Организационное обеспечение безопасности информации в особых условиях

Организационная защита информации в процессе проведения совещаний и переговоров по конфиденциальным вопросам.

Сравнительно большое количество участников, присутствие посторонних лиц, необходимость предания огласке секретной или конфиденциальной информации, сложность контроля за поведением участников и т.п., создают условия повышенной уязвимости информации. Следовательно, ставятся задачи по след. направлениям: отбор и группировка информации, подлежащей оглашению; разработка и реализация правил проведения совещаний и переговоров, приема посетителей; организация работы с персоналом, т.е. лицами, которым поручена организация и проведение совещаний и переговоров, ответственными за прием посетителей; проведение мероприятий по обеспечению требований, предъявляемых к помещениям, где проводятся совещания и переговоры; их охрана. Совещания проводятся с разрешения руководителя предприятия или заместителей. Он назначает ответственного, который составляет список участников с указанием ФИО, должности и предприятия. Отв. лицо вместе с представителями РСО или СБ и техническими сотрудниками осуществляет организационные и технические мероприятия. Если это текущие вопросы без представителей сторонних организаций – с согласия руководителя, без согласования со СБ или РСО. Ответственность за обеспечение режима секретности, за состав участников несет руководитель, организовавший совещание. На совещание допускаются лица, которые имеют непосредственное отношение к обсуждаемым вопросам и участие которых вызвано служебной необходимостью. Для обсуждения секретных вопросов участники совещания должны иметь допуск по форме, соответствующей степени секретности вопросов, подлежащих обсуждению. Сотрудники других учреждений представляют справки о допуске в РСО или СБ до проведения совещания. Очередность рассмотрения вопросов на совещании должна исключать участие в обсуждении лиц, не имеющих отношения к этим вопросам. Отв. лицо должно своевременно предоставить в РСО или СБ проект программы совещания и список участников (ФИО, форма допуска, место работы, вопросы, в которых им разрешено принимать участие). Список лиц согласовывается с начальником РСО или СБ и утверждается руководителем предприятия. Все документы, составляемые в процессе подготовки совещания, должны иметь гриф, изготавливаться и составляться в соответствии с требованиями инструкций по обработке и хранению секр. и конф. документов. Документы, раздаваемые участникам совещания, не должны содержать конфиденциальные сведения. На совещание участники пропускаются по спискам при предъявлении документов, удостоверяющих личность.

Совещания проводятся в специальных помещениях. Такие помещения до проведения совещания должны быть обследованы соответствующими специалистами с целью обеспечения защиты от утечки информации по техническим каналам, и при необходимости, обеспечены охраной. В помещении для проведения совещания не должны находиться приборы, оборудование и технические средства, которые непосредственно не используются для обеспечения хода совещания (например, телефоны городской сети, ПЭВМ, телевизионные и радиоприемники). При необходимости они размещаются в соседней изолированной комнате. По окончании совещания сотрудник службы безопасности осматривает помещение, запирает, опечатывает и сдает под охрану. Аудио- и видеозапись совещания, фотографирование ведутся только по письменному указанию руководителя предприятия и осуществляются одним из лиц, ответственных за проведение совещания. Ход совещания документируется одним из готовивших его сотрудников или секретарем. На закрытых совещаниях с повышенным уровнем конфиденциальности эту работу выполняет непосредственно ответственный организатор совещания Составляемый протокол (стенограмма) должен иметь гриф конфиденциальности соответствующего уровня и оформляться в стенографической тетради, зарегистрированной в СБ или РСО. Ответственное лицо обязано перед началом совещания проинформировать присутствующих о степени секретности обсуждаемых вопросов и предупредить, что секретные записи они могут делать только в учтенных рабочих тетрадях, выданных РСО или СБ перед началом совещания. Программа проведения совещания и список участников с отметкой о присутствующих лицах, приобщаются к материалам совещания. Документы, принятые на совещании оформляются, подписываются, при необходимости размножаются и рассылаются участникам совещания в соответствии с требованиями по работе с конфиденциальными документами фирмы. Все экземпляры этих документов должны иметь гриф ограничения доступа.

 

Билет 31

1. Способы и принципы работы средств защиты информации от наблюдения, подслушивания и перехвата.

