Главная страница - Конъюнктурный анализ средств безопасности

ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ



Техническое обеспечение безопасности должно базироваться на:• системе стандартизации и унификации;• системе лицензирования деятельности;• системах сертификации средств защиты;• системе сертификации технических средств и объектов информатизации;• системе аттестации защищенных объектов информатизации.Основными составляющими обеспечения безопасности ресурсов коммерческого предприятия являются:• система физической защиты (безопасности) материальных объекте и финансовых ресурсов;• система безопасности информационных ресурсов.Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:- систему инженерно-технических и организационных мер охраны;- систему регулирования доступа;- систему мер (режима) и контроля вероятных каналов утечки информации;- систему мер возврата материальных ценностей.Система охранных мер должна предусматривать:• многорубежность построения охраны (территории, здания, помещения) по нарастающей к наиболее ценной оберегаемой конкретности;• комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;• надежное инженерно-техническое перекрытие вероятных путей несанкционированного вторжения в охраняемые пределы;• устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;• высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию преступным действиям;• самоохрану персонала.Система регулирования доступа должна предусматривать:• объективное определение "надежности" лиц, допускаемых к работе;• максимальное ограничение количества лиц, допускаемых на объекты коммерческого предприятия;• установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;• четкое определение порядка выдачи разрешений и оформления документов для входа (въезда) на объект;• определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;• оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;• высокую подготовленность и защищенность персонала (нарядов) контрольно-пропускных пунктов.Система мер (режим) сохранности ценностей и контроля должна предусматривать:• строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения финансов);• максимальное ограничение посещений режимных зон лицами, не участвующими в работе;• максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;• организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности;• организацию тщательного контроля любых предметов и веществ перемещаемых за пределы режимных зон;• обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;• соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;• организацию тщательного контроля на каналах возможной утечки информации;• оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.Система мер возврата утраченных материальных и финансовых ресурсов слагается из совместных усилий объектовых служб безопасности и государственных органов охраны правопорядка и безопасности.На объектовую службу безопасности возлагаются:• обнаружение противоправного изъятия материальных и финансовых средств из обращения или хранения;• оперативное информирование правоохранительных органов о событиях и критических ситуациях;• установление субъекта преступления;• проведение поиска возможного "схоронения" утраченных средств в районе объекта.Дальнейший поиск и возврат пропавших ресурсов организуются в установленном порядке через соответствующие органы правопорядка и безопасности.Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:• защита информационных ресурсов от разглашения; от хищения, уничтожения, искажения и подделки за счет несанкционированного доступа и специальных воздействий;• защита информации от утечки вследствие наличия физических полей за счет ПЭМИН (побочные электромагнитные излучения и наводки) на электрические цепи, трубопроводы и конструкции зданий.В рамках указанных направлений технической политики обеспечения информационной безопасности необходимы:• реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;• ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатизации, на которых обрабатывается (хранится) информация конфиденциального характера;• разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;• учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;• криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;• снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;• снижение уровня акустических излучений;• электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;• активное зашумление в различных диапазонах;• противодействие оптическим и лазерным средствам наблюдения;• проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств ("жучков");• предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.Защита информационных ресурсов от несанкционированного доступа должна предусматривать:• обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;• персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;• надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;• разграничение информации по уровню конфиденциальности, заключающееся в предупреждении размещения сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;• контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;• очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;• целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающуюся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям. В ней устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы)! для каких действий или для какого вида доступа может предоставить и при каких условиях. Система допуска предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.Персональная ответственность достигается путем:• росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;• индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;• проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности при доступе как в автоматизированные системы, так и в выделенные помещения (зоны).Условие надежности хранения реализуется с помощью:• хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;• выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;• использования криптографического преобразования информации в автоматизированных системах.