Реферат

Реферат Аудит информационной безопасности

Работа добавлена на сайт bukvasha.net: 2015-10-28

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 8.11.2024





СОДЕРЖАНИЕ





Введение

2

1

Глава 1. Теоретические основы информационной безопасности

4

1.1

Основные понятия и определения в сфере информационной безопасности

4

1.2

Понятия информации

5

1.3

Свойства информации

7

1.4

Угрозы информации

7

1.5

Классификация направлений угроз информации

9

1.6

Источники информационных угроз

10

1.7

Угрозы конфиденциальной информации

11

1.8

Направления (методы) защиты информации

13

1.9

Концептуальная модель защиты информации

14

2

Глава 2. Методы (направления) обеспечения информационной         

                  безопасности

18

2.1

Правовое обеспечение информационной безопасности

18

2.2

Организационно-технические методы обеспечения информационной безопасности

37

2.3

Инженерно техническая защита

39

2.4

Система защиты (безопасности)

45

3

Глава 3. Аудит информационной безопасности

49

3.1

Цели, задачи и направления аудита информационной безопасности

49

3.2

Аудит выделенных помещений

53

3.3

Структура плана аудита помещений

55

3.4

Этапы непосредственного проведения аудита

56

3.5

Заключительный этап комплексной специальной проверки помещений

58



СПИСОК ЛИТЕРАТУРЫ

60


ВВЕДЕНИЕ

Появление и бурное развитие вычислительной техники привело к созданию различных автоматизированных информационных и управляющих систем. Рост доверия к таким системам увеличивался по мере повышения надежности и производительности средств вычислительной техники. Этим системам стали доверять все более ответственную работу, от качества выполнения которой зависит жизнь и благосостояние отдельных людей, организаций, государств и человечества в целом. Автоматизированные системы управляют технологическими процессами на предприятиях и атомных электростанциях, движением самолетов и поездов, различными системами оружия, выполняют финансовые операции, обрабатывают секретную и конфиденциальную информацию. Быстрое снижение стоимости средств вычислительной техники привело к резкому расширению сфер ее применения. Без компьютеров теперь немыслима любая производственная и управленческая деятельность, они широко используются в медицине, образовании и многих других сферах человеческой деятельности.

Широкое распространение вычислительной техники как средства обработки информации привело к информатизации общества и появлению принципиально новых, так называемых, информационных технологий.

Появление любых новых технологий, как правило, имеет как положительные, так и отрицательные стороны. Тому множество примеров. Атомные и химические технологи, решая проблемы энергетики и производства новых материалов, породили экологические проблемы. Интенсивное развитие транспорта обеспечило быструю и удобную доставку людей, сырья, материалов и товаров в нужных направлениях, но и материальный ущерб и человеческие жертвы при транспортных катастрофах возросли.

Информационные технологии, также не являются исключением из этого правила, и поэтому следует заранее позаботиться о безопасности при разработке и использовании таких технологий.

В целом, криминальное использование современных информационных технологий делает "компьютерную преступность" не только весьма прибыльным, но и достаточно безопасным делом. И не зря Подкомитет ООН по преступности ставит эту проблему в один ряд с терроризмом и наркотическим бизнесом. В одном из банков Великобритании, с помощью компьютера в одно мгновение был похищен миллиард долларов. Ежегодные потери от "компьютерной преступности" в Европе и Америке составляют несколько десятков миллиардов долларов. При этом в девяноста процентах случаев не удается выйти на след преступника.

Изложенные обстоятельства определяют актуальность подготовки специалистов, обладающих знаниями, навыками и умениями в сфере обеспечения информационной безопасности организации, в условиях широкого применения современных информационных технологий.

В современном информационном обществе информация превратилась в особый ресурс любой деятельности, следовательно, как и всякий другой ресурс, нуждается в защите, в обеспечении ее сохранности, целостности и безопасности. Кто и как угрожает информационной безопасности и как этим угрозам противодействовать.


Примечательная особенность нынешнего периода — переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергетические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которые при необходимости могут быть использованы для достижения конкретных целей хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие «информационные ресурсы», и хотя оно узаконено, но осознано пока еще недостаточно. «Информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)». Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для производства товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации — весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами. Особое место отводится информационным ресурсам в условиях рыночной экономики. Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (время — деньги!) производит и продает. В сущности, это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа. В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место.






Глава 1. Теоретические основы информационной безопасности

Рассматривая вопросы, связанные с информационной безопасностью и защитой информации, необходимо определить ряд понятий и терминов, трактовка которых имеет достаточно широкий спектр возможных значений в зависимости от предметной области работы специалиста.

1.1        
Основные понятия и определения


в сфере информационной безопасности.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации .

Информационные процессы - процессы создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации.

Информационная сфера (среда) - сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации.

Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

Информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Угроза безопасности - совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Злоумышленник - субъект, оказывающий на информационный процесс воздействия с целью вызвать его отклонение от условий нормального протекания.

Информатизация - процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти на основе формирования и использования информационных ресурсов.

Информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

1.2. Понятия информации.
Рассматривая информационную сферу (среду) как сферу деятельности субъектов (граждане, организации, государство), связанную с созданием, преобразованием и потреблением информации можно выделить основной объект этих отношений: ИНФОРМАЦИЮ.

Как уже отмечалось, под «Информацией» будем понимать - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления [2].

Как показывает опыт, большинство преступлений начинается со сбора информации, поэтому важно обеспечить её защиту.

К основным факторам, способствующим повышению уязвимости информации, можно отнести:

1.    Увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;

2.    Сосредоточение в единых базах данных информации различного назначения и различной принадлежности;

3.    Расширение круга пользователей, имеющих непосредственный доступ к информационным ресурсам и находящимся в них массивам данных;

4.    Усложнение режимов работы технических средств вычислительных систем;

5.    Автоматизация межмашинного обмена информацией, в том числе на больших расстояниях.

Для анализа и выбора способов и средств защиты информации необходимо определить понятие и виды «Информации», с точки зрения информационной безопасности.

Термин «Информация» прочно вошел в нашу жизнь со времен К. Шеннона, известного американского ученого, основоположника современной теории информации и связи. Аналитики понимают под этим термином вполне четкое количественное определение новых знаний как меры совокупности достоверных ответов на вопросы о событиях с неоднозначными исходами.

Чем меньше ожидается тот или иной исход, тем большую информацию получает пользователь.

При этом, вообще говоря, не важно, идет ли речь о сведениях государственного или частного характера.

Существует достаточно много вариантов классификации информации по ее видам, отражающих различие подходов к проблеме информационной защиты. Особого внимания заслуживает классификация, основанная на физической форме конечного проявления информации.

Дело в том, что физическая форма (звук, свет и др.) в значительной степени определяет характер информационных угроз, технологию и сценарии их развития, а соответственно и способы организационно - технического противодействия.

По физической форме своего проявления информация делится на два основных вида акустическую (чаще всего речевую) и сигнальную. Первая воспринимается органами слуха, вторая органами зрения. При этом не важно, какие промежуточные преобразования происходят с информацией.

Термин «сигнальная информация» охватывает достаточно широкое множество возможных схем информационного общения, существующих на практике. Это, в частности зрительное (видео) наблюдение за обстановкой, буквенно-письменная информация в виде документов (физических или в форме сигналов), графические или чертежные материалы, символьно - цифровая на различных носителях и даже в виде физических образцов материалов, изделий и пр.

В связи с этим необходимо дальнейшее видовое дробление понятие сигнальной информации. Выделим две разновидности: Аналого-цифровую и объемно-видовую. Знание физической формы проявления информации в конкретном сценарии информационной угрозы теоретически достаточно для сопоставления однородных по виду информационных угроз в пределах одной и той же обстановки или зоны защиты рис.1.


Рис. 1


Однако этих знаний мало для сопоставления угроз и возможного ущерба от них применительно к разным условиям или разным зонам защиты. Необходима классификация информации по степени ее важности. Важность информации устанавливается ее владельцев в некой дискретной шкале категорий рис.2.


Рис.2


1.3.     
Свойства информации

С точки зрения защиты у «Информации» можно выделить ряд существенных свойств: (рис. 3)

1.    Конфиденциальность - свойство информации, значение которого устанавливается владельцем информации, отражающее ограничение доступа к ней, согласно существующему законодательству.

2.    Доступность - свойство информации, определяющее степень возможности получения информации.

3.    Достоверность - свойство информации, определяющее степень доверия к ней.

4.    Целостность - свойство информации, определяющее структурную пригодность информации к использованию.



Рис.3


1.4.     
Угрозы информации

Под угрозами информации, будем понимать потенциальные или реально возможные действия по отношению к информационной сфере, приводящие к несанкционированным изменениям свойств информации (конфиденциальность, доступность, достоверность, целостность). По конечному проявлению можно выделить следующие угрозы информации: (рис. 4)

1.    Ознакомление.

2.    Модификация.

3.    Уничтожение.

4.    Блокирование.

Конкретные реализации угроз информации называются - сценариями угроз информации.


~       Ознакомление с конфиденциальной информацией может проходить различными путями и способами, при этом существенным, является отсутствие изменений самой информации.

Нарушение конфиденциальности или секретности информации связано с ознакомлением с ней тех лиц, для которых она не предназначалась. Какая информация является конфиденциальной или секретной решает собственник или владелец этой информации. Они же определяют круг лиц, имеющих доступ к ней. Нарушение конфиденциальности информации может произойти путем ознакомления с ней лицами, не имеющими на то права и несанкционированной модификации грифа секретности (значимости).

~       Модификация информации направлена на изменение таких свойств как конфиденциальность, достоверность, целостность, при этом подразумевается изменение состава и содержания сведений. Модификация информации не подразумевает ее полное уничтожение.

