Itmo_Upravlenie_IB готовый. 1. Место информационной безопасности в системе национальной безопасности
 Скачать 453.88 Kb.
|
|
23.Способы и средства защиты информации от утечки по техническим каналам. Защита информации от утечки по техническим каналам достигается проектно-архитектурными решениями, проведением организационных и технических мероприятий, а также выявлением портативных электронных устройств перехвата информации (закладных устройств) [39, 64]. Организационное мероприятие - это мероприятие по защите информации, проведение которого не требует применения специально разработанных технических средств. К основным организационным и режимным мероприятиям относятся [1, 39, 54, 64, 114 ]: • привлечение к проведению работ по защите информации организаций, имеющих лицензию на деятельность в области защиты информации, выданную соответствующими органами; • категорирование и аттестация объектов ТСПИ и выделенныхдля проведения закрытых мероприятий помещений (далее выделенных помещений) по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности; • использование на объекте сертифицированных ТСПИ и ВТСС; • установление контролируемой зоны вокруг объекта; • привлечение к работам по строительству, реконструкции объектов ТСПИ, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам; • организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения; • введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите; • отключение на период закрытых мероприятий технических средств, имеющих элементы, выполняющие роль электроакустических преобразователей, от линий связи и т.д. Техническое мероприятие - это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений. Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения портативных средств разведки или их датчиков до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки, и проводятся с использованием активных и пассивных средств. К техническим мероприятиям с использованием пассивных средств относятся [1, 14, 39, 54, 64, 114 ]: - контроль и ограничение доступа на объекты ТСПИ и в выделенные помещения: • установка на объектах ТСПИ и в выделенных помещениях технических средств и систем ограничения и контроля доступа. - локализация излучений: • экранирование ТСПИ и их соединительных линий; • заземление ТСПИ и экранов их соединительных линий; • звукоизоляция выделенных помещений. - развязывание информационных сигналов: • установка специальных средств защиты типа "Гранит" во вспомогательных технических средствах и системах, обладающих «микрофонным эффектом» и имеющих выход за пределы контролируемой зоны (см. рис. 1.1); • установка специальных диэлектрических вставок в оплетки кабелей электропитания, труб систем отопления, водоснабжения и канализации, имеющих выход за пределы контролируемой зоны (см. рис. 1.2); • установка автономных или стабилизированных источников электропитания ТСПИ; • установка устройств гарантированного питания ТСПИ (например, мотор-генераторов); • установка в цепях электропитания ТСПИ, а также в линиях осветительной и розеточной сетей выделенных помещений помехоподавляющих фильтров типа ФП (см. рис. 1.3 и 1.4). Ктехническим мероприятиям с использованием активных средств относятся [1, 39, 54, 64, 114 ]: - пространственное зашумление: • пространственное электромагнитное зашумление с использованием генераторов шума или создание прицельных помех (при обнаружении и определении частоты излучения закладного устройства или побочных электромагнитных излучений ТСПИ) с использованием средств создания прицельных помех (см. рис. 1.5 и 1.6 ); • создание акустических и вибрационных помех с использованием генераторов акустического шума (см. рис. 1.7 и 1.8); • подавление диктофонов в режиме записи с использованием подавителей диктофонов. - линейное зашумление: • линейное зашумление линий электропитания (см. рис. 1.9); • линейное зашумление посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны (см. рис. 1.10). - уничтожение закладных устройств: • уничтожение закладных устройств, подключенных к линии, с использованием специальных генераторов импульсов (выжигателей "жучков"). Выявление портативных электронных устройств перехвата информации (закладных устройств) осуществляется проведением специальных обследований, а также специальных проверок объектов ТСПИ и выделенных помещений. Специальные обследования объектов ТСПИ и выделенных помещений проводятся путем их визуального осмотра без применения технических средств. Специальная проверка проводится с использованием технических средств. При этом осуществляется: - выявление закладных устройств с использованием пассивных средств: • установка в выделенных помещениях средств и систем обнаружения лазерного облучения (подсветки) оконных стекол; • установка в выделенных помещениях стационарных обнаружителей диктофонов; • поиск закладных устройств с использованием индикаторов поля, интерсепторов, частотомеров, сканерных приемников и программно-аппаратных