Организационные и технические меры инженерно-технической защиты информации в организации

Автор: Пользователь скрыл имя, 11 Декабря 2011 в 17:03, реферат

Краткое описание

Необходимый уровень защищенности документированной информации достигается в значительной степени за счет использования в обработке традиционных, машиночитаемых и электронных конфиденциальных документов эффективной для конкретной фирмы специализированной традиционной или автоматизированной технологической системы, позволяющей решать задачи не только документационного обеспечения управленческой и производственной деятельности, но и сохранности носителей и конфиденциальности информации.

Скачать в ZIP (31.30 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

реф. по ИТЗИ1.doc

— 124.00 Кб (Скачать)

     Риск  угрозы дестабилизирующего воздействия  любым (открытым и ограниченного  доступа) информационным ресурсам создают  стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: несанкционированное уничтожение документов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.

     Для информационных ресурсов ограниченного  доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников.

     Под злоумышленником понимается лицо, действующее  в интересах конкурента, противника или в личных корыстных интересах (агентов иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельных преступных элементов, лиц, сотрудничающих со злоумышленником, психически больных лиц и т. п.).

     Основной  угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат - овладение информацией и противоправное ее использование или совершение иных дестабилизирующих действий.

     Каналы  несанкционированного доступа, утраты информации могут быть двух типов: организационные  и технические. Обеспечиваются они  легальными и нелегальными методами.

     Организационные каналы разглашения информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с фирмой или ее сотрудником для последующего несанкционированного доступа к интересующей информации.

     Основными видами организационных каналов могут быть:

  • поступление злоумышленника на работу в фирму, как правило, на техническую, второстепенную должность (оператором ЭВМ, секретарем, дворником, слесарем, охранником, шофером и т. п.);
  • участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обманных способов;
  • поиск злоумышленником сообщника (инициативного помощника), работающего в интересующей его фирме, который становится его соучастником;
  • установление злоумышленником доверительных взаимоотношений с сотрудником учреждения, фирмы или посетителем, сотрудником другого учреждения, обладающим интересующими злоумышленника сведениями;
  • использование коммуникативных связей фирмы - участие в переговорах, совещаниях, переписке с фирмой и др.;
  • использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;
  • тайное или по фиктивным документам проникновение в здание фирмы и помещения, криминальный, силовой доступ к информации, т. е. кража документов, дискет, дисков, компьютеров, шантаж и склонение к сотрудничеству отдельных сотрудников, подкуп сотрудников, создание экстремальных ситуаций и т. п.;
  • получение нужной информации от третьего (случайного) лица. Организационные каналы находятся или формируются злоумышленником индивидуально в соответствии с его профессиональным умением оценивать конкретную ситуацию, сложившуюся в фирме, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной аналитической работы.

     Техническое обеспечение офисных технологий создает широкие возможности несанкционированного получения ценных сведений. Любая управленческая деятельность всегда связана с обсуждением ценной информации в кабинетах или по линиям связи, проведением расчетов и анализа ситуаций на ЭВМ, изготовлением, размножением документов и т. п.

     Технические каналы утечки информации возникают  при использовании злоумышленником  специальных технических средств  промышленного шпионажа, позволяющих  получать защищаемую информацию без  непосредственного контакта с персоналом фирмы, документами, делами и базами данных. Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику.

     В нашей стране проблемы защиты информации усугубляются несовершенством законодательной базы по сохранению государственной и коммерческой тайн.

     Меры инженерно-технической защиты информации представляют собой совокупность технических средств и способов их использования, которые обеспечивают требуемый уровень безопасности информации при минимуме ресурса. Каждому набору угроз соответствует рациональный набор мер защиты. Определение такого набора является основной задачей инженерно-технической защиты информации.

    Инженерно-техническая  защита информации включает комплекс организационных и технических мер по обеспечению информационной безопасности техническими средствами и решает следующие задачи:

  1. Предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения.
  2. Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении.
  3. Предотвращение утечки информации по различным техническим каналам.

Способы и средства решения первых двух задач  не отличаются от способов и средств защиты любых материальных ценностей, третья задача решается исключительно способами и средствами инженерно-технической защиты информации.

     Инженерно-техническая  защита информации представляет собой  достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты. Для обеспечения эффективной инженерно-технической защиты информации необходимо определить:

  1. Что защищать техническими средствами в данной организации, здании, помещении;
  2. Каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств;
  3. Какие способы и средства целесообразно применять для обеспечения информационной безопасности с учётом как величины угрозы, так и затрат на её предотвращение;
  4. Как организовать и реализовать техническую защиту информации в организации.

     Без этих знаний защита информации может  проводиться в форме круговой обороны (принеограниченных ресурсах) или "латания дыр" в более реальном варианте ограниченности средств.