~       Уничтожение информации направлено, как правило, на целостность информации и приводит к ее полному разрушению. Нарушение целостности информации заключается в утере информации. При утере информации она пропадает безвозвратно и не может быть восстановлена никакими средствами. Утеря может произойти из-за разрушения или уничтожения носителя информации или его пропажи, из-за стирания информации на носителях с многократной записью, из-за пропадания питания в устройствах с энергозависимой памятью. При уничтожении

информации нарушается также свойство доступности информации.

~       Блокирование информации приводит к потере доступа к ней, т.е. к недоступности информации. Доступность информации заключается в том, что субъект, имеющей право на ее использование, должен иметь возможность на своевременное ее получение в удобном для него виде. При потере доступа к информации она по-прежнему существует, но воспользоваться ею нельзя. Т.е. субъект не может с ней ознакомиться, скопировать, передать другому субъекту или представить в виде удобном для использования. Потеря доступа может быть связана:

~          С отсутствием или неисправностью некоторого оборудования автоматизированных систем (АС),

~          Отсутствием какого-либо специалиста или недостаточной его квалификацией,

~          Отсутствием или неработоспособностью какого-то программного средства, использованием ресурсов АС для обработки посторонней информации, выходом из строя систем обеспечения АС и др.

Так как информация не утеряна, то доступ к ней может быть получен после устранения причин потери доступа.

1.5.     
Классификация направлений угроз информации

Перечисленные угрозы информации могут проявляться в виде комплекса последовательных и параллельных реализаций. Реализация угроз информации, связанная с нарушением свойств информации, приводит к нарушению режима управления и в конечном итоге к моральным и (или) материальным потерям.

Перечисленные выше угрозы информации могут быть классифицированы по следующим направлениям (рис.5):




Рис. 5


1.6.     
Источники информационных угроз

Источники информационных угроз могут быть как внутренними, так и внешними. Чаще всего такое деление происходит по территориальному признаку и по признаку принадлежности к объекту информационной защиты рис. 6.



Рис.6

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

~     82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;

~     17% угроз совершается извне — внешние угрозы;

~     1% угроз совершается случайными лицами.

Информационные угрозы имеют векторный характер, т.е. всегда преследуют определенные цели и направлены на конкретные объекты.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

К наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся:

~     - Информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров,

~     Научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;

~     Информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;

~     Информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи).

1.7.     
Угрозы конфиденциальной информации

Для систем информационного общения существует одно общее положение, очень важное для понимания информационной безопасности в целом. Информация всегда адресная и всегда имеет владельца. Более того, адресность не произвольна, а определяется собственником информации. Если это право подчеркивается в сообщении (указывается гриф секретности), то информация становится конфиденциальной. Получая данную информацию, пользователь не может произвольно ею распоряжаться, она ему не принадлежит (если не было передачи права собственности).

Право собственности определяется действующим

в стране законодательством.

В зависимости от вида собственности, конфиденциальная информация может быть отнесена к информации государственной, коммерческой, личной. Такое соотнесение делается соподчинено, с нисходящей иерархией.

Перечень сведений составляющих государственную тайну формирует государство в лице его институтов и учреждений. Эти сведения являются обязательной тайной для отдельных, нижестоящих по рангу, юридических и физических лиц страны.

Перечень сведений определяющих коммерческую тайну, формирует коммерческое предприятие. Оно же обеспечивает их сохранность и защиту.

Личную тайну определяет физическое лицо. Естественно, что сохранность и защита этих сведений - его забота, хотя правовая защита за государством.

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям Рис. 7



Рис.7

1.      Разглашение — это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним,

Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с конфиденциальной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации.

К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.).

Неформальные коммуникации включают личное общение, выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.).

Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов.

Следует отметить информационные особенности этого действия. Информация содержательная,                осмысленная,                упорядоченная,

аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства.

2.      Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она доверена по техническим каналам утечки информации.

Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая (звук), либо электромагнитное излучение, либо лист бумаги и др.

С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества.

Соответственно этому классифицируются и каналы утечки информации: на визуально оптические, акустические, электромагнитные и материально- вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям.

Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.



3.      Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

Для реализации этих действий злоумышленнику приходится проникать на объект защиты, используя различные технические средства. С развитием компьютерных технологий стал доступен дистанционный несанкционированный доступ к охраняемой информации или, иначе говоря - компьютерный взлом.

С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией:

~     Разглашение (излишняя болтливость сотрудников) - 32%

~     Несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%

~     Отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;

~     Традиционный обмен производственным опытом - 12%;

~     Бесконтрольное использование информационных систем - 10%;

~     Наличие предпосылок возникновения среди сотрудников конфликтов - 8%.


1.8.     
Направления (методы) защиты информации.

С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

1.    Правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

2.    Организационная защита - это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

3.    Инженерно-техническая защита – это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Для реализации защиты информации создается система безопасности
.


Под системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методой и мероприятий, обеспечивающих защиту жизненно важных интересов  личности, предприятий, государства от внутренних и внешних угроз.

                В рамках системы безопасности присутствует система защиты информации.

                Система защиты информации (СЗИ) – это организованная совокупность специальных органов, средств, методов и мероприятий,  обеспечивающих защиту

от внутренних и внешних угроз.
1.9.     
Концептуальная модель защиты информации.

Рассмотрев такие понятия как «Информация», «Угрозы информации», «Система защиты информации»,  можно вышесказанное представить концептуальной моделью защиты информации рис.8

КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ ЗАЩИТЫ ИНФОРМАЦИИ



Рис.8


Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов). Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.

Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Методы могут быть реализованы как аппаратно, программно, так и смешанно: программно-аппаратными средствами. В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение от противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу.

В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведенные на рис. 8 являются основными элементами концептуальной модели, которые будут рассмотрены более подробно в следующих разделах.

Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.


Вопросы для самоконтроля
1.      Что подразумевается под основными понятиями и определениями в сфере информационной безопасности?

2.      Что такое и информации?

3.      Какие бывают виды информации?

4.      Какими свойствами обладает информация?

5.      Какие бывают угрозы информации?

6.      Как классифицируются направления угроз информации?

7.      Какие существуют источники информационных угроз?

8.      Перечислите угрозы конфиденциальной угрозы.

9.      Какие существуют направления для защиты информации?

10.  Начертите концептуальную модель защиты информации.


Глава 2. Методы (направления) обеспечения

информационной безопасности.

Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной, духовной и других составляющих безопасности страны.

В современном информационном обществе информация превратилась в особый ресурс любой деятельности, следовательно, как и всякий другой ресурс, нуждается в защите, в обеспечении ее сохранности, целостности и безопасности. Кто и как угрожает информационной безопасности и как этим угрозам противодействовать - вот главный вопрос, который требует решения.

Информатизация любых сфер жизнедеятельности человека, в настоящее время невозможна без использования информационных технологий на основе современных средств вычислительной техники и связи. Увеличение объема информации вызывает нарастающее использование средств вычислительной техники во всех информационных процессах. Многие операции становятся автоматическими, развивается удаленный доступ пользователей не только к информационным ресурсам, но и к управлению организацией информационных процессов.

Все вышеперечисленное дает повод к развитию и совершенствованию качественно новых сценариев реализации информационных угроз. В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место.

Для выявления, предотвращения и т.д. необходима система, объединяющая совокупность органов, служб, средств, методов и мероприятий, обеспечивающая защиту создания, развития и функционирования новых информационных технологий.

Такая система называется системой безопасности. В основе построения системы безопасности лежат: правовое, организационное и инженерное - техническое обеспечения.

Общие методы (направления) обеспечения информационной безопасности РФ приведены на рис. 9



Рис.9


2.1. Правовое обеспечение информационной безопасности.
Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов РФ.

Право - совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и населения.

Правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе.



Правовую основу концепции информационной безопасности Российской Федерации составляют: Конституция РФ, Доктрина информационной безопасности РФ, концепция национальной безопасности РФ, законы и другие правовые и нормативные акты призванные обеспечить информационную безопасность Российской Федерации на всех уровнях и направлениях. Правовая защита информации как ресурса признана на международном, государственном уровне и регулируется соответствующими законодательными и правовыми актами (рис. 10).



Рис. 10

Иными словами можно сказать, что существует следующая структура правовых актов, ориентированных на правовую защиту информации:

~ Международные акты информационного законодательства

~ Информационно - правовые нормы Конституции Российской Федерации (ст. 2, 23, 24, 29, 33, 41, 42, 44 Конституции РФ)

~ Отрасли законодательства, акты которых целиком посвящены вопросам информационного законодательства.

~ Отрасли законодательства, акты которых включают отдельные информационно - правовые нормы.

Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов:

ФЕДЕРАЛЬНЫЙ ЗАКОН от 20.02.1995 N 24-ФЗ

"ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ" (принят ГД ФС РФ 25.01.1995).
В этом законе определен правовой режим информатизации, правила, процедуры и распределение ответственности в области защиты информации в системах ее обработки, установлен порядок правовой защиты и гарантии  реализации прав и ответственности субъектов информационных взаимоотношений.

Наиболее существенными в законе являются:



Статья 3. Обязанности государства в сфере формирования информационных ресурсов и информатизации:

~     Обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

~     Формирование и защита государственных информационных ресурсов;

~     Обеспечение национальной безопасности в сфере информатизации;

~     Развитие законодательства в сфере информатизации и защиты информации.



Статья 6. Информационные ресурсы как элемент состава имущества государства, организаций, общественных объединений и отдельных граждан:

~     Государство имеет право выкупа документированной информации у физических и юридических лиц в случае отнесения ее к гостайне;

~     Собственник информационных ресурсов, отнесенных к гостайне вправе распоряжаться ими только с разрешения соответствующих органов государственной власти;

~     Информационные ресурсы могут быть товаром, за исключением случаев, предусмотренных законодательством РФ.



Статья 10. Документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к гостайне и конфиденциальную.

Не могут быть отнесены к информации с ограниченным доступом:

~     Законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений а также права, свободы и обязанности граждан и порядок их реализации;

~     Документы с информацией о чрезвычайных ситуациях угрожающих безопасности граждан и населения в целом;

~     Документы открытых фондов библиотек и архивов.