комплексов контроля; • организация радиоконтроля (постоянно или на время проведения конфиденциальных мероприятий) и побочных электромагнитных излучений ТСПИ. - выявление закладных устройств с использованием активных средств: • специальная проверка выделенных помещений с использованием нелинейных локаторов; • специальная проверка выделенных помещений, ТСПИ и вспомогательных технических средств с использованием рентгеновских комплексов. Защита информации от утечки по техническим каналам достигается проектно-архитектурными решениями, проведением организационных и технических мероприятий, и выявление портативных закладных устройств перехвата информации. Организационное мероприятие — это мероприятие проведение которого не требует специально разработанных технических средств. · Категорирование и аттестация объектов ТСПИ и выделенных помещений; · Использование сертифицированных ТСПИ и ВТСС; · Установление контролируемой зоны вокруг объекта; · Организация контроля и ограничения доступа на объекты ТСПИ и выделенные помещения; Технические мероприятия — это мероприятия направленные на закрытие каналов утечки путем ослабления уровня информационных сигналов в местах возможной установки технических средств разведки до величин, обеспечивающих невозможность выделения информационного сигнала. · Локализация излучений · Экранирование ТСПИ и их соединительных линий · Заземление ТСПИ и экранов их соединительных линий · Звукоизоляция выделенных помещений · Развязывание информационных сигналов · Установка специальных технических средств во ВТСС, обладающие «микрофонным эффектом» · Установка диэлектрических вставок в металлические конструкции ВТСС и посторонних проводников · Установка автономных или стабилизированных источников электропитания ТСПИ · Установка в цепях питания ТСПИ помехоподавляющих фильтров · Технические мероприятия с использованием активных средств · Пространственное зашумление может быть как электромагнитным (широкополосным или прицельным если известна частота на которой происходит утечка), так и акустических и вибрационных · Линейное зашумление линий электропередачи · Линейное зашумление посторонних проводников и соединительных линий ВТСС · Уничтожение закладных устройств с использованием специальных импульсных генераторов (так называемое выжигание закладок) ПЭМИ являются причиной возникновения электромагнитных и параметрических каналов утечки информации. Поэтому снижение уровня ПЭМИ является важной задачей. Эффективным методом снижения ПЭМИ является экранирование. Различают следующие способы: электростатическое, магнитостатическое и электромагнитное экранирование. Первые два способа заключаются в замыкании экраном (обладающего в первом случае высокой электропроводностью, а во втором случае магнитопроводностью) соответственно электрического и магнитного полей. Узкие щели и отверстия в металлическом экране, размеры которых малы в сравнении с длинной волны не влияют на качество экранирования. На высоких частотах применяются исключительно электромагнитное экранирование. Действие электромагнитного экрана основано на том, что высокочастотное электромагнитное поле ослабляется им же созданным (благодаря образующимся в толще экрана вихревым токам) полем обратного направления. Возможно применение сетчатых экранов. Экран изготовленный из низкоуглеродистой стальной сетки с ячейкой 2,5 3 мм, даёт ослабление 55-60 Децибел, Двойная на расстоянии 100 мм — 90 Дб. Из меди с ячеёй 2,5 мм — 65-70 Дб. Высокая эффективность экранирования достигается при использовании витой пары или витой пары помещенной в экран. Если длина провода превышает ¼ длины самой короткой из передаваемых по нему волн, то такой кабель должен рассматриваться как длинная линия, для уменьшения излучения она должна быть нагружены на сопротивление равное волновому сопротивлению линии. В противном случае в проводнике образуются стоячие волны ослабляющие сигнал и приводящие к излучению ПЭМИ. При параллельном расположении информационных и посторонних проводников так же необходима установка экранов. Экранироваться могут не только отдельные блоки или узлы но и помещение в целом. В обычных помещениях основной экранирующий эффект обеспечивают железобетонные конструкции. Экранирующие свойства дверей и окон хуже. При экранировании окон и дверей применяются такие технологии как токопроводящие лакокрасочные покрытия, шторы из металлизированной ткани, металлизированные стёкла устанавливаемы в металлические или металлизированные рамы. При закрытии окон и дверей должен обеспечиваться электрический контакт со стенами помещения. Для эффективного экранирования сетчатыми экранами размеры ячейки должны быть менее 0,1 размера длинны волны. 24.Принципы организации информационных систем в соответствии с требованиями по защите информации.
В результате все составные части объекта будут объеденены и согласованы по целям функционирования, по входным и результирующим документам и защите информации.