Средства защиты информации от наблюдения должны обеспечивать: 1)маскировку объектов наблюдения в видимом, инфракрасном и радиодиапазонах электромагнитных волн, а так же объектов гидроакустического наблюдения; 2) формирование и «внедрение» ложной информации об объектах наблюдения; 3)уменьшение в случае необходимости прозрачности воздушной и водной среды; 4)ослепление и засветку средств наблюдения в оптическом диапазоне длин волн; 5)создание помех средствами гидроакустического и радиолокационного наблюдения. Средства маскировки должны изменять видовые демаскирующие признаки поверхности защищаемого объекта под признаки других объектов фона или признаков фона под признаки защищаемого объекта. Так как характеристики объектов наблюдения существенно различаются в акустическом, оптическом и радиодиапазонах, то средства маскировки в этих диапазонах так же различаются. Изменить структуру изображения объекта или фона можно и активными средствами – генераторами помех. Активные средства создают помеху, которая в зависимости от расположения генератора помех может создавать ложную точку или их совокупность на изображении объекта или фона. Путем размещения источников помех на поверхности объекта защиты или между простыми объектами сложного объекта изменяется его структура. С помощью средств, изменяющих статистические и динамические признаки объекта под признаки ложного объекта (объекта прикрытия), обеспечивается дезинформирование органов разведки.

Средства ЗИ от прослушивания включает средства, предотвращающие утечку акустической информации в простом акустическом канале утечки информации. Так как структурное скрытие речевой информации возможно в исключительных случаях (кодирование речевых сигналов), то основу средств защиты от прослушивания составляют средства энергетического скрытия. Они должны обеспечить: 1)звукоизоляцию и звукопоглощение речевой информации в помещениях; 2) звукоизоляцию акустических сигналов работающих механизмов, по признакам которых можно выявить сведения, содержащие гос. или коммерческую тайну; 3)акустическое зашумление помещения, в котором ведутся разговоры по закрытой тематике. Учитывая, что основу защиты информации от прослушивания составляет энергетические методы скрытия, то средства защиты от прослушивания должны, прежде всего, обеспечить звукоизоляцию защищаемых акустических сигналов в контролируемой зоне. Звукоизоляция достигается созданием вокруг источника акустических сигналов ограждений и экранов, отражающих и поглощающих эти сигналы.

Средства ЗИ от перехвата должны предотвращать перехват информации, содержащейся в радио- и электрических функциональных сигналах. С этой целью средства должны обеспечивать: 1)структурное скрытие сигналов и содержащейся в них информации; 2) подавление до допустимого значения уровней опасных сигналов, распространяющихся по направляющим линиям связи (кабелям, волноводам); 3)экранирование электрических, магнитных и электромагнитных полей с защищаемой информацией; 4)линейное и пространственное защумление опасных радио- и электрических сигналов.

2. Объекты защиты информации на предприятии. Принципы их формирования и классификации.

Объект защиты информации - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. Для обеспечения предметной, целенаправленной защиты данных возникает необходимость структурирования защищаемого информационного поля, разделения его на локальные части, фрагменты. Информационный фрагмент представляет собой совокупность сведений, находящихся на носителе (носителях) или транспортируемых в информационной коммуникации, имеет достаточно четкие границы для идентификации. В обобщенный перечень объектов информационной безопасности (защиты информации) входят: 1)информационные ресурсы или собственно информация в содержательно-тематическом смысле; 2)системы формирования, распространения, хранения, обработки и использования информационных ресурсов; 3)информационная инфраструктура – объединение предыдущей системы со средствами передачи информации между субъектами информационных отношений (со средствами, образующими информационные коммуникации).

Принципиальное значение имеет однозначное определение и единый подход к формированию полных перечней объектов и элементов, которые, с одной стороны, подвергаются угрозам несанкционированного получения противником, а с другой - могут быть достаточно четко определены для эффективной организации их защиты. Основным методом формирования перечней является структурно-логический анализ архитектурной топологий АС, технологических схем обработки информации, с выделением фрагментов. Структуризация АС на объекты защиты предполагает: 1)повышение эффективности процесса защиты данных за счет полного охвата всех информационных объектов; 2)рациональное распределение защитных ресурсов в соответствии с важностью, обрабатываемой и хранимой в типовых структурных компонентах (ТСК) ИС информации, временем ее нахождения в ТСК; 3)приведение динамики процесса защиты данных в соответствие с динамикой их обработки и использования в ТСК