Статья 11. Персональные данные (информация о гражданах) относится к области конфиденциальной информации. Она не может распространяться и использоваться без согласия физического лица, кроме как на основании судебного решения.

Подлежит обязательному Лицензированию деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных.

Статья 12. Пользователи обладают равными правами на доступ к государственным информационным ресурсам и не обязаны обосновывать перед владельцем этих ресурсов необходимость получения запрашиваемой ими информации, кроме информации с ограниченным доступом.

Порядок получения пользователем информации (место, время, должностных лиц, необходимых процедур) определяет владелец информационных ресурсов.



Статья 17. Право собственности на информационные системы, технологии и средства их обеспечения.



Статья 23. Защита прав субъектов информационных отношений осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.

ЗАКОН РФ от 21.07.1993 N 5485-1(ред. от 06.10.1997)

"О ГОСУДАРСТВЕННОЙ ТАЙНЕ"

Субъекты и объекты правоотношений.

Субъектами правоотношений в соответствии со Статьей 1 Закона о государственной тайне являются органы государственного управления, а также любые юридические лица, т.е. предприятия, учреждения и организации, независимо от их организационно-правовых форм деятельности и видов собственности.

Действие закона распространяется лишь на тех граждан и должностных лиц, которые взяли на себя обязательства, либо обязаны по своему статусу выполнять требования законодательства о гостайне. В соответствии с этой нормой физическое лицо является субъектом рассматриваемых правоотношений лишь в случае допуска к закрытым сведениям в добровольном порядке на договорной основе. В противном случае доступ к таким сведениям может быть квалифицирован как нарушение законодательства, а гражданин не может быть ограничен в своих правах, в частности, на выезд за границу и неприкосновенность частной жизни.

Объектами правоотношений являются сведения из военной, внешне политической, экономической, разведывательной, контрразведывательной и оперативно - розыскной сфер государственной деятельности. В законе дана подробная характеристика таких сведений. В частности, в сферах экономики, науки и техники к государственной тайне относятся сведения:

~     О научно-исследовательских, опытно-конструкторских и проектных работах, технологиях, имеющих важное оборонное или экономическое значение;

~     О методах и средствах защиты информации;

~     О государственных программах и мероприятиях в области защиты гостайны.

Принципы, механизм и процедуры засекречивания.

Законодательное регулирование порядка засекречивания сведений, составляющих гостайну, состоит в установлении определенных принципов:

~     Законности;

~     Обоснованности;

~     Своевременности.



Принцип законности заключается в том, что закон определяет, как перечень сведений подлежащих засекречиванию, так и перечень сведений, не подлежащих засекречиванию. Виновные в нарушении требований закона

должностные лица могут быть привлечены к уголовной, административной или дисциплинарной ответственности. Все граждане вправе обжаловать такие действия в суде.



Принцип обоснованности заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений исходя из баланса жизненно-важных интересов государства, общество и отдельных граждан. При этом предполагается, что органами государственного управления должна быть разработана соответствующая методика экспертной оценки по экономическим или иным критериям.



Принцип своевременности состоит в том, что ограничения на распространения сведений должны быть установлены не позже момента их получения.
В законе установлены три степени секретности и соответствующие им грифы для носителей информации: Особой важности, Совершенно секретно, Секретно. Порядок определения степени и грифа устанавливается нормативным актом Правительства РФ.

Устанавливается следующая структура объектов законодательства о государственной тайне.

~     На общефедеральном уровне формируется перечень, утверждаемый президентом РФ и подлежащий открытому опубликованию. В нем должны быть также указаны федеральные органы управления, которые наделяются полномочиями по распоряжению конкретным блоком сведений.

~     На основании общегосударственного перечня, указанные органы управления разрабатывают развернутые перечни и устанавливают степени их секретности.

~     Отдельные перечни сведений по решению. Заказчиков могут разрабатываться также в рамках целевых комплексных программ.

Так как засекречивание информации приводит к ограничению прав собственника на распространение и использование сведений, то законом предписывается возмещение собственнику за счет государства материального ущерба, размер которого определяется договором между собственником и органом государственного управления. В договоре также предусматривается обязательство собственника информации по ее нераспространению. Конфликтные ситуации решаются в судебном порядке.

Законом установлен механизм дополнения действующих перечней, если они не дают возможности идентификации или отнесения новых сведений к секретной информации. В этом случае администрация структуры-разработчика обеспечивает предварительное засекречивание и в месячный срок направляет в адрес уполномоченного должностного лица, утвердившего конкретный перечень, предложения по его дополнению и применению. Для принятия решения по этим предложениям устанавливается трехмесячный срок.

Процедура засекречивания сводится к оформлению реквизитов носителей информации, составляющих государственную тайну. Они состоят из данных:

~     О степени секретности со ссылкой на соответствующий пункт действующего перечня;

~     Органе, осуществившем засекречивание;

~     Регистрационном номере;

~     Дате или условии рассекречивания.

Если носитель содержит составные части с различными степенями секретности, то в целом ему присваивается наивысший гриф.

Законодательство определяет четкий порядок и процедуру рассекречивания сведений и их носителей, которые рассматриваться не будут. Следует упомянуть только об установлении предельного пятилетнего срока пересмотра содержания действующих перечней и установленных ранее грифов секретности. Срок засекречивания не может превышать 30 лет, хотя в исключительных случаях этот срок может быть продлен полномочным руководителем органов государственного управления.

Значительным шагом в развитии законодательства в сфере защиты государственной тайны является гарантия возможности обращений с запросами о рассекречивании. Установлен обязательный трехмесячный срок рассмотрения и ответа по существу. В противном случае виновные должностные лица несут административную (дисциплинарную) ответственность.



Права и обязанности субъектов

Для юридических лиц, независимо от форм собственности, проведение работ с использованием секретных сведений может осуществляться лишь на основе лицензии. Порядок их получения устанавливается правительством РФ. Основанием для выдачи лицензии являются результаты специальной экспертизы предприятий и организаций и государственной аттестации их руководителей. При этом должны быть выполнены следующие условия:

~     Знание требований нормативных документов, утвержденных правительством РФ;

~     Наличие необходимого количества структурных подразделений по защите государственной тайны и специально подготовленных сотрудников необходимого уровня квалификации;

~     Наличие сертифицированных средств защиты.

Законом устанавливается три формы допуска к государственной тайне, соответствующие трем степеням секретности. Сроки, обязательства и порядок переоформления допуска определяется нормативными актами Правительства РФ.

Закон допускает временное ограничение прав должностных лиц и граждан, допущенных или ранее допускавшихся к секретным сведениям. Ограничения касаются:

~     Права выезда за границу на срок, оговоренный в контракте при оформлении допуска в соответствии с законом РФ «О въезде в РФ и выезде из РФ»;

~     Права на неприкосновенность частной жизни при проведении проверок в период оформления допуска.

За нарушение законодательства РФ о государственной тайне Закон предусматривает уголовную, административную, гражданско-правовую или дисциплинарную ответственность.









ЗАКОН РФ от 05.03.1992 N 2446-1 (ред. от 24.12.1993)

 "О БЕЗОПАСНОСТИ".

Настоящий Закон закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.

К основным объектам безопасности относятся:

~     Личность - ее права и свободы;

~     Общество - его материальные и духовные ценности;

~     Государство - его конституционный строй, суверенитет и территориальная целостность.

Статья 2. Субъекты обеспечения безопасности



Основным субъектом обеспечения безопасности является государство, осуществляющее функции в этой области через органы законодательной, исполнительной и судебной властей.

Государство в соответствии с действующим законодательством обеспечивает

безопасность каждого гражданина на территории Российской Федерации. Гражданам Российской Федерации, находящимся за ее пределами, государством гарантируется защита и покровительство.

Граждане, общественные и иные организации и объединения являются субъектами безопасности, обладают правами и обязанностями по участию в обеспечении безопасности в соответствии с законодательством Российской Федерации, законодательством республик в составе Российской Федерации, нормативными актами органов государственной власти и управления краев, областей, автономной области и автономных округов, принятыми в пределах их компетенции в данной сфере. Государство обеспечивает правовую и социальную защиту гражданам, общественным и иным организациям и объединениям, оказывающим содействие в обеспечении безопасности в соответствии с законом.

Статья 3. Угроза безопасности



Угроза безопасности - совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Реальная и потенциальная угроза объектам безопасности, исходящая от внутренних и внешних источников опасности, определяет содержание деятельности по обеспечению внутренней и внешней безопасности.

Статья 4. Обеспечение безопасности



Безопасность достигается проведением единой государственной политики в области обеспечения безопасности, системой мер экономического, политического, организационного и иного характера, адекватных угрозам жизненно важным интересам личности, общества и государства.


Для создания и поддержания необходимого уровня защищенности объектов безопасности в Российской Федерации разрабатывается система правовых норм, регулирующих отношения в сфере безопасности, определяются основные направления деятельности органов государственной власти и управления в данной области, формируются или преобразуются органы обеспечения безопасности и механизм контроля и надзора за их деятельностью.

Для непосредственного выполнения функций по обеспечению безопасности личности, общества и государства в системе исполнительной власти в соответствии с законом образуются государственные органы обеспечения безопасности.

Статья 5. Принципы обеспечения безопасности



Основными принципами обеспечения безопасности являются:

~     Законность;

~     Соблюдение баланса жизненно важных интересов личности, общества и государства;

~     Взаимная ответственность личности, общества и государства по обеспечению безопасности;

~     Интеграция с международными системами безопасности.

Статья 6. Законодательные основы обеспечения безопасности.



Законодательные основы обеспечения безопасности составляют Конституция РСФСР, настоящий Закон, законы и другие нормативные акты Российской Федерации, регулирующие отношения в области безопасности; конституции, законы, иные нормативные акты республик в составе Российской Федерации и нормативные акты органов государственной власти и управления краев, областей, автономной области и автономных округов, принятые в пределах их компетенции в данной сфере; международные договоры и соглашения, заключенные или признанные Российской Федерацией.