Проектирование информационных систем характеризуется высокой стоимостью, привлечением специалистов различных профилей. Принципы создания ИС бухгалтерской ориентации имеют свою специфику, которая предполагает выполнение следующих требований: · Ориентация на методику Министерства финансов РФ, стандартные методы учета и типовые формы бухгалтерского учета; · Модульное построение , ориентированное на участки учета; · Ориентация на класс предприятий и организаций (средние, малые, крупные) В соответствии с принципом непосредственного участия работников предприятия в процессе обследования и разработки ИС. Особую роль играет конечный пользователь, так как он принимает участие в обследовании предприятия и внедрение всех информационных технологий (способов и методов обработки информации). Его участие зависит от выбранного пути внедрения ИС: · Проектирование и внедрение ИС собственными силами или силами проектной организации; · Приобретение и внедрение готовой системы собственными силами или силами разработчика. Первый путь целесообразен в том случае, если специфика объекта управления не позволяет воспользоваться готовыми программными системами. Создание ИС собственными силами, как правило, происходит с привлечением консалтинговых фирм для изучения и описания существующих на предприятии бизнес-процессов. При создании ИС на этапе обследования предприятия, технико-экономического обоснования, разработки технического задания, технического и рабочего проектов и внедрения, роль пользователя особенно велика. На этапе составления технического задания он формулирует свои требования к будущему программному продукту, к формам входной информации и формам получения результатов. На стадии разработки технического проекта пользователь консультирует поставщиков задач в процессе составления алгоритмов их решения. Именно конечный пользователь создаваемой ИС (нормировщик, финансист, маркетолог, заведующий складом, начальник цеха и т.д.) может квалифицированно дать описание задачи или бизнес-процесса для своего рабочего места, поэтому на этапе обследования без активного участия конечного пользователя не обойтись. 25. Основные нормативные правовые акты в области информационной безопасности и защиты информации. Информационное законодательство представляет собой совокупность законов, иных нормативно-правовых актов, с помощью и посредствам которых государство устанавливает, изменяет либо прекращает действие соответствующих информационно-правовых норм. Информационное законодательство выступает главенствующей формой закрепления норм информационного права и важнейшим правообразующим фактором. Появление информационного законодательства в системе нормативно-правовых актов РФ свидетельствует о повышении роли государства в регулировании информационных отношений и придании им качества общественно значимых отношений. Систему информационного законодательства образуют различные законы и издаваемые в соответствии с ними иные нормативные правовые акты, посвященные прямому или опосредованному регулированию отношений, объектом которых является информация, производные от нее продукты и связанная с ними деятельность. Системы информационного законодательства включает в себя правовые акты федеральных органов и органов субъектов РФ. Среди правовых актов федеральных органов главное место занимают федеральные законы. Они обладают высшей юридической силой, регулируют наиболее важные, основополагающие отношения и содержат информационно-равовые нормы исходного характера, которые рассчитаны на постоянное либо длительное действие. Нормативные акты, не относящиеся к категории законов, являются подзаконными. В их число входят нормативные акты Президента РФ, Правительства РФ, ведомственные нормативные акты. Многие из них носят комплексный характер, но включают в себя и правила информационно-правового содержания. Указы Президента РФ – основные акты осуществления компетенции Президента РФ, непосредственно закрепленной в Конституции РФ и вытекающей из основополагающих принципов разделения властей. Правовые акты Правительства РФ издаются главным образом тогда, когда в законе есть на то прямые указания либо дано конкретное поручение Президента РФ. Ведомственные акты издаются на основе законов, указов президента и актов правительства. Они представляют собой управленческие акты органов специальной компетенции. Их юридическая сила зависит от функций издавшего их органа и специфики государственного управления информационной сферой. На уровне субъектов РФ применяются все те же формы выражения информационного права, что и на федеральном уровне (законы субъектов РФ, постановления органов исполнительной власти, акты отраслевых и территориальных органов управления). Наряду с актами законодательства и подзаконными нормативными актами существуют так называемые локальные нормативные акты Они, как правило, представляют собой приказы и распоряжения нормативного и индивидуального значения, принимаемые руководителями различных организаций. С помощью локальных актов регулируются самые различные информационные вопросы, например, порядок конфиденциального делопроизводства, допуска