     При организации защиты информации, как  и других видов защиты, необходимо также знать и учитывать психологические  факторы, влияющие на принятие решения  руководителем или любым другим ответственным лицом. Это обусловлено тем, что меры по защите имеют превентивную направленность без достаточно достоверных данных о потенциальных угрозах не вообще, а применительно к конкретной организации. Кроме того, последствия скрытого хищения информации проявляются спустя некоторое время, когда порой бывает достаточно трудно выявить истинную причину ухудшения финансового положения фирмы или появления у конкурента идентичной продукции. Эти факторы не способствуют психологической готовности руководителя на достаточно большие затраты на защиту информации. Тем не менее, мировой опыт организации защиты информации подтверждает, что на информационную безопасность фирмы вынуждены выделять порядка 10-20% от общей прибыли. Поскольку значительную часть расходов на защиту информации составляют затраты на покупку и эксплуатацию средств защиты, то методология инженерно-технической защиты информации должна обеспечивать возможность рационального выбора средств защиты информации.

     При решении задач защиты информации объективно существует необходимость  учёта большого числа различных  факторов, что не удаётся, как правило, сделать на основе здравого смысла. Поэтому основы инженерно-технической  защиты информации должны содержать  как теоретические знания, так и методические рекомендации, обеспечивающие решение этих задач. 

     3. ОРГАНИЗАЦИЯ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ  ЗАЩИТЫ  ИНФОРМАЦИИ

     Структура и алгоритм функционирования системы  защиты организации определяются в  руководящих, нормативных и методических документах. К руководящим документам относятся:

     - руководство (инструкция) по защите информации в организации;

     - положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации;

     -  инструкции по работе с грифованными документами;

     -  инструкции по защите информации о конкретных изделиях: В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается неизменной, так как необходимость в них объективна.

     Порядок защиты информации в организации  определяется соответствующим руководством (инструкцией). Оно может содержать  следующие разделы:

     - общие положения;

     - перечень охраняемых сведений;

     - демаскирующие признаки объектов организации;

     - демаскирующие вещества, создаваемые в организации;

     - оценки возможностей органов и средств добывания информации,

     организационные и технические мероприятия по защите информации;

     -  порядок планирования работ службы безопасности;

     -  порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.

     Но  в данном руководстве нельзя учесть всех особенностей защиты информации в конкретных условиях. В любой  организации постоянно меняется ситуация с источниками и носителями конфиденциальной информации  угрозами ее безопасности.

     Работа  по защите информации в организации  проводится всеми сотрудниками, но степень участия различных категорий  существенно отличается. Любой сотрудник, подписавший обязательство о неразглашении тайны участвует в защите информации хотя бы путем выполнения руководящих документов о защите информации.

     Ответственность за состояние защиты информации возлагается  на соответствующее подразделение  и лиц службы безопасности. Применительно к типовой структуре службы безопасности коммерческой структуры инженерно-техническая защита обеспечивается группой инженерно-технической   защиты, которая, как вариант, может состоять из старшего инженера (инженера) - руководителя группы и инженера (техника) по специальным измерениям.

     Основные  задачи группы:

     - обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования;

     - выявление и оценка степени опасности технических каналов утечки информации;

     - разработка мероприятий по ликвидации (предотвращению утечки) потенциальных каналов утечки информации;

     - организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий, анализ результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты;

     - подготовка заявок на приобретение технических средств защиты информации, участие в их установке, эксплуатации и контроле состояния.

     Кроме того, на группу инженерно-технической  защиты информации целесообразно возложить  также технические вопросы охраны носителей информации.

     В организациях работа по инженерно-технической  защите информации включает два этапа:

  • построение или модернизация системы защиты;
  • поддержание защиты информации на требуемом уровне.

       Построение системы защиты информации  проводится во вновь создаваемых  организациях, в остальных - модернизация  существующей.

     Построение (модернизация) системы защиты информации и поддержания на  требуемом уровне ее защиты в организации предусматривают проведение следующих основных работ:

  • уточнение перечня защищаемых сведений в организации, определение источников и носителей информации, выявление и оценка угрозы ее безопасности;
  • определение мер по защите информации, вызванных изменениями

     целей и задач защиты, перечня защищаемых сведений, угроз безопасности информации;

  • контроль эффективности мер по инженерно-технической защите

     информации  в организации.

     Меры по защите информации целесообразно разделить на 2 группы: организационные и технические. В публикациях, в том числе в некоторых руководящих документах, меры по защите делят на организационные, организационно-технические и технические. Учитывая отсутствие достаточно четкой границы между организационно-техническими и организационными, организационно-техническими и техническими мерами, целесообразно ограничиться двумя группами: организационными и техническими. При такой классификации к техническим относятся меры, реализуемые путем установки новых или модернизации используемых инженерных и технических средств защиты информации. Основу организационных мер инженерно-технической зашиты информации составляют меры, определяющие порядок использования этих средств.

Информация о работе Организационные и технические меры инженерно-технической защиты информации в организации