Статья 7. Соблюдение прав и свобод граждан при обеспечении безопасности.



При обеспечении безопасности не допускается ограничение прав и свобод граждан, за исключением случаев, прямо предусмотренных законом.

Граждане, общественные и иные организации и объединения имеют право получать разъяснения по поводу ограничения их прав и свобод от органов, обеспечивающих безопасность. По их требованию такие разъяснения даются в письменной форме в установленные законодательством сроки.

Статья 8. Основные элементы системы безопасности.



Систему безопасности образуют органы законодательной, исполнительной и судебной властей, государственные, общественные и иные организации и объединения, граждане, принимающие участие в обеспечении безопасности в соответствии с законом, а также законодательство, регламентирующее отношения в сфере безопасности.

Создание органов обеспечения безопасности, не установленных законом Российской Федерации, не допускается.







Статья 9. Основные функции системы безопасности



Основными функциями системы безопасности являются:

~     Выявление и прогнозирование внутренних и внешних угроз жизненно важным интересам объектов безопасности, осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;

~     Создание и поддержание в готовности сил и средств обеспечения безопасности;

~     Управление силами и средствами обеспечения безопасности в повседневных условиях и при чрезвычайных ситуациях;

~     Осуществление системы мер по восстановлению нормального функционирования объектов безопасности в регионах, пострадавших в результате возникновения чрезвычайной ситуации;

~     Участие в мероприятиях по обеспечению безопасности за пределами российской федерации в соответствии с международными договорами и соглашениями, заключенными или признанными Российской Федерацией.



Статья 11. Руководство государственными органами обеспечения безопасности.



Общее руководство государственными органами обеспечения безопасности осуществляет Президент Российской Федерации.



Основным документом характеризующим состояние информационной безопасности (И Б), а так же регламентирующим цели и задачи в этой сфере является Доктрина информационной безопасности Российской Федерации утвержденная Президентом РФ от 9 сентября 2000г.

Доктрина информационной безопасности представляет собой совокупность взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

В доктрине информационной безопасности Российской Федерации выделены национальные интересы РФ в этой сфере. Согласно Доктрине информационной безопасности РФ выделяются четыре основные составляющие национальных интересов в информационной сфере (рис.11).



Первая составляющая национальных интересов в информационной сфере включает в себя соблюдение конституционных прав и свобод гражданина Российской федерации в области получения информации и пользования ею.

Для достижения этого требуется:

~     Обеспечить права гражданин РФ свободно искать, получать, передавать, производить, и распространять информацию любимы законными способами ;

~     Обеспечить права человека и гражданина на личную тайну, в том числе тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и доброго имени;

~     Обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия;

~     Обеспечить запрет сбора, хранения, распространения любой информации, доступ к которой ограничен федеральным законодательством.



Вторая составляющая национальных интересов в информационной сфере это информационное обеспечение государственной политики РФ, связанное с доведением до российской и международной общественности информации о государственной политике РФ.



Третья составляющая национальных интересов в информационной сфере включает в себя:

развитие в РФ современных информационных технологий; развитие отечественной индустрии информации, информатизации, телекоммуникации и связи.



Четвертая составляющая национальных интересов в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных систем на территории России.



Рис.11

Исходя из национальных интересов определяется общая направленность, виды, угроз информационной безопасности РФ (схема аналогична рис. 11).

Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов Российской Федерации. Требования информационной безопасности должны органически включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и другие, В литературе приводится такая структура правовых актов, ориентированных на правовую защиту информации, которую условно можно разделить на семь блоков. Это:

Первый блок — конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы.

Второй блок — общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности), которые включают нормы по вопросам информатизации и информационной безопасности.

Третий блок — законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам защиты информации. Наряду с общими вопросами информационного обеспечения и защиты информации конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, представляющей общегосударственный интерес.

Четвертый блок — специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входит и Закон РФ «Об информации, информатизации и защите информации». Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности.

Пятый блок — законодательство субъектов Российской Федерации, касающееся защиты информации.

Шестой блок — подзаконные нормативные акты по защите информации.

Седьмой блок — это правоохранительное законодательство России, содержащее нормы об ответственности за правонарушения в сфере информатизации.

Схематически вышесказанное можно представить следующим образом, как это показано на рисунке 12.



Рис.12



Основу формирования законодательства в этой сфере составляют: Конституция РФ, законодательные и подзаконные акты, образующие структуру законодательства России в области защиты информации. Иными словами являются основой защиты информации на правовом уровне рис 13.


СТРУКТУРА ЗАКОНОДАТЕЛЬСТВА РОССИИ

В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

Рис.13

В дополнение к базовому закону от 20.02.1995 N 24-ФЗ "ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ" (принят ГД ФС РФ 25.01.1995) в мае 1992 г. были приняты Законы «О правовой охране программ для электронно-вычислительных машин и баз данных» и «О правовой охране топологии интегральных микросхем».

Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с традиционными базами данных топологии интегральных микросхем и программы для ЭВМ.

Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна».

1.      Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

2.      Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.

Вторая часть Гражданском кодексе РФ статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба. Звучит это так: «Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору». Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации (рис.14).

Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта

отдельного конкретного исполнителя, определяющих перечень сведений, подлежащих охране, и меры ответственности за их разглашение.

Важно помнить, что во всех законах призванных обеспечить информационную безопасность отражены общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.



Рис.14

Одним из новых для нас направлений правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, возникающих в ходе работы с информацией. К ним относятся: разглашение, утечка и несанкционированный доступ к конфиденциальной информации. Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, причиненных стихийными бедствиями, чрезвычайными происшествиями в различных областях деятельности, противоправными действиями со стороны конкурентов и злоумышленников путем выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступлении страхового события. В основе российского страхового законодательства лежит Закон РФ «О страховании». Он призван гарантировать защиту интересов страхователей, определять единые положения по организации страхования и принципы государственного регулирования страховой деятельности. Закон «О страховании» дает следующее понятие страхования:


«Страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов». Действия по защите информации от утечки по техническим каналам регламентируются следующими правовыми документами:

1.    ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ». (ПЭМИН — побочные электромагнитные излучения и наводки.).

2.    ГОСТ Р 50752 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний».

3.    Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН.

4.    Специальные требования и рекомендации по защите объектов ЭВТН и III категории от утечки информации за счет ПЭМИН.

Действия по защите информации от несанкционированного доступа (НСД) регламентируют Постановление Правительства РФ от 15.09.93 № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам», а также Указы Президента РФ «О создании государственной технической комиссии при Президенте РФ» (от 05.01.92 № 9); «О защите информационно- телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» (от 08.05.93 № 644); «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (от 03.04.95 № 334); «Положение о государственной системе защиты информации в Российской Федерации».

Правовыми документами являются и государственные стандарты на информационную деятельность с учетом обеспечения ее безопасности, в частности ГОСТ Р 50739-95 «СВТ. Защита от НСД к информации»; ГОСТ 28147- 89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»; ГОСТ Р.34.10-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»; ГОСТ Р.34.11-94 «Функция хеширования»; ГОСТ Р.В.50170-92 «Противодействие ИТР. Термины и определения».

Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:

~     Положение о сохранении конфиденциальной информации;

~     Перечень сведений, составляющих конфиденциальную информацию;

~     Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;

~     Положение о специальном делопроизводстве и документообороте;

~     Перечень сведений, разрешенных к опубликованию в открытой печати;

~     Положение о работе с иностранными фирмами и их представителями;

~     Обязательство сотрудника о сохранении конфиденциальной информации;

~     Памятка сотруднику о сохранении коммерческой тайны.

Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия, В зависимости от характера информации, ее доступности для заинтересованных  потребителей, а также экономической целесообразности конкретных защитных мер могут быть избраны следующие формы защиты информации:

~     Патентование;

~     Авторское право;

~     Признание сведений конфиденциальными;

~     Товарные знаки;

~     Применение норм обязательственного права.

В таблице 1 приводятся некоторые характеристики этих форм и анализируется взаимосвязь между ними, а в таблице 2 приведены определения и основные параметры коммерческой тайны. Существуют определенные различия между авторским правом и коммерческой тайной. Авторское право защищает только форму выражения идеи. Коммерческая тайна относится непосредственно к содержанию. Авторское право защищает от копирования независимо от конфиденциальных отношений с владельцем. К авторскому праву прибегают при широкой публикации своей информации, в то время как коммерческую тайну держат в секрете. Очевидно, что по сравнению с патентом и авторским правом, коммерческая и производственная тайны являются наиболее удобными, надежными и гибкими формами защиты информации.



Помимо вышеизложенных форм правовой защиты и права принадлежности информации находит широкое распространение официальная передача права на пользование ею в виде лицензии. Лицензия — это разрешение, выдаваемое государством на проведение некоторых видов хозяйственной деятельности, включая внешнеторговые операции (ввоз и вывоз) и предоставление права использовать защищенные патентами изобретения, технологии, методики. Лицензионные разрешения предоставляются на определенное время и на определенные виды товаров.



Взаимосвязь патентов и коммерческой тайны                                                                                  таблица 1.



Характеристики

Патенты

Коммерческая тайна

Объект защиты

Специфический и четко определенный документ

Применима к широкому спектру интеллектуальной собственности и деловой информации

Требования к информации

Информация должна  быть: полезной, новой, неочевидной

Информация должна: быть: - потенциально полезной, не должна быть общеизвестной, не обязательно должна быть новой и неочевидной

Степень определенности

Четко определена в заявке

Часто трудно четко определить

Необходимость опубликования

Строго необходима. Публикуется обязательно.