сотрудников к служебной и коммерческой тайнам, порядок организации защиты коммерческой тайны в организации и т. п. В систему информационного законодательства следует включить и международно-правовые акты, предметом регулирования которых являются информационные отношения. Несмотря на то, что информационное законодательство находится на этапе своего становления, уже сегодня можно говорить о наличии некой его упорядоченности. В основу этой упорядоченности положен принцип иерархии, выражающийся в соподчиненности актов различного уровня. Первый уровень, который можно условно назвать конституционным, отражает ведущую роль Конституции в информационно-правовом нормотворчестве. Он представлен рядом конституционных норм. Второй уровень нормативных правовых актов составляют акты информационного законодательства. Специфика данного уровня состоит в том, что федеральные законы, регулирующие отношения в информационной среде, а равно иные принятые в соответствии с ними нормативные акты подчинены Конституции и не могут ей противоречить. Среди законов выделяют базовый для информационной сферы федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», пришедший на смену ФЗ от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации». Новым законом регулируются три группы взаимосвязанных между собой отношений, складывающихся: – при осуществлении права на поиск, получение, передачу, производство и распространение информации; – применении информационных технологий; – обеспечении защиты информации (ЗИ). К актам информационного законодательства федерального уровня относится и ФЗ от 29.11.1994 № 77-ФЗ «Об обязательном экземпляре документов». Данный нормативный акт определяет политику государства в области формирования обязательного экземпляра документов как ресурсной базы комплектования библиотечно-информационного фонда РФ и развития системы государственной библиографии, предусматривает обеспечение сохранности обязательного экземпляра документов, его общественное использование. Этим законом установлены виды обязательного экземпляра документов в категории их производителей и получателей, сроки и порядок доставки обязательного экземпляра документов, ответственность за их нарушение. Видное место среди законов, регулирующих отношения в информационной среде, занимает закон РФ от 27.12.1991 № 2124 – 1 «О средствах массовой информации», представляющий собой комплексный нормативный акт, регламентирующий отношения, возникающие в процессе организации и функционирования средств массовой информации (СМИ). В основных разделах закона нашли правовое опосредование вопросы организации деятельности СМИ, распространения массовой информации, отношений СМИ с гражданами и организациями, прав и обязанностей журналиста, межгосударственного сотрудничества в области массовой информации, ответственности за нарушение законодательства о СМИ. Особое место среди нормативных актов, регулирующих отношения по поводу информации, принадлежит закону РФ от 21.07.1993 № 5485 – 1 «О государственной тайне». Один из законов, регулирующих отношения в информационной сфере, – ФЗ от 07.07.2003 № 126-ФЗ «О связи». Он устанавливает правовую основу деятельности в области связи, осуществляемой под юрисдикцией РФ, определяет полномочия органов государственной власти по регулированию этой деятельности, а также права и обязанности физических лиц, осуществляющих деятельность в области связи. К законам, регулирующим информационные отношения, также относится и ФЗ от 06.04.2011 № 63-ФЗ «Об электронной подписи». Его цель – обеспечение правовых условий использование электронной подписи в электронных документах. Отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников отношений, в том числе государства, на рынке товаров, работ и услуг, регулируются ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне». К нормативным актам данной проблематики относятся федеральные законы: – от 13.01.1995 № 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации»; – от 12.05.2009 № 95-ФЗ «О гарантиях равенства парламентских партий при освещении их деятельности государственными общедоступными телеканалами и радиоканалами»; – от 27.07.2006 № 152-ФЗ «О персональных данных»; – от 28.12.2010 № 390-ФЗ «О безопасности»; – от 28.07.2012 № 139-ФЗ «О внесении изменений в федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты». Помимо названных выше существует множество законов, непосредственно не направленных на регулирование информационных отношений, но содержащих отдельные статьи, посвященные информации или связанные с ней. К числу следует отнести следующие федеральные законы: от 13.03.2006 № 38 -ФЗ «О рекламе»; от 29.12.1994 № 78-ФЗ «О библиотечном деле»; от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»; от 17.07.1999 № 176-ФЗ «О почтовой связи»; от 17.08.1995 № 147-ФЗ «О естественных монополиях»; от 21.02.1992 № 2395-1 «О недрах». Часть норм, касающихся информационных отношений, содержатся в Гражданском кодексе РФ (ГК РФ). Так, ст. 150 относит личную и семейную тайну к нематериальным благам, ст. 726 устанавливает обязанность подрядчика передать информацию заказчику, ст. 