Правило разграничения информации по уровню конфиденциальности реализуется с помощью:• предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.Система контроля за действиями исполнителей реализуется посредством:• организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;• регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;• сигнализации о несанкционированных действиях пользователей.Очистка памяти осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и организационных мероприятий.Защита информации от утечки за счет ПЭМИН.Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до уровня, определяемого "Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН", при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.Первый способ реализуется выбором системно-технических и конструкторских решений при создании технических средств ЭВТ в "защищенном исполнении", а также рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.Второй способ реализуется в основном за счет применения активных средств защиты в виде "генераторов шума" и специальной системы антенн.Защита информации в линиях связи.К основным видам линий связи, используемых для передачи информации, можно отнести проводные (телефонные, телеграфные), радио- и радиорелейные, тропосферные и космические линии связи.При необходимости передачи по ним конфиденциальной информации основным способом защиты ее от перехвата, искажения и навязывания ложной информации является использование криптографического преобразования информации, а на небольших расстояниях, кроме того, — использование защищенных волоконно-оптических линий связи.Безопасное использование технических средств информатизации.Одним из методов технической разведки и промышленного шпионажа является внедрение в конструкцию различных технических средств закладных устройств перехвата, трансляции информации или вывода технических средств из строя.В целях противодействия такому методу воздействия на объекты технических средств информатизации, предназначенных для обработки конфиденциальной информации, в обязательном порядке проводится проверка этих средств, осуществляемая специализированными организациями с помощью специального оборудования, как правило, в стационарных условиях в соответствии с установленными требованиями.Защита речевой информации при проведении конфиденциальных переговоров.Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения закладных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами.Обеспечение качества работ в системе безопасности.Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно-технических и методических документов по безопасности, утвержденных федеральными органами государственного управления в соответствии с их компетенцией и определяющих нормы защищенности информации и требования к различным направлениям защиты информации.В соответствии с этими требованиями должны проводиться предпроектное обследование и проектирование информационных систем, заказ средств защиты информации и контроля, предполагаемых к использованию в этих системах, аттестация объектов информатики, а также контроль защищенности информационных ресурсов.К основным стандартам и нормативно-техническим документам в области защиты информации от НСД относятся: комплект руководящих документов Гостехкомиссии России (1992 г.), в том числе "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации", "Положение по организации разработки, изготовления и эксплуатации программ и технических средств защиты информации от НСД в АС и ЭВТ".В совокупности с системой стандартизации единую систему обеспечения качества продукции и услуг по требованиям безопасности информации составляют:• сертификация средств и систем вычислительной техники и связи по требованиям безопасности информации;• лицензирование деятельности по оказанию услуг в области защиты информации;• аттестация средств автоматизации объектов по требованиям безопасности информации.В соответствии с требованиями, право оказывать услуги сторонним организациям в области защиты информации, предоставлено только организациям, имеющим на этот вид деятельности разрешение (лицензию). Средства и системы вычислительной техники и связи, предназначенные для обработки (передачи) секретной информации, средства защиты и контроля эффективности защиты такой информации, подлежат обязательной сертификации по требованиям безопасности информацию. А объекты информатики, предназначенные для обработки секретной и иной конфиденциальной информации, а также для ведения секретных переговоров, подлежат обязательной аттестации по требованиям безопасности информации.При разработке системы комплексной защиты информации объекта необходимо максимально использовать имеющиеся сертифицированные по требованиям безопасности информации средства вычислительной техники и связи, средства защиты и контроля защищенности, разрабатывая или заказывая оригинальные технические или программные средства защиты только в случаях, когда имеющимися средствами нельзя достигнуть необходимых результатов. Исходя из этого, при разработке автоматизированных систем различного уровня и назначения, серьезное внимание следует уделить выбору технических средств и общесистемного матобеспечения. Этими же обстоятельствами следует руководствоваться при выборе стратегии развития систем информатизации.

Владимир Ярочкин




Похожие по содержанию материалы раздела: Книга "Секьюритология – наука о безопасности жизнедеятельности" Оборотни в шевронах, или Как обезопасить свою безопасность? Как защититься от маньяка Интернет-мошенники Силовики vs бандиты Россияне врут больше и искуснее всех Охрана авторского права и смежных прав в цифровой среде Интеллектуальная собственность как инструмент решения проблем экономической безопасности предприятия Что делать, если вас обвиняют в вождении в нетрезвом виде "Горячая тема": о ситуации в охранном бизнесе из Самары Кому выгодны двойные стандарты Горе собутыльникам из полиции! Управление по связям с общественностью Право жить в безопасном мире дорогого стоит Сколько стоит теракт: убийства обходятся в разы дешевле, чем борьба с терроризмом Аутсорсинг по-русски: удобная схема налоговой экономии Кровавые уроки Кто ответит за однодневки? Зарядка для мозгов

(c) 2008
Видеонаблюдение,
охранная и
пожарная сигнализация