Любое обнародование должно быть под контролем и ограничено в неизвестной степени (храниться в тайне)

Порядок защиты

Определяется узким, но четким статусом Предоставляется монополия

Определяется в зависимости от обстоятельств. Реализуется только  от недобросовестной конкуренции

Продолжительность защиты

15-20 лет с момента опубликования

Практически не ограничена

Стоимость

По получению патента

Защита от утечки и использования информации другими лицами

Стоимость риска

Недействительность по истечении срока

Независимое открытие другими лицами



Коммерческая тайна

Коммерческая тайна — не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционированный доступ к которой может нанести ущерб их владельцам.



Определения

Содержание

СУБЪЕКТ

Предприятия, организации, коллективы, граждане

ОБЪЕКТ

Понятие применимо к широкому спектру интеллектуальной и промышленной собственности

ХАРАКТЕРИСТИКИ

1.    Активный ресурс

2.    Конфиденциальная информация

3.    Особая форма собственности

4.    Товар рыночной новизны

ЦЕННОСТЬ

Реально (потенциально) создает преимущества в конкурентной борьбе

ТРЕБОВАНИЯ

1.    Потенциально полезная

2.    Не общеизвестная

СРОК ДЕЙСТВИЯ

Определяется жизненным циклом товара

ЗАЩИТА

1.    Правовая

2.    Организационная

3.    Инженерно-техническая



К коммерческой тайне не относятся:

~       Охраняемые государством сведения;

~       Общеизвестные на законных основаниях сведения;

~       Общедоступные сведения, патенты, товарные знаки;

~       Сведения о негативной стороне деятельности;

~       Учредительные документы и сведения о хозяйственной деятельности.



На все эти формы защиты интеллектуальной собственности имеются соответствующие законы РФ — закон о патентах, закон об авторском праве, проект закона о коммерческой тайне, закон о товарных знаках и другие. Создавая систему информационной безопасности, необходимо четко понимать, что без правового

обеспечения защиты информации любые последующие претензии с вашей стороны к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся просто беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (естественно, если он допущен по должностным обязанностям) в письменном виде, то сотрудник, укравший важную информацию в нарушение установленного порядка работы с ней, скорее всего разведет руками: мол, откуда мне это знать! В этом случае никакие инстанции, вплоть до судебных, не смогут Вам помочь. Правовые нормы обеспечения безопасности и защиты информации на конкретном  предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов. Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:

~       Предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;

~       Предприятие обязано обеспечить сохранность конфиденциальной информации.

Такие требования дают право администрации предприятия:

~       Создавать организационные структуры по защите конфиденциальной информации;

~       Издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;

~       Включать требования по защите информации в договоры по всем видам хозяйственной деятельности;

~       Требовать защиты интересов предприятия со стороны государственных и судебных инстанций;

~       Распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства;

~       Разработать «перечень сведений конфиденциальной информации». Требования правовой обеспеченности защиты информации предусматриваются в коллективном договоре. Коллективный договор должен содержать следующие требования:



Раздел «Предмет договора»

Администрация предприятия (в том числе и администрация самостоятельных подразделений) обязуется обеспечить разработку и осуществление мероприятий по определению и защите конфиденциальной информации. Трудовой коллектив принимает на себя обязательства по соблюдению установленных на предприятии требований по защите конфиденциальной информации. Администрация обязана учесть требования защиты конфиденциальной информации в правилах внутреннего распорядка.



Раздел «Кадры. Обеспечение дисциплины труда»

Администрация обязуется: нарушителей требований по защите коммерческой тайны привлекать к административной и уголовной ответственности в соответствии с действующим законодательством. Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями.



Раздел «Порядок приема и увольнения рабочих и служащих»

~       При поступлении рабочего или служащего на работу или переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией предприятия, а также при увольнении администрация обязана проинструктировать работника или служащего по правилам сохранения коммерческой тайны с оформлением письменного обязательства о ее неразглашении.

~       Администрация предприятия вправе принимать решение об отстранении от работ лиц, которые нарушают установленные требования по защите конфиденциальной информации.

Раздел «Основные обязанности рабочих и служащих»

Рабочие и служащие обязаны соблюдать требования нормативных документов по защите конфиденциальной информации предприятия.



Раздел «Основные обязанности администрации»

Администрация предприятия, руководители подразделений обязаны:

~       Обеспечить строгое сохранение конфиденциальной информации, постоянно осуществлять организаторскую и воспитательно-профилактическую работу, направленную на защиту секретов предприятия;

~       Включить в должностные инструкции и положения обязанности по сохранению конфиденциальной информации;

~       Неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других организационных и хозяйственных документов в части обеспечения экономической и информационной безопасности.



Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре  (контракте). В соответствии с КЗоТ (гл, III) при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора (КЗоТ РФ ст. 18). Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, вытекающие из нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения информационной безопасности. Использование договоров о неразглашении тайны — вовсе не самостоятельная мера по ее защите. Не следует думать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по защите информации, и 'правовая основа к тому, чтобы пресечь его неверные или противоправные действия. Дальше задача — не допустить утраты коммерческих секретов. Реализация правовых норм и актов, ориентированных на защиту информации на организационном уровне, опирается на те или иные организационно-правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права. Конфиденциальность — это форма обращения со сведениями, составляющими коммерческую тайну, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями. Договоры — это соглашения сторон (двух и более лиц) об установлении, изменении или прекращении взаимных обязательств.



Обязательство — гражданское правоотношение, в силу которого одна сторона (должник) обязана совершить в пользу другой стороны определенные действия (рис. 13). Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций. Анализ законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.



Правовые меры, обеспечения безопасности и защиты    информации,

являются основой порядка деятельности и поведения сотрудников предприятия. Правовые нормы определяют меры ответственности за нарушение установленных норм.


2.2      Организационно-технические методы

обеспечения информационной безопасности.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или по крайней

мере сводили бы к минимуму возможность возникновения опасности конфиденциальной информации.

Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся в основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, призванная исключить или существенно затруднить неправомерное овладение конфиденциальной информацией или проявления внутренних и внешних угроз.



Организационная защита обеспечивает:

~       Организацию охраны, режима, работу с кадрами, с документами;

~       Использование технических средств безопасности и информационно- аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.



К основным организационным мероприятиям можно отнести:

~       Организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию, в помещения, или на объект посторонних лиц, обеспечение удобства контроля прохода и перемещения сотрудников и посетителей;

~       Создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;

~       Контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы;

~       Организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

~       - организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение,

~       Обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

~       Организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

~       Организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

~       Организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

~       Организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.



В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях:

~       Определение границ охраняемой зоны (территории); определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;

~       Определение «опасных», с точки зрения возможности образования, каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;

~       Выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;

~       Реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.



Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых совместно с техническими методами, имеют цель исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов.



Организационные средства защиты ПЭВМ и информационных сетей применяются:

~       При проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;

~       При подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;

~       При хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);

~       При соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);

~       При внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.);

~       При подготовке и контроле работы пользователей.

Схематично организационную защиту информации можно показать так (рис.15)




Рис.15


Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.

Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.

Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.

Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.



Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.



Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.





2.3.       Инженерно техническая защита
Инженерно-техническая защита (ИТЗ) по определению — это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации. Многообразие целей, задач, объектов защиты и проводимых мероприятий предполагает рассмотрение некоторой системы классификации средств по виду, ориентации и другим характеристикам.

Средства инженерно-технической защиты

По функциональному назначению средства инженерно-технической защиты классифицируются на следующие группы:

~     Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;

~     Аппаратные средства. Приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации.

~     Программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных;

~     Криптографические средства, специальные математические и алгоритмические средства защиты информации, передаваемой по системам и

сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Схема средств инженерно технических средств защиты показана на рис. 16.



Рис.16

Такое деление средств защиты информации достаточно условно, так как на практике очень часто они и взаимодействуют и реализуются в комплексе в виде программно-аппаратных модулей с широким использованием алгоритмов закрытия информации.



Физические средства защиты.
К физическим средствам защиты относятся разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников.

К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.

Эти средства применяются для решения следующих задач:

~     Охрана территории предприятия и наблюдение за ней;

~     Охрана зданий, внутренних помещений и контроль за ними;

~     Охрана оборудования, продукции, финансов и информации;

~     Осуществление контролируемого доступа в здания и помещения

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз. Заборы вокруг объектов - это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов и др.). Средства пожаротушения относятся к системам ликвидации угроз.

В общем плане, по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:

~     Охранные и охранно-пожарные системы;

~     Охранное телевидение;

~     Охранное освещение;

~     Средства физической защиты.



Охранные системы

Охранные системы и средства охранной сигнализации предназначены для обнаружения различных видов угроз: попыток проникновения на объект защиты, в охраняемые зоны и помещения, попыток проноса средств промышленного шпионажа, краж материальных и финансовых ценностей и других действий; оповещения сотрудников охраны или персонала объекта о появлении угроз и необходимости усиления контроля доступа на объект. Важнейшими элементами охранных систем являются датчики, обнаруживающие появление угрозы. На сегодня известны датчики следующих типов: механические выключатели, проволока с выключателем, магнитный выключатель, ртутный выключатель, коврики давления, металлическая фольга, проволочная сетка, шифроволновый датчик, ультразвуковой датчик, инфракрасный датчик, фотоэлектрический датчик, акустический датчик, вибрационный датчик, индуктивный датчик, емкостный датчик и другие. Каждый тип датчика реализует определенный вид защиты: точечная защита, защита по линии, защита по площади или защита по объему.



Охранное телевидение

Одним из распространенных средств охраны является охранное телевидение. Привлекательной особенностью охранного телевидения является возможность не только отметить нарушение режима охраны объекта, но и контролировать обстановку вокруг него в динамике ее развития, определять опасность действий, вести скрытое наблюдение и производить видеозапись для последующего анализа правонарушения как с целью анализа, так и для привлечения к ответственности нарушителя.