857 посвящается банковской тайне, ст. 946 – тайне страхования. Четвертая часть ГК РФ направлена на регулирование отношений в области охраны прав на результаты интеллектуальной деятельности. Среди подзаконных нормативных актов, регулирующих отношения в информационной сфере, можно выделить следующие: а) указы Президента: – от 11.02.2006 № 90 «О перечне сведений, отнесенных к государственной тайне»; – от 06.10.2004 № 1286 «Вопросы межведомственной комиссии по защите государственной тайны»; – от 17.05.2004 № 611 «О мерах по обеспечению безопасности РФ в сфере международного информационного обмена»; – от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»; – от 15.01.2913 № 31/с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ». б) постановления Правительства: – от 12.02.2003 № 98 «Об обеспечении доступа к информации о деятельности Правительства РФ и федеральных органов исполнительной власти»; – от 27.05.2002 № 348 «Об утверждении Положения о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»; – от 18.02.2005 № 87 «Об утверждении перечня наименований услуг связи, вносимых в лицензии, и перечней лицензионных условий»; – от 22.08.1908 № 1003 «О порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне»; – от 28.10.1995 № 1050 «Об утверждении Инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне»; – от 26.10.2012 № 1101 «О создании единой автоматизированной системе «Единый реестр доменных имен, указателей страниц, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в РФ запрещено». Наряду с указами Президента РФ и постановлениями Правительства источниками информационного права выступают акты центральных органов государственного управления РФ (ведомственные нормативно-правовые акты). В области информационных отношений существует значительное их количество. Тематика и направленность данных актов зависит от компетенции издавшего их органа. Так, приказом Федеральной службы безопасности (ФСБ) РФ от 13.11.1999 № 564 утверждено «Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну», которое определяет организационную структуру системы сертификации, порядок проведения сертификации и инспекционного контроля, требования к нормативным и методическим документам по сертификации, а также виды средств защиты информации, подлежащих сертификации. Приказом ФСБ РФ от 09.02.2005 № 66 утверждено «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации)». Важный элемент системы законодательства РФ в информационной сфере – международные соглашения. В соответствии с ч. 4 ст. 15 Конституции РФ нормы международных договоров обладают приоритетом по отношению к противоречащим им правилам внутригосударственных законов. Это относится как к многосторонним, так и к двусторонним договорам. Особое место среди многочисленных многосторонних соглашений, содержащих информационные нормы, занимают: – «Всеобщая декларация прав человек» от 10.12.1948; – «Международный пакт о гражданских и политических правах» от 10.12.1966; – «Заключительный акт совещания по безопасности и сотрудничеству в Европе» от 01.08.1975. В этих документах нашли свое воплощение международные принципы и стандарты, провозглашающие право на свободу информации, которые, однако, налагают особые обязанности и особую ответственность, сопряженные с некоторыми ограничениями прав и свобод. Важнейший документ, посвященный организации и активизации деятельности международного сообщества в области формирования глобального информационного общества, – «Окинавская хартия глобального информационного общества», принятая в июле 2000 г. представителями восьми ведущих стран. Этот документ устанавливает основные принципы вхождения государств в глобальное информационное общество. 26.Отечественные и зарубежные стандарты в области компьютерной безопасности. Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам. Стандарты в области информационной безопасности выполняют следующие важнейшие функции: - выработка понятийного аппарата и терминологии в области информационной безопасности - формирование шкалы измерений уровня информационной безопасности - согласованная оценка продуктов, обеспечивающих информационную безопасность - повышение технической и информационной совместимости продуктов, обеспечивающих ИБ - накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем - функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения. Благодаря стандартам информационной безопасности: Преимущества использования стандартов ИБ разными группами ИТ-сообщества Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются: - повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений; - обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг); - содействие соблюдению требований технических регламентов; - создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации. Основными областями стандартизации информационной безопасности являются:
Стандарты информационной безопасности имеют несколько классификаций: Различные классификации стандартов информационной безопасности Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения». Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.
