Другие
нормативные документы определяют максимально допустимые значения уровней полей
с информацией и концентрации демаскирующих веществ на границах контролируемой
зоны, которые обеспечивают требуемый уровень безопасности информации. Эти нормы
разрабатываются
соответствующими
ведомствами, а для коммерческих структур, выполняющих негосударственные
заказы, - специалистами этих структур.
Работа по защите
информации в организации проводится всеми сотрудниками, но степень участия
различных категорий существенно отличается. Любой сотрудник, подписавший
обязательство о неразглашении тайны участвует в защите информации хотя бы путем
выполнения руководящих документов о защите информации.
Ответственность
за состояние защиты информации возлагается на соответствующее подразделение и
лиц службы безопасности. Применительно к типовой структуре службы безопасности
коммерческой структуры инженерно-техническая защита обеспечивается группой инженерно-технической
защиты, которая, как вариант, может состоять из старшего инженера (инженера) -
руководителя группы и инженера (техника) по специальным измерениям.
Основные задачи
группы:
- обследование
выделенных помещений с целью установления потенциально возможных каналов утечки
конфиденциальной информации через технические средства, конструкции зданий и
оборудования;
- выявление
и оценка степени опасности технических каналов утечки информации;
- разработка
мероприятий по ликвидации (предотвращению утечки) потенциальных каналов утечки
информации;
- организация
контроля (в том числе и инструментального) за эффективностью принятых защитных
мероприятий, анализ результатов контроля и разработка предложений по повышению
надежности и эффективности мер защиты;
- подготовка
заявок на приобретение технических средств защиты информации, участие в их
установке, эксплуатации и контроле состояния.
Кроме того, на
группу инженерно-технической защиты информации целесообразно возложить также
технические вопросы охраны носителей информации.
3.2
Организационные и технические меры по инженерно- технической защите информации
В организациях
работа по инженерно-технической защите информации включает два этапа:
-
построение
или модернизация системы защиты;
-
поддержание
защиты информации на требуемом уровне.
Построение
системы защиты информации проводится во вновь создаваемых организациях, в
остальных - модернизация существующей.
Построение
(модернизация) системы защиты информации и поддержания на требуемом уровне ее защиты
в организации предусматривают проведение следующих основных работ:
-
уточнение
перечня защищаемых сведений в организации, определение источников и носителей
информации, выявление и оценка угрозы ее безопасности;
-
определение
мер по защите информации, вызванных изменениями
целей и задач
защиты, перечня защищаемых сведений, угроз безопасности информации;
-
контроль
эффективности мер по инженерно-технической защите
информации в
организации.
Меры по защите
информации целесообразно разделить на 2 группы: организационные и технические.
В публикациях, в том числе в некоторых руководящих документах, меры по защите
делят на организационные, организационно-технические и технические. Учитывая
отсутствие достаточно четкой границы между организационно-техническими и
организационными, организационно-техническими и техническими мерами,
целесообразно ограничиться двумя группами: организационными и техническими. При
такой классификации к техническим относятся меры, реализуемые путем установки
новых или модернизации используемых инженерных и технических средств защиты
информации. Основу организационных мер инженерно-технической зашиты информации
составляют меры, определяющие порядок использования этих средств.
Организационные
меры инженерно-технической защиты информации включают, прежде всего,
мероприятия по эффективному использованию технических средств регламентации и
управления доступом к защищаемой информации, а также по порядку и режимам
работы технических средств защиты информации. Организационные меры инженерно-технической
защиты информации являются частью ее организационной защиты, основу которой
составляют регламентация и управление доступом.
Регламентация -
это установление временных, территориальных и режимных ограничений в
деятельности сотрудников организации и работе технических средств, направленные
на обеспечение безопасности информации.
Регламентация
предусматривает:
-
установление
границ контролируемых и охраняемых зон;
-
определение
уровней защиты информации в зонах;
регламентация
деятельности сотрудников и посетителей (разработка
распорядка дня,
правил поведения сотрудников в организации и вне ее
и т. д.);
-
определение
режимов работы технических средств, в том числе сбора,
обработки и
хранения защищаемой информации на ПЭВМ, передачи
документов,
порядка складирования продукции и т. д.
Управление
доступом к информации включает следующие мероприятия:
-
идентификацию
лиц и обращений;
-
проверку
полномочий лип и обращений;
-
регистрацию
обращений к защищаемой информации;
-
реагирование
на обращения к информации.
Идентификация
пользователей, сотрудников, посетителей, обращений
к каналам
телекоммуникаций проводится с целью их надежного опознавания.
Способы
идентификации рассмотрены выше.