Охранное освещение

Обязательной составной частью системы защиты любого объекта является охранное освещение. Различают два вида охранного освещения — дежурное и тревожное. Дежурное освещение предназначается для постоянного использования в нерабочие часы, в вечернее и ночное время как на территории объекта, так и внутри здания. Тревожное освещение включается при поступлении сигнала тревоги от средства охранной сигнализации. Кроме того, по сигналу тревоги в дополнение к освещению могут включаться и звуковые приборы (звонки, сирены и пр.). Сигнализация и дежурное освещение должны иметь резервное электропитание на случай аварии или выключения электросети.

Ограждения и физическая изоляция

В последние годы большое внимание уделяется созданию систем физической защиты, совмещенных с системами сигнализации.



Запирающие устройства

Запирающие устройства и специальные шкафы занимают особое место в системах ограничения доступа, поскольку они несут в себе признаки, как систем физической защиты, так и устройств контроля доступа.



Физические средства являются первой преградой для злоумышленника при реализации им заходовых методов доступа.

Классификация систем физической защиты показана на рис. 17

           
Рис.17

Аппаратные средства защиты

К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям, технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.

Аппаратные средства защиты информации применяются для решения следующих задач:                                    

~       Проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;

~       Выявление каналов утечки информации на разных объектах и в помещениях;

~       Локализация каналов утечки информации;

~       Поиск и обнаружение средств промышленного шпионажа;

~       Противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.

В особую группу выделяются аппаратные средства защиты ЭВМ и коммуникационных систем на их базе.

Аппаратные средства защиты применяются как в отдельных ПЭВМ, так и на различных уровнях и участках сети: в центральных процессорах ЭВМ, в их оперативных ЗУ (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и др.



Программные средства защиты.

Средства защиты компьютера от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы, как:

~     Средства собственной защиты, предусмотренные общим программным обеспечением. Элементы защиты присущие самому программному обеспечению или сопровождающие его продажу.

~     Средства защиты в составе вычислительной системы. Защита аппаратуры, дисков и штатных устройств. Выполнение программ зависит от определенных действий, специальных мер предосторожности.

~     Средства защиты с запросом информации. Требуют ввода дополнительной информации с целью идентификации полномочий пользователя.

~     Средства активной защиты. Инициируются при возникновении особых обстоятельств (ввод неправильного пароля и т.д.).

~     Средства пассивной защиты. Направлены на предостережение, контроль, поиск улик и т.д.



Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации:

~     Защита информации от несанкционированного доступа;

~     Защита информации и программ от копирования;

~     Защита информации и программ от вирусов;

~     Программная защита каналов связи.

Средства программной защиты показаны более подробно на рис. 18


Рис.18

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации:

~       Защита информации от несанкционированного доступа;

~       Защита информации и программ от копирования;

~       Защита информации и программ от вирусов;

~       Программная защита каналов связи.



По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.



Программные средства защиты имеют следующие разновидности специальных программ:

~     Идентификация технических средств, файлов и аутентификации пользователей;

~     Регистрация и контроль работы технических средств и пользователей;

~     Обслуживание режимов обработки информации ограниченного пользования;

~     Защита операционных средств эвм и прикладных программ пользователей;

~     Уничтожение информации в зу после использования;

~     Контроль использования ресурсов;

~     Вспомогательные программы защиты различного назначения.



Криптографические средства защиты

Преобразование математическими методами передаваемого по каналам связи секретного сообщения, телефонного разговора или компьютерных данных таким образом, что они становятся совершенно непонятными для посторонних лиц.
2.4 Система защиты (безопасности)



Под Системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз (Рис. 19).

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

1.      Непрерывной.

2.      Плановой. Каждая служба разрабатывает план защиты информации в сфере своей компетенции.

3.      Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели.

4.      Конкретной. Защищаются конкретные данные, объективно подлежащие защите.

5.      Активной.

6.      Надежной.

7.      Универсальной. Распространяется на любые каналы утечки информации,

8.      Комплексной. Применяются все необходимые виды и формы защиты.



Способы - это порядок и приемы использования сил и средств для достижения поставленной цели по защите конфиденциальной информации.



Способы защиты информации - это совокупность приемов, сил и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность информации, и противодействие внутренним и внешним угрозам. Обеспечение информационной безопасности достигается системой мер, направленных:

~     На предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

~     На выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

~     На обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;

~     На локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

~     На ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.

Предупреждение угроз возможно и путем получения (если хотите — и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.

В предупреждении угроз весьма существенную роль играет информационно аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.



Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции.

Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов.

Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.

Ликвидация последствий имеет целью восстановление состояния предшествовавшего наступлению угрозы.

Естественно предположить, что каждому виду угроз присущи его специфические способы, силы и средства.

Требования к системе безопасности



Рис.19

Непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;

Плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);

Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;

Конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

Активной. Защищать информацию необходимо с достаточной степенью настойчивости;

Надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам;

несанкционированного доступа его необходимо перекрывать разумными и достаточными средствами;

Комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме.
Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию.


Вопросы для самоконтроля

1.      Какие существуют методы обеспечения информационной безопасности в РФ?

2.      Что понимаем под правовыми методами защиты информации?

3.      Перечислите законы регулирующие обеспечение правовых методов защиты информации.

4.      Перечислите и раскройте составляющие национальных интересов в информационной сфере.

5.      Дайте понятие конфиденциальной информации, перечислите её виды.

6.      Что такое коммерческая тайна?

7.      Дайте понятие организационной защиты информации.

8.      Перечислите мероприятия организационной защиты информации. Покажите перечисленное в виде схемы.

9.      Что такое инженерно-техническая защита информации. Перечислите средства инженерно технической защиты.

10.  Перечислите  физические средства защиты информации.

11.  Какие задачи решают аппаратные средства защиты?

12.  Дайте  классификацию программных средств защиты.

13.  Что такое система безопасности?

14.  Какие требования предъявляются к система защиты

15.  Балтийский институт экономики и финансов


Глава 3. Аудит информационной безопасности

3.1      Цели, задачи и направления аудита

информационной безопасности
Аудит (контроль) состояния защиты информации — специальная проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. (Закон РФ «Об информации, информатизации и защите информации»)



Постулаты

1.      Угрозы легче предупредить, чем устранять результаты их воздействия.

2.      На бога надейся, а сам не плошай.

3.      Дружба дружбой, а табачок врозь.



Проведение независимого аудита позволяет своевременно выявить существующие бреши и объективно оценить соответствие параметров, характеризующих режим информационной безопасности (ИБ), необходимому уровню. Для решения этих задач создаются специальные организации аудиторов в области информационной безопасности Они ставят своей целью проведение экспертизы соответствия системы информационной безопасности определенным требованиям, оценки системы управления безопасностью, повышения квалификации специалистов в области информационной безопасности Такие организации могут быть как государственными (например, подразделения государственной технической комиссии при Президенте РФ), так и иметь статус независимых, негосударственных

Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы Основными направлениями деятельности в области аудита безопасности информации являются (рис.20):

1.      Аттестация объектов информатизации по требованиям безопасности информации(рис.21):

a)   Аттестация автоматизированных систем, средств связи, обработки и передачи информации,

b)   Аттестация помещений, предназначенных для введения конфиденциальных переговоров,

c)   Аттестация технических средств, установленных в выделенных помещениях



2.      Контроль защищенности информации ограниченного доступа (рис 22):

a)   Выявление технических каналов утечки информации и способов несанкционированного доступа к ней,

b)   Контроль эффективности применяемых средств защиты информации

3.      Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН) (рис.23):

a)   Персональные ЭВМ, средства связи и обработки информации;

b)   Локальные вычислительные системы;

c)   Оформления результатов исследований в соответствии с требованиями Гостехкомиссии России.

4.      Проектирование объектов в защищенном исполнении (рис.24):

a)   Разработка концепции информационной безопасности (первая глава учебника);

b)   Проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;

c)   Проектирование помещений, предназначенных для ведения конфиденциальных переговоров.





Рис.20






Аттестация объектов информатизации

по требованиям безопасности информации



Скругленная прямоугольная выноска: Аттестация технических  средств, установленных в выделенных  помещениях
Рис.21


Контроль защищенности информации

ограниченного доступа





Рис.22





















Спец исследования технических средств

на наличие побочных электромагнитных излучений и наводок


Рис.23


Проектирование объектов

в защищенном исполнении





Рис.24


3.2.    Аудит выделенных помещений
Общепринятая методика аудита выделенных помещений условно разделяет действия по выявлению средств несанкционированного съема информации (НСИ) на три этапа:

~       Подготовительный этап;

~       Этап непосредственного проведения аудита;

~       Заключительный этап.



Подготовительный этап аудита выделенных помещений:



1.      Уточнение границ и ранжирование по степени важности информации, относимой к конфиденциальной.

2.      Уточнение вероятного злоумышленника, оценка его возможностей, тактики внедрения средств НСИ и их использования.

3.      Разработка замысла проведения аудита выделенных помещений:

a)   Выработка целевой установки;

b)   Определение масштаба и места проведения поисковых мероприятий, выбор времени проведения;

c)   Разработка легенды, под прикрытием которой будет проводиться аудит;

d)   Выработка замысла активации внедренных средств нсд;

e)   Выбор вариантов действий в случае обнаружения средств НСИ,

4.    Изучение планов помещений, схем технических коммуникаций, связи, организации охраны, доступа и других необходимых документов.

5.    Предварительный осмотр объекта.

6.    Разработка перечня аппаратуры, необходимой для проведения проверки помещений и объектов.

7.    Разработка дополнительных мер по активации внедренных средств НСИ на время проведения поиска с различными типами аппаратуры.

8.    Распределение привлекаемых сил и средств по объектам и видам работ.

9.    Уточнение частных методик использования привлекаемой аппаратуры в конкретных условиях проверки.

10.     Оформление плана проведения комплексной проверки помещений и объектов и утверждение его у руководителя предприятия.

11.     Подготовка аппаратуры для проведения поисковых и исследовательских работ.

