Организационные и технические меры инженерно-технической защиты информации в организации

     Организационные меры инженерно-технической защиты информации включают, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом.

     Регламентация - это установление временных, территориальных  и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации.

     Регламентация предусматривает:

• установление границ контролируемых и охраняемых зон;
• определение уровней защиты информации в зонах;

     - регламентация деятельности сотрудников и  посетителей (разработка распорядка дня, правил поведения сотрудников в организации и вне ее и т. д.);

• определение режимов работы технических средств, в том числе сбора, обработки и хранения защищаемой информации на ПЭВМ, передачи

документов, порядка складирования продукции  и т. д.

     Управление  доступом к информации включает следующие  мероприятия:

• идентификацию лиц и обращений;
• проверку полномочий лип и обращений;
• регистрацию обращений к защищаемой информации;
• реагирование на обращения к информации. 

     Идентификация пользователей, сотрудников, посетителей, обращений

к каналам  телекоммуникаций проводится с целью  их надежного опознавания.

     Проверка  полномочий заключается в определении  прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к  информации уровень полномочий обращения не может быть ниже разрешенного. С целью обеспечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.

     Реагирование  на любое обращение к информации заключается либо в разрешении доступа  к информации, либо в отказе. Отказ  может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

     Важнейшее и необходимое направление работ  по защите информации - контроль эффективности защиты. Этот вид деятельности проводится прежде всего силами службы безопасности, а также руководителями структурных подразделений. Контроль инженерно-технической защиты является составной частью контроля защиты информации в организации и заключается, прежде всего, в определении (измерении) показателей эффективности защиты техническими средствами и сравнении их с нормативными.

     Применяют следующие виды контроля:

• предварительный;
• периодический;
• постоянный.

     Предварительный контроль проводится при любых изменениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:

• после установки нового технического средства защиты или изменении организационных мер;
• после проведения профилактических и ремонтных работ средств защиты;
• предотвращение использование  поддельных документов и документов лицами, которым они не принадлежат.
• после устранения выявленных нарушений в системе защиты.

     Периодический контроль осуществляется с целью  обеспечения систематического наблюдения за уровнем зашиты. Он проводится выборочно (применительно к отдельным темам работ, структурным подразделениям или всей организации) по планам, утвержденным руководителем организации, а также вышестоящими органами.

     Наиболее  часто должен проводиться периодический  контроль на химических предприятиях, так как незначительные нарушения в технологическом процессе могут привести к утечке демаскирующих веществ. Для определения концентрации демаскирующих веществ регулярно берутся возле предприятия пробы воздуха, воды, почвы, снега, растительности.

     Периодичность и места взятия проб определяются характером производил с учетом условий возможного распространения демаскирующих веществ, например, розы ветров и скорости воздушных потоков, видов водоемов (искусственный, озеро, болото, река и др.), характера окружающей местности и т. д. Пробы воздуха рекомендуется брать с учетом направлений ветра на высоте примерно 1.5 м в непосредственной близости от границ территории (50-100 м) и в зоне максимальной концентрации демаскирующих веществ, выбрасываемых в атмосферу через трубы. Пробы воды берутся в местах слива в водоемы к поверхностном слое и на глубине 30-50 см с последующим смешиванием. Берутся также пробы почвы и пыли на растительности. С этой целью собирают листья с нескольких деревьев и кустов на уровне 1.5-2 м от поверхности и не ранее недели после дождя.

     Периодический (ежедневный, еженедельный, ежемесячный) контроль должен проводиться также  сотрудниками организации в части  источников информации, с которыми они работают.

     Общий (в рамках всей организации) периодический контроль проводится обычно 2 раза в год. Целью его является тщательная проверка работоспособности всех элементов и системы защиты информации в целом.

     Постоянный  контроль осуществляется выборочно  силами службы безопасности и привлекаемых сотрудников организации с целью объективной оценки уровня зашиты информации и. прежде всего, выявления слабых мест в системе защиты организации. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников организации, вынуждая их более тщательно выполнять требования по обеспечению защиты информации.