Проверка
полномочий заключается в определении прав лиц и обращений по каналам связи на
доступ к защищаемой информации. Для доступа к информации уровень полномочий
обращения не может быть ниже разрешенного. С целью обеспечения контроля над
прохождением носителей с закрытой информацией производится регистрация (протоколирование)
обращений к ним путем записи в карточках, журналах, на магнитных носителях.
Реагирование на
любое обращение к информации заключается либо в разрешении доступа к
информации, либо в отказе. Отказ может сопровождаться включением сигнализации,
оповещением службы безопасности или правоохранительных органов, задержанием
злоумышленника при его попытке несанкционированного доступа к защищаемой
информации.
Технические меры
предусматривают применение способов и средств. рассмотренных в данной книге.
Важнейшее и
необходимое направление работ по защите информации -контроль эффективности
защиты. Этот вид деятельности проводится прежде всего силами службы
безопасности, а также руководителями структурных подразделений. Контроль
инженерно-технической зашиты является составной частью контроля защиты
информации в организации и заключается, прежде всего, в определении (измерении)
показателей эффективности защиты техническими средствами и сравнении их с
нормативными.
Применяют
следующие виды контроля:
-
предварительный;
-
периодический;
-
постоянный.
Предварительный
контроль проводится при любых изменениях состава, структуры и алгоритма
функционирования системы защиты информации, в том числе:
-
после
установки нового технического средства защиты или изменении организационных
мер;
-
после
проведения профилактических и ремонтных работ средств защиты;
-
предотвращение
использование поддельных документов и документов лицами, которым они не
принадлежат.
-
после
устранения выявленных нарушений в системе защиты.
Периодический
контроль осуществляется с целью обеспечения систематического наблюдения за
уровнем зашиты. Он проводится выборочно (применительно к отдельным темам работ,
структурным подразделениям или
всей организации)
по планам, утвержденным руководителем организации,
а также
вышестоящими органами.
Наиболее часто
должен проводиться периодический контроль на химических предприятиях, так как
незначительные нарушения в технологическом процессе могут привести к утечке
демаскирующих веществ. Для определения концентрации демаскирующих веществ
регулярно берутся возле предприятия пробы воздуха, воды, почвы, снега,
растительности.
Периодичность и
места взятия проб определяются характером производил с учетом условий
возможного распространения демаскирующих веществ, например, розы ветров и
скорости воздушных потоков, видов водоемов (искусственный, озеро, болото, река
и др.), характера окружающей местности и т. д. Пробы воздуха рекомендуется
брать с учетом направлений ветра на высоте примерно 1.5 м в непосредственной
близости от границ территории (50-100 м) и в зоне максимальной концентрации
демаскирующих веществ, выбрасываемых в атмосферу через трубы. Пробы воды
берутся в местах слива в водоемы к поверхностном слое и на глубине 30-50 см с
последующим смешиванием. Берутся также пробы почвы и пыли на растительности. С
этой целью собирают листья с нескольких деревьев и кустов на уровне 1.5-2 м от
поверхности и не ранее недели после дождя.
Периодический
(ежедневный, еженедельный, ежемесячный) контроль должен проводиться также
сотрудниками организации в части источников информации, с которыми они
работают.
Общий (в рамках
всей организации) периодический контроль проводится обычно 2 раза в год. Целью
его является тщательная проверка работоспособности всех элементов и системы
защиты информации в целом.
Постоянный
контроль осуществляется выборочно силами службы безопасности и привлекаемых
сотрудников организации с целью объективной оценки уровня зашиты информации и.
прежде всего, выявления слабых мест в системе защиты организации. Кроме того,
такой контроль оказывает психологическое воздействие на сотрудников
организации, вынуждая их более тщательно выполнять требования по обеспечению
защиты информации.
Меры контроля,
также как и защиты, представляют совокупность организационных и технических
мероприятий, проводимых с целью проверки выполнения установленных требований и
норм по защите информации. Организационные меры контроля включают:
-
проверку
выполнения сотрудниками требований руководящих
документов по
защите информации;
-
проверку
работоспособности средств охраны и защиты информации
от наблюдения,
подслушивания, перехвата и утечки информации по
материально-вещественному
каналу (наличие занавесок, штор, жалюзей на окнах, чехлов на разрабатываемых
изделиях, состояние звукоизоляции, экранов, средств подавления опасных сигналов
и зашумления, емкостей для сбора отходов с демаскирующими веществами и т. д.);
-
контроль
за выполнением инструкций по защите информации о разрабатываемой продукции;
-
оценка
эффективности применяемых способов и средств зашиты
информации.