12.     Предварительный сбор данных и анализ радиоэлектронной обстановки в районе обследуемых объектов и помещений.

13.     Подготовка документов прикрытия работ по проверке помещений в соответствии с выбранной легендой прикрытия.

14.     Подготовка бланков, схем, заготовок других документов, необходимых для проведения работ на последующих этапах.


Перечень специального оборудования и технических средств, рекомендуемых для проведения аудита помещений.

1.    Комплект досмотровых зеркал (ПОИСК-2, ШМЕЛЬ-2) — Визуальный осмотр оборудования, мебели, технологических коммуникаций.

2.    Комплект луп, фонарей — Визуальный осмотр поверхностей и отверстий.

3.    Технический эндоскоп с дистальным концом (серия ЭТ, Olimpus) — Визуальный осмотр труднодоступных полостей и каналов.

4.    Комплект отверток, ключей и радиомонтажного инструмента — Разборка и сборка коммутационных, электроустановочных и других устройств и предметов.

5.    Досмотровый металлоискатель (УНИСКАН 7215, АКА 7202, Comet) — Проверка предметов и элементов интерьера на наличие металлических включений.

6.    Прибор нелинейный радиолокации (NR-900EM, ОРИОН NGE-400, РОДНИК 23) — Проверка строительных конструкций и предметов на наличие радиоэлектронных компонентов.

7.    Переносная рентгена телевизионная установка (ШМЕЛЬ 90/К, ФП-1, РОНА) — Проверка элементов интерьера на наличие скрытно установленных средств НСИ.

8.    Переносный радиоприемник или магнитола — Озвучивание проверяемых помещений.

9.    Многофункциональный поисковый прибор (ПИРА-НЬЯ, ПСЧ-5, D-008) — Проверка проводных коммуникаций на наличие информационных сигналов.

10.     Низкочастотный нелинейный детектор проводных коммуникаций (ВИЗИР, возможная замена по телефонным линиям: ТПУ-5К или SEL SP-18/T) — Проверка проводных коммуникаций на наличие нелинейности параметров линии.

11.     Комплекс обнаружения радиоизлучающих средств и радиомониторинга (КРОНА-бОООМ, КРК, АРК-Д1, OSC-5000) —Анализ радиоэлектронной обстановки, выявление радиоизлучающих средств негласного съема, информации.

12.     Обнаружитель скрытых видеокамер (IRIS VCF-2000, нет аналогов) — Выявление радиоизлучающих видеокамер.

13.     Дозиметр поисковый (РМ-1401, НПО-3) — Обнаружение и локализация источников радиоактивного излучения.

14.     Комплекс для проведения исследований на сверхнормативные побочные электромагнитные излучения (НАВИГАТОР, ЛЕГЕНДА. ЗАРНИЦА) — Выявление информативных побочных электромагнитных излучений.

15.     Комплекс для проведения акустических и вибро -акустических измерений СПРУТ-4А — Выявление акустических и вибро -акустических сигналов и наводок, исследование звуко- и виброизоляции, проверка систем зашумления.
3.3.    Структура плана аудита помещений:
1.      Выводы из оценки противника;

2.      Замысел проведения аудита помещений:

a)   Целевая установка;

b)   Перечень и краткая характеристика проверяемых помещений;

c)   Перечень запланированных для каждого помещения поисковых работ и сопутствующих исследований;

d)   Время проведения проверки;

e)   Легенда, под прикрытием которой будет проводиться проверка;

f)    Меры по активации внедренных средств НСИ;

g)   Действия в случае обнаружения средств НСИ;

3.      Привлекаемые для проведения проверки силы, технические средства и их распределение по объектам и видам работ;

4.      Основные особенности применения технических средств, определяемые условиями проверки;

5.      Дополнительные меры по активизации внедренных средств нси;

6.      Перечень подготавливаемых по результатам проверки итоговых и отчетных документов и срок их представления для утверждения.



Некоторые сложности могут возникнуть при организации предварительного сбора данных и анализа радиоэлектронной обстановки в районе обследуемых помещений. Если служба безопасности предприятия не располагает собственным постом радиомониторинга, с руководителем предприятия должно быть согласовано место и время развертывания временного пункта радиоконтроля с комплектом необходимой радиоприемной и анализирующей аппаратуры. В целях конспирации желательно, чтобы это место находилось где-нибудь за территорией предприятия, но в непосредственной близости от намеченных к проверке помещений. В качестве такого пункта мы рекомендуем использовать обычный легковой автомобиль с развернутым в нем комплексом обнаружения радиоизлучающих средств и радиомониторинга. Итогом деятельности пункта радиоконтроля на этом этапе работ должна быть карта занятости радиоэфира в условиях обычного режима работы предприятия, база данных идентифицированных радиосигналов, а также база данных подозрительных радиоизлучений, требующих дополнительного исследования. Работы подготовительного этапа обычно завершаются разработкой документов, подтверждающих легенду прикрытия при проведении различных видов поисковых и исследовательских работ, а также специальных бланков и заготовок документов, ускоряющих регистрацию промежуточных результатов запланированных работ. Целесообразно заранее изготовить бланки протоколов будущих измерений, схему коммуникаций и планы проверяемых помещений, на которые будут наноситься отметки мест обнаружения средств НСИ и подозрительных мест, журналы регистрации заводских номеров проверенного оборудования, мест установки  пломб и скрытых меток, способствующих ускорению работ при последующих специальных проверках, и.т.д.













3.4.       Этапы непосредственного проведения аудита:
1.         Визуальный осмотр ограждающих конструкцией, мебели и других предметов интерьера помещений;

2.         Проверка элементов строительных конструкций, мебели и других предметов интерьера помещений с использованием специальных поисковых технических средств;

3.         Выполнение запланированных мер по активации внедренных средств НСИ.

4.         Проверка линий и оборудования проводных коммуникаций:

a)   Линий силовой и осветительной электросети;

b)   Линий о оборудования офисной и абонентской телефонной сети;

c)   Линий селекторной связи;

d)   Линий радиотрансляционной сети;

e)   Линий пожарной и охранной сигнализации;

f)    Линий системы часофикации и других проводных линий, в том числе, невыясненного назначения.

5.         Исследование радиоэлектронной обстановки в проверяемых помещениях для выявления сигналов радиопередающих средств НСИ и их локализации;

6.         Поиск средств негласного съема и передачи информации, внедренных в электронные приборы.

7.         Исследование звукопроницаемости элементов конструкций, проверка трубопроводных и других технологических коммуникаций на наличие в них акустических и виброакустических сигналов из проверяемого помещения;

8.         Исследование побочных электромагнитных излучений компьютеров, оргтехники, и другого оборудования для выявления в них информативных сигналов;

                Проверку проводных коммуникаций обычно начинают с поиска в них сигналов подслушивающих устройств или других средств съема информации. Для поиска таких сигналов используется специальная аппаратура. В случае обнаружения в линии сигнала подслушивающего устройства осуществляют тщательный визуальный осмотр доступных участков линии и всех подключенных к линии устройств, приборов, коммутационных и электроустановочных изделий. Обычно, чтобы убедиться в отсутствии в них средств НСИ, следует провести хотя бы частичную их разборку. Тщательно осматриваются подводящие провода, особенно в местах, где возможно несанкционированное подключение к ним каких-либо устройств или отводов. Перед осмотром элементов электросети фазы электросети, по возможности, обесточиваются. В связи с повышенной информативной ценностью для противника телефонных каналов связи проверка телефонных линий и оборудования должна проводиться с особой тщательностью. Помимо традиционного поиска информативных сигналов мы рекомендуем проверять телефонные линии на наличие нелинейности их параметров и несимметрию, которые могут быть обусловлены подключением к линии средств НСИ. Следует помнить, что индуктивные съемники информации с проводных линий не выявляются ни одним из перечисленных типов приборов. Поэтому даже применение нескольких разных по своим возможностям поисковых и анализирующих устройств все-таки не может заменить визуальный осмотр телефонных линий. Особенно детально должны быть осмотрены распределительные коробки и телефонный шкаф, поскольку там наиболее просто может быть осуществлено несанкционированное подключение к линии. Обычно параллельно с проверкой проводных коммуникаций проводится радиомониторинг помещений для выявления информативных побочных излучений оргтехники и сигналов средств НСИ, использующих радиоканал для передачи перехваченной информации. Одной из проблем современного радиомониторинга является выявление средств НСИ с нетрадиционными видами сигналов (например, шумоподобными сигналами с фазовой манипуляцией или сигналами со сверхширокополосной частотной модуляцией) или скачкообразным изменением несущей частоты. Существующие средства радиоконтроля не позволяют автоматически идентифицировать такие излучения с сигналами средств НСИ. В этой связи для радиомониторинга помещений наиболее подходят такие автоматизированные комплексы, которые позволяют оператору в необходимых случаях самому проводить детальный анализ принимаемых сигналов. Серьезным проблемным вопросом поисковых работ является выявление средств НСИ, внедренных противником в ПЭВМ или другие электронные приборы. Особую сложность представляет выявление таких средств, которые были внедрены в прибор заранее, до появления прибора в помещении, в условиях, позволивших закамуфлировать средства съема информации с особой тщательностью. В этой связи в важных служебных помещениях рекомендуется размещать только сертифицированные технические средства, прошедшие предварительный визуальный осмотр и специальную проверку. Напомним, что такую процедуру должны проходить не только новые электронные приборы, но и любые новые предметы и подарки, включая книги, видеокассеты, пепельницы и т.п. В случае подозрения на возможность внедрения противником средств НСИ в ПЭВМ или другие электронные приборы следует провести детальное обследование этих приборов. Прежде всего проверяемый прибор необходимо разместить отдельно от другие подключить его к электросети и попытаться с помощью индикатора поля зафиксировать факт наличии или отсутствия радиоизлучения внедренного средств съема информации. Поиск излучения целесообразно повторить после приведения прибора в рабочее состояние (включения прибора). Затем с помощью прибор ПСЧ-5 или ему подобного следует убедиться в наличии или отсутствии сигналов, возможно передаваемы: внедренным средством по проводам электрической сети или, если они есть, другим подключенным к при бору проводным линиям. Следующая стадия обследования — разборка прибора и тщательный визуальный осмотр его содержимого. В процессе осмотра обращают внимание на наличие в приборе нестандартных или дополнительных плат, радиоэлементов, следов не фабричного монтажа. С особой тщательностью, с помощью лупы осматривают крупно габаритные детали: микросхемы, электролитические конденсаторы, мощные транзисторы, коммутационны элементы. Существенную помощь при этом могут оказать ранее сделанные фотографии расположения элементов монтажа на платах аналогичного прибора.  В отчетных документах по проведению специальной проверки помещений обычно требуется оценит возможность утечки информации по различным техническим каналам. Для этого проводятся специальные исследования, включающие исследование ПЭМИ компьютеров и других средств оргтехники, наводок возникающих за счет ПЭМИ и взаимного влияния электромагнитных полей проводных линий, информативных сигналов в цепях заземления, виброакустических сигналов в элементах конструкции помещений и другие. Заключительный этап работ по комплексной специальной проверке помещений заключается в обработке результатов исследований, проведении необходимых инженерных расчетов, разработке и представлении руководству отчетных и итоговых документов Итоговым документом, завершающим работы по обследованию помещений на наличие средств НСИ является акт проведения комплексной специальной проверки помещений. Акт подписывается руководителем и членами поисковой бригады, согласовывается с руководителем организации, проводившей поисковые работы, и утверждается руководителем предприятия. Этот документ обычно включает:



