной системы. Защита аппаратуры, дисков и штатных устройств. Выполнение программ зависит от определенных действий, специальных мер предосторожности.

Средства защиты с запросом информации. Требуют ввода дополнительной информации с целью идентификации полномочий пользователя.

Средства активной защиты. Инициируются при возникновении особых обстоятельств (ввод неправильного пароля и т.д.).

Средства пассивной защиты. Направлены на предостережение, контроль, поиск улик и т.д.

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации:

- защита информации от несанкционированного доступа;

- защита информации и программ от копирования;

- защита информации и программ от вирусов;

- программная защита каналов связи.





По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.

Программные средства защиты имеют следующие разновидности специальных программ:

- идентификация технических средств, файлов и аутентификации пользователей;

- регистрация и контроль работы технических средств и пользователей;

- обслуживание режимов обработки информации ограниченного пользования;

- защита операционных средств ЭВМ и прикладных программ пользователей;

- уничтожение информации в ЗУ после использования;

- контроль использования ресурсов;

- вспомогательные программы защиты различного назначения.

Криптографические средства защиты Преобразование математическими методами передаваемого по каналам связи секретного сообщения, телефонного разговора или компьютерных данных таким образом, что они становятся совершенно непонятными для посторонних лиц.

Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий помещений и технических средств, потенциально образующих каналы утечки информации.

В этих целях возможно использование:

технических средств пассивной защиты, например фильтров ограничителей и тому подобных средств развязки акустических электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио и др.

технических средств активной защиты: датчиков акустических шумов и электромагнитных помех.

Организационно-технические мероприятия по защите информации можно подразделить на пространственные, режимные и энергетические.

Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС).

Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и др.

Энергетические это снижение интенсивности излучения и работа РЭС на пониженных мощностях.

Технические мероприятия это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИ которых не превышают границу охраняемой территории.

Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию.

Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.

Подавление это создание активных помех средствам злоумышленников.

Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующие признаков деятельности и опознавания.

Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств фильтров и устройств зашумления.

3.3. Система защиты информации Под Системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз Рис. 10.

Система безопасности Задачи Восстановление Разработка Формирование, объектов планов и мер обеспечение и защиты по защите развитие информ.

органов, сил и средств обеспечения безопасности Цели Предотвра- НейтралиВыявление Пресечение щение зация Локализа- УничтожеОтражение ция ние Угрозы Рис. Система защиты информации (СЗИ) – это организованная совокупность специальных органов средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

1. Непрерывной.

2. Плановой. Каждая служба разрабатывает план защиты информации в сфере своей компетенции.

3. Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели.

4. Конкретной. Защищаются конкретные данные, объективно подлежащие защите.

5. Активной.

6. Надежной.

7. Универсальной. Распространяется на любые каналы утечки информации.

8. Комплексной. Применяются все необходимые виды и формы защиты.

Для реализации данных требований СЗИ может иметь следующее обеспечение:

1. Правовое.

2. Организационное. Различные виды служб.

3. Аппаратное. Технические средства защиты информации.

4. Информационное. Сведения, данные, показатели.

5. Программное. Программы.

6. Математическое. Математические методы.

7. Лингвистическое. Языковые средства общения.

8. Нормативно-методическое. Регламент деятельности служб, практические методики.

Способы - это порядок и приемы использования сил и средств для достижения поставленной цели по защите конфиденциальной информации.

Pages:     | 1 |   ...   | 2 | 3 || 5 | 6 |   ...   | 10 |










© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.