Технические меры
контроля проводятся с использованием технических
средств радио - и
электроизмерений, физического и химического анализа и обеспечивают проверку:
-
напряженности
полей с информацией на границах контролируемой зоны;
-
уровней
опасных сигналов и помех в проводах и экранах кабелей, выходящих за пределы
контролируемой зоны;
-
концентрации
демаскирующих веществ в отходах производства.
-
степени
зашумления генераторами помех структурных звуков в ограждениях;
Для измерения
напряженности электрических полей используются селективные вольтметры,
анализаторы спектра, панорамные приемники.
Следует также
отметить, что добросовестное и постоянное выполнение сотрудниками организации
требований по защите информации основываете на рациональном сочетании способов
принуждения и побуждения.
Принуждение -
способ, при котором сотрудники организации вынуждены соблюдать правила
обращения с источниками и носителями конфиденциальной информации под угрозой
материальной, административной или уголовной ответственности.
Побуждение
предусматривает использование для создания у сотрудников установки на
осознанное выполнение требований по защите информации, формирование моральных,
этических, психологических и других нравственных мотивов. Воспитание
побудительных мотивов у сотрудников организации является одной из задач службы
безопасности, но ее усилия найдут благодатную почву у тех сотрудников, которые
доброжелательно относятся к руководству организации и рассматривают организацию
как долговременное место работы. Создание условий, при которых место работы
воспринимается как второй дом, является, по мнению компетентных аналитиков,
одним из факторов экономического роста Японии. Поэтому эффективность защиты в
значительной степени влияет климат в организации, который формируется ее
руководством.
Выводы
по разделу
Любая система
создается под заданные требования с учетом существующих ограничений. Факторы,
влияющие на структуру и функционирование системы, называются системообразующими.
Порядок защиты
информации в организации определяется соответствующим руководством
(инструкцией).
Для защиты
информации об изделии на каждом этапе его создания разрабатывается
соответствующая инструкция. Инструкция должна содержать необходимые для
обеспечения безопасности информации сведения, в том числе: общие сведения о
наименовании образца, защищаемые сведения и демаскирующие признаки,
потенциальные угрозы безопасности информации, замысел и меры по защите, порядок
контроля (задачи, органы контроля, имеющие право на проверку, средства
контроля, допустимые значения контролируемых параметров, условия и методики,
периодичность и виды контроля), фамилии лиц. ответственных за безопасность
информации.
Ответственность
за состояние защиты информации возлагается на соответствующее подразделение и
лиц службы безопасности.
Регламентация -
это установление временных, территориальных и режимных ограничений в
деятельности сотрудников организации и работе технических средств, направленные
на обеспечение безопасности информации.
Реагирование на
любое обращение к информации заключается либо в разрешении доступа к
информации, либо в отказе. Отказ может сопровождаться включением сигнализации,
оповещением службы безопасности или правоохранительных органов, задержанием
злоумышленника при его попытке несанкционированного доступа к защищаемой
информации.
Периодический
(ежедневный, еженедельный, ежемесячный) контроль должен проводиться также
сотрудниками организации в части источников информации, с которыми они
работают.
Заключение
Подводя итоги,
хотелось бы отметить, что организация защиты информации в организации на данном
этапе имеет достаточно сильную нормативно-правовую базу, в которой учитывается
возможность пресечения большинства каналов проникновения злоумышленников,
регламентируются меры по организации системы защиты на предприятии.
В данной курсовой
работе показано как осуществляется организация офисной деятельности, что
представляет собой организация и из каких элементов она состоит.
Основные
направления обеспечения безопасности информационных ресурсов, расписанные в
данной работе, позволяют увидеть, что следует подразумевать под
конфиденциальной информацией, какие организационные и технические меры следует
предпринять начальнику службы безопасности, чтобы минимизировать угрозу
целостности и конфиденциальности информации, циркулирующей в организации. Ведь
как указывалось во введении- никакая, даже самая совершенная в организационном
плане и великолепно оснащенная технически система защиты информации не может
соперничать с изобретательностью и хитростью человека, задумавшего украсть или
уничтожить ценную информацию.
Вопросы защиты
информации, описанные в данной работе, рассматриваются в широком диапазоне
современных проблем и затрагивают организационные и технологические сферы
защиты как документированной информации (на бумажных и технических носителях),
циркулирующей в традиционном или электронном документообороте, так и
недокументированной информации.
Список
использованной литературы
1) Привес М. Г. Анатомия
человека. – С.-П. «МЕДИЦИНА», 1994.
2) Теория управления социалистическим производством: учеб. / под ред. О. В.
Козловой. М.: Экономика, 1979..
3) Афанасьев В. Г. Человек в
управлении обществом. М.: Политиздат, 1977.
4) Торокин А.А. Основы
инженерно-технической защиты информации. - М.: Издательство «Ось-89».1998
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9
|