     Меры  контроля, также как и защиты, представляют совокупность организационных  и технических мероприятий, проводимых с целью проверки выполнения установленных  требований и норм по защите информации. Организационные меры контроля включают:

• проверку выполнения сотрудниками требований руководящих

     документов  по защите информации; 

• проверку работоспособности средств охраны и защиты информации

     от  наблюдения, подслушивания, перехвата  и утечки информации по

     материально-вещественному  каналу (наличие занавесок, штор, жалюзей  на окнах, чехлов на разрабатываемых  изделиях, состояние звукоизоляции, экранов, средств подавления опасных  сигналов и зашумления, емкостей для  сбора отходов с демаскирующими веществами и т. д.);

• контроль за выполнением инструкций по защите информации о    разрабатываемой продукции;
• оценка эффективности применяемых способов и средств зашиты

     информации.

     Технические меры контроля проводятся с использованием технических

     средств радио - и электроизмерений, физического и химического анализа и обеспечивают проверку: 

• напряженности полей с информацией на границах контролируемой зоны;
• уровней опасных сигналов и помех в проводах и экранах кабелей, выходящих за пределы контролируемой зоны;
• концентрации демаскирующих веществ в отходах производства.
• степени зашумления генераторами помех структурных звуков в ограждениях; 

     Для измерения напряженности электрических  полей используются селективные  вольтметры, анализаторы спектра, панорамные приемники.

     Следует также отметить, что добросовестное и постоянное выполнение сотрудниками организации требований по защите информации основываете на рациональном сочетании способов принуждения и побуждения.

     Принуждение - способ, при котором сотрудники организации вынуждены соблюдать правила обращения с источниками и носителями конфиденциальной информации под угрозой материальной, административной или уголовной ответственности.

     Побуждение  предусматривает использование  для создания у сотрудников установки  на осознанное выполнение требований по защите информации, формирование моральных, этических, психологических и других нравственных мотивов. Воспитание побудительных мотивов у сотрудников организации является одной из задач службы безопасности, но ее усилия найдут благодатную почву у тех сотрудников, которые доброжелательно относятся к руководству организации и рассматривают организацию как долговременное место работы. Создание условий, при которых место работы воспринимается как второй дом, является, по мнению компетентных аналитиков, одним из факторов экономического роста Японии. Поэтому эффективность защиты в значительной степени влияет климат в организации, который формируется ее руководством. 
 
 

     Заключение 

     Основные  направления обеспечения безопасности информационных ресурсов, расписанные в данной работе, позволяют увидеть, что следует подразумевать под конфиденциальной информацией, какие организационные и технические меры следует предпринять начальнику службы безопасности, чтобы минимизировать угрозу целостности и конфиденциальности информации, циркулирующей в организации. Даже самая совершенная в организационном плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию.

     Вопросы защиты информации, описанные в данном реферате, рассматриваются в широком диапазоне современных проблем и затрагивают организационные и технологические сферы защиты как документированной информации (на бумажных и технических носителях), циркулирующей в традиционном или электронном документообороте, так и недокументированной информации.

       Организационные мероприятия  играют  существенную  роль  в создании  надежного  механизма  защиты  информации,  так  как возможности  несанкционированного  использования конфиденциальных  сведений  в  значительной  мере обусловливаются  не  техническими  аспектами,  а  злоумышленными действиями,  нерадивостью,  небрежностью  и  халатностью пользователей  или  персонала  защиты.  Влияния  этих  аспектов практически  невозможно  избежать  с  помощью  технических средств.  Для  этого  необходима  совокупность  организационно-правовых  и  организационно-технических  мероприятий,  которые исключали  бы  (или,  по  крайней  мере,  сводили  бы  к  минимуму) возможность  возникновения  опасности  конфиденциальной информации. 
 
 

     Список  использованной литературы 

1. Теория  управления социалистическим производством: учеб. / под ред. О. В. Козловой. М.: Экономика, 1979.
2. Афанасьев В. Г. Человек в управлении обществом. М.: Политиздат, 1977.
3. Торокин А.А. Основы инженерно-технической защиты информации. - М.: Издательство «Ось-89»,1998.
4. Петраков, А.В. Основы практической защиты информации. [Текст]: учебное пособие для вузов, Радио и связь. / А.В. Петраков. 2001.

5) Бармен, С. Разработка правил информационной безопасности. Пер. с англ. [Текст]: учебник. / С. Барменю – М.: Издательский Дом «Вильямс», 2002. – 208 с.