~     Время проведения специальной проверки;

~     Состав поисковой бригады;

~     Перечень проверенных помещений и объектов;

~     Перечень и объем основных поисковых работ и сопутствующих исследований;

~     Перечень использовавшейся поисковой и исследовательской аппаратуры;

~     Результаты специальной проверки:

~     Место обнаружения средства НСИ, их состояние и краткие характеристики;

~     Принятые по отношению к обнаруженным средствам меры;

~     Выводы из оценки существующей степени защищенности помещений и объектов от утечки конфиденциальной информации по различным каналам;

~     Рекомендации по повышению защищенности помещений и объектов и предотвращению.


3.5.    Заключительный этап комплексной

специальной проверки помещений:
1.      Обработка результатов исследования, оформление протоколов измерений, регистрационных журналов, проведение необходимых инженерных расчетов.

2.      Определение технических характеристик, потребительских свойств изъятых средств НСИ, ориентировочного времени и способов их внедрения.

3.      Составление описания проведенных работ и исследований с приложением необходимых схем и планов помещений.

4.      Разработка рекомендаций по повышению защищенности проверенных помещений и объектов:

~     Составление перечня и схем выявленных технических каналов утечки информации по каждому помещению и объекту;

~     Оценка степени существующей защиты каждого помещения и объекта от негласного съема информации по выявленным каналам ее утечки;

~     Разработка дополнительных мер и способов щиты по каждому каналу и помещению (организационных, в том числе: режимных, инженерно- технических).

5.      Составление сводного перечня технических сред и систем, рекомендуемых к установке для защиты информации от утечки по техническим каналам.

6.      Разработка предложений по способам использования рекомендуемых технических средств и систем и объединению их в единую комплексную систему защиты информации.

7.      Составление акта проведения комплексной специальной проверки помещений.

8.      Представление итоговых и отчетных документов руководителю предприятия для утверждения.



К числу отчетных документов относится описание проведенных работ и исследований. В состав этого документа в качестве приложений входят протокол измерений, необходимые инженерно-технические выкладки, планы помещений с указанием места разрушения аппаратуры, обнаруженных средств НСИ и технических каналов утечки информации. В этих документах указывается: аппаратура, использованная для проведения измерений, ее заводские номера и даты последних проверок, методика проведения измерений уровни обнаруженных сигналов, их частоты и другие параметры. Для руководства предприятия, заказавшего поведение комплексной специальной проверки помещений, наибольший интерес, помимо результатов поиска средств НСИ, представляют рекомендации по повышению защищенности проверенных помещений предотвращению съема информации по выявленным техническим каналам ее утечки. В зависимости объема и степени детализации эти рекомендации могут составлять отдельный отчетный документ. Зачастую руководство предприятия ожидает от специалистов строгих количественных оценок степени защиты каждого помещения и объекта от негласного съема информации по всем выявленным каналам ее утечки. На практике такие оценки удается получить далеко не всегда, ибо они требуют проведения дополнительных исследований и расчетов, как правило, выходящих за рамки специальной проверки помещений. Обычно приходится ограничиваться указанием зон энергетической доступности источников информативных сигналов, ранжированием выявленных каналов утечки информации по степени угроз, экспертными оценками вероятности съема информации различными видами специальных технических средств и другими аналогичными показателями. При разработке рекомендаций по перекрытию каналов утечки информации следует руководствоваться соображениями здравого смысла. Меры защиты должны быть адекватны степени угроз, в противном случае все финансовые ресурсы предприятия могут целиком уйти на создание системы защиты информации. Опытный специалист, владеющий основами системного мышления, всегда может найти такую комбинацию организационных, инженерных, технических мер и способов защиты, которая будет близка к оптимальной по универсальному критерию «эффективность стоимость». Простой набор мер и средств защиты информации нейтрализует лишь отдельные угрозы ее безопасности, оставляя бреши в обороне. Только постоянно развивающаяся система информационной безопасности может сдержать натиск непрерывно совершенствующихся средств и методов негласного съема информации.





Вопросы для самоконтроля

1.      Что такое аудит информационной безопасности? Её цели и задачи.

2.      Перечислите этапы аудита помещений

3.      Перечислите основные направления деятельности в области аудита безопасности информации.

4.      Раскройте направления деятельности в области аудита безопасности Информации.

5.      Что включает в себя подготовительный этап аудита выделенных Помещений?

6.      Назовите несколько специальных оборудований и технических средств, рекомендуемых для проведения аудита помещений.

7.      Дайте структуру плана аудита помещений.

8.      Назовите этапы непосредственного проведения аудита.

9.      Что включает в себя заключительный этап комплексной специальной проверки помещений.

10.  Что составляется по завершении аудита помещений и какие пункты в нем необходимо отразить?


Список рекомендуемой литературы

~       Конституции Российской Федерации (ст. 2, 23, 24, 29, 33, 41, 42, 44 Конституции РФ)

~       Доктрина информационной безопасности РФ от 9 сентября 2000г, No. ПР-1895

~       Федеральный закон РФ «О государственной тайне» от 21 июля 1993г. No 5485, (с изменениями и дополнениями от б октября 1997г.)

~       Дополнение к базовому закону от 20.02.1995 N 24-ФЗ "ОБ ИНФОРМАЦИИ,

~       ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ" (принят ГД ФС РФ 25.01.1995)

~       Федеральный закон РФ «О федеральных органах правительственной связи и информации» от 19 февраля 1993г., No. 4524-1;

~       Федеральный закон «О безопасности» от 05 марта 1992г;

~       Федеральный закон «Об информации, информатизации и защите информации» от 20 февраля 1995г. , No. 24-ФЗ;

~       Указ Президента РФ «Перечень сведений конфиденциального характера» No. 188 от 06 марта 1997г.;

~       Постановление Правительства РФ от 26 июня 1995г No 608 «О сертификации средств защиты информации»

~       Постановление Правительства РФ от 15.09.93 № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам»

~       Указы Президента РФ «О создании государственной технической комиссии при Президенте РФ» (от 05.01.92 № 9);

~       Указы Президента РФ «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» (от 08.05.93 № 644);

~       Указ Президента РФ «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (от 03.04.95 № 334);

~       Указ Президента РФ «Положение о государственной системе защиты информации в Российской Федерации».

~       ГОСТ Р 50739-95 «СВТ. Защита от НСД к информации»;

~       ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

~       ГОСТ Р.34.10-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»;

~       ГОСТ Р.34.11-94 «Функция хеширования»; ГОСТ Р.В.50170-92 «Противодействие ИТР. Термины и определения».

~       ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ».

~       - ГОСТ Р 50752 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний».













Дополнительная Литература

~       Тихонов В.А., Райх В.В./ Информационная безопасность/ Гелиос, 2006 Белов Е.Б. и др./Основы информационной безопасности/ Гелиос, 2007 Оливер Ибе/ Сети и удаленный доступ/ М.:ДМК, 2007

~       Одинцов А.А./ Экономическая и информационная безопасность/М.:Экзамен, 2005

~       Баяндин Н.И. / Технология безопасности бизнеса/ М.: Юрист, 2002

~       Стрельцов А.А./ Обеспечение информационной безопасности России/МЦНМО, 2002

~       Манойло А.В., Петренко А.И., Фролов Д.Б./Государственная информационная политика в условиях информационно-психологической войны/ М.: Горячая линия - Телеком

~       Ярочкин В.И. Информационная безопасность. Учебное пособие для студентов непрофильных вузов.

~       Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. - М.:«Яхтсмен», 1996.

~       В.А. Галатенко. Стандарты информационной безопасности. Курс лекций. - М.: Интернет-Университет Информационных технологий, 2004.

~       Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. - Гостехкомиссия России, 1992.

~       Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992



1. Реферат Невербальные средства общения 16
2. Реферат Коптский календарь
3. Реферат Организация аналитического и синтетического учета с покупателями и заказчиками
4. Отчет по практике Особенности деятельности прокуратуры Харабалинского района
5. Реферат Расчёт количества ТО и ремонтов машин хозяйства с разработкой технологической карты ремонта карб
6. Реферат Социализирующая функция культуры
7. Реферат на тему An Essay On Mozambique Essay Research Paper
8. Реферат Бутлеров Александр Михайлович
9. Реферат на тему Guilt As Reparation For Sin In The
10. Реферат на тему Chivalry Essay Research Paper Chivalry