27.Принципы и методы организационной защиты информации. К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуата ции КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС. Основные свойства методов и средств организационной защиты: ● обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации); ● объединение всех используемых в КС средств в целостный механизм защиты информации. Методы и средства организационной защиты информации включают в себя: ● ограничение физического доступа к объектам КС и реализация режимных мер; ● ограничение возможности перехвата ПЭМИН; ● разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок); ● резервное копирование наиболее важных с точки зрения утраты массивов документов; ● профилактику заражения компьютерными вирусами Перечислим основные виды мероприятий, которые должны проводиться на различных этапах жизненного цикла КС: 1)на этапе создания КС: при разработке ее общего проекта и проектов отдельных структурных элементов — анализ возможных угроз и методов их нейтрализации; при строительстве и переоборудовании помещений — приобретение сертифицированного оборудования, выбор лицензированных организаций; при разработке математического, программного, информационного и лингвистического обеспечения — использование сертифицированных программных и инструментальных средств; при монтаже и наладке оборудования — контроль за работой технического персонала; при испытаниях и приемке в эксплуатацию — включение в состав аттестационных комиссий сертифицированных специалистов; 2)в процессе эксплуатации КС — организация пропускного режима, определение технологии автоматизированной обработки документов, организация работы обслуживающего персонала, распределение реквизитов разграничения доступа пользователей к элементам КС (паролей, ключей, карт и т.п.), организация ведения протоколов работы КС, контроль выполнения требований служебных инструкций и т.п.; 3)мероприятия общего характера — подбор и подготовка кадров, организация плановых и предупреждающих проверок средств защиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т. п. Инженерно-технические (физические) методы и средства защиты информации Под инженерно-техническими (физическими) средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивающие: ● защиту территории и помещений КС от проникновения нарушителей; ● защиту аппаратных средств КС и носителей информации от хищения; ● предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств КС; ● предотвращение возможности перехвата ПЭМИН, вызванных работающими техническими средствами КС и линиями передачи данных; ● организацию доступа в помещения КС сотрудников; ● контроль над режимом работы персонала КС; ● контроль над перемещением сотрудников КС в различных производственных зонах; ● противопожарную защиту помещений КС; ● минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий. Важнейшей составной частью инженерно-технических средств защиты информации являются технические средства охраны, которые образуют первый рубеж защиты КС и являются необходимым, но недостаточным условием сохранения конфиденциальности и целостности информации в КС. Рассмотрим немного подробнее методы и средства защиты информации от утечки по каналам ПЭМИН. Основной задачей является уменьшение соотношения сигнал/шум в этих каналах до предела, при котором восстановление информации становится принципиально невозможным. Возможными методами решения этой задачи могут быть: 1) снижение уровня излучений сигналов в аппаратных средствах КС; 2) увеличение мощности помех в соответствующих этим сигналам частотных диапазонах. Для применения первого метода необходим выбор системно-технических и конструкторских решений при создании технических средств КС в защищенном исполнении, а также рациональный выбор места размещения этих средств относительно мест возможного перехвата ПЭМИН (для соблюдения условия максимального затухания информационного сигнала). Требования к средствам вычислительной техники в защищенном исполнении определяются в специальных ГОСТах. Реализация второго метода возможна путем применения активных средств защиты в виде генераторов сигналоподобных помех или шума. Отметим перспективные методы и средства защиты информации в КС от утечки по каналам ПЭМИН: ● выбор элементной базы технических средств КС с возможно более малым уровнем информационных сигналов; ● замена в информационных каналах КС электрических цепей волоконно-оптическими линиями; ● локальное экранирование узлов технических средств, являющихся первичными источниками информационных сигналов; ● включение в состав информационных каналов КС устройств предварительного шифрования обрабатываемой информации. Отметим, что при использовании технических средств КС для обработки информации ограниченного доступа необходимо проведение специальных проверок, целью которых является обнаружение и устранение внедренных специальных электронных устройств подслушивания, перехвата информации или вывода технических средств из строя (аппаратных закладок). При проведении таких проверок может потребоваться практически полная их разборка, что иногда может привести к возникновению неисправностей в работе технических средств и дополнительным затратам на их устранение. Рассмотрим средства обнаружения электронных подслушивающих (радиозакладных) устройств, простейшими из которых являются нелинейные локаторы. Они с помощью специального передатчика в сверхвысокочастотном диапазоне радиоволн облучают окружающее пространство и регистрируют вторичный, переизлученный сигнал, поступающий от различных полупроводниковых элементов, находящихся как во включенном, так и в выключенном состоянии. Нелинейные локаторы могут не выявить радиозакладное устройство, если оно вмонтировано в электронное устройство (системный блок компьютера, телевизор, телефонный аппарат и т.п.), так как сигнал отклика от подслушивающего устройства будет замаскирован откликом от электронной аппаратуры. В этом случае потребуется применение более сложных устройств контроля постороннего радиоизлучения — индикаторов электромагнитного излучения, сканирующих приемников, компьютерных анализаторов. 28.Методы и средства обнаружения уязвимостей в корпоративных компьютерных сетях. |