Информация является предметом защиты, но защищать ее как таковую невозможно, поскольку она не существует сама по себе, а фиксируется (отображается) в определенных материальных объектах или памяти людей, которые выступают в роли ее носителей и составляют основной, базовый объект защиты. Согласно ГОСТ 50922-96 «Защита информации. Основные термины и определения», носитель информации — это «физическое лицо или материальный объект, в том чис­ле физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, техни­ческих решений и процессов». Как правило, носители секретной и конфиденциальной информации охраняются собственником этой информации. Носители защищаемой информации можно классифицировать как: 1)документы; 2)изделия (предметы); 3)вещества и материалы; 4)электромагнитные, тепловые, радиационный и другие излучения; 5)акустические и другие поля и т. п. Кроме того, объектами защиты должны быть: 1)средства отображения, обработки, воспроизведения и передачи конфиденциальной информации, в том числе: ЭВМ, средства видео- звукозаписывающей и воспроизводящей техники; 2)средства транспортировки носителей конфиденциальной информации; 3)средства радио- и кабельной связи, радиовещания телевидения, используемые для передачи конфиденциальной информации; 4)системы обеспечения функционирования предприятия (электро-, водоснабжение, кондиционирование и др.); 5)технические средства защиты информации и контроля за ними. 6)Выпускаемая продукция (изделия). 7)Технологические процессы изготовления продукции, которые включают в себя как технологию производства продукции, так и применяемые при ее изготовлении компоненты (средства производства): оборудование, приборы, материалы, вещества, сырье, топливо и др. 8)Физические поля, в которых информация фиксируется путем изменения их интенсивности, количественных характеристик, отображается в виде сигналов, а в электромагнитных полях и в виде образов. 9)Прилегающая территория к предприятию. Чтобы обеспечить защиту, необходимо защищать и объекты, которые являются подступами к носителям, 10)Здания предприятия 11)Помещения. Защита зданий является вторым рубежом защиты носителей.

3. Структура и основное содержание Положения о службе защиты информации организации

Основными задачами службы безопасности предприятия являются обеспечение безопасности предприятия, производства, продукции и защита коммерческой, промышленной, финансовой, деловой и другой информации, независимо от ее назначения и форм при всем многообразии возможных каналов ее утечки и различных злонамеренных действий со стороны конкурентов.

Основные положения, состав и организация службы безопасности имеют юридическую силу в том случае, если они зафиксированы в основополагающих правовых, юридических и организационных документах предприятия.

В основу деятельности службы безопасности положены: 1) Закон Российской Федерации «О безопасности"; 2) Законы и регламенты России, обеспечивающие безопасность деятельности и сохранность коммерческой тайны; 3) Закон о предприятиях и предпринимательской деятельности; 4) Кодекс законов о труде (КЗОТ);

Устав предприятия, коллективный договор, трудовые договоры, правила внутреннего трудового распорядка сотрудников, должностные обязанности руководителей, специалистов, рабочих и служащих.

 

Билет 32

1. Порядок засекречивания и рассекречивания сведений, документов и продукции.

Порядок засекречивания сведений и их носителей. Основанием для засекречивания сведений, полученных (разработанных) в результате управленческой, производственной, научной и иных видов деятельности органов гос власти, предприятий, учреждений и организаций, является их соответствие действующим в данных органах, предприятиях, учреждениях и организациях перечням сведений, подлежащих засекречиванию. При засекречивании этих сведений их носителям присваивается соответствующий гриф секретности.

При невозможности идентификации полученных (разработанных) сведений со сведениями, содержащимися в действующем перечне, должностные лица органов гос власти, предприятий, учреждений и организаций обязаны обеспечить предварительное засекречивание полученных (разработанных) сведений в соответствии с предполагаемой степенью секретности и в месячный срок направить в адрес должностного лица, утвердившего указанный перечень, предложения по его дополнению (изменению). Должностные лица, утвердившие действующий перечень, обязаны в течение трех месяцев организовать экспертную оценку поступивших предложений и принять решение по дополнению (изменению) действующего перечня или снятию предварительно присвоенного сведениям грифа секретности.

Порядок рассекречивания сведений. Рассекречивание сведений и их носителей - снятие ранее введенных ограничений на распространение сведений, составляющих гос тайну, и на доступ к их носителям.

Основаниями для рассекречивания сведений являются: 1)взятие на себя РФ международных обязательств по открытому обмену сведениями, составляющими в РФ гос тайну; 2)изменение объективных обстоятельств, вследствие которого дальнейшая защита сведений, составляющих гос тайну, является нецелесообразной. Органы гос власти, руководители которых наделены полномочиями по отнесению сведений к гос тайне, обязаны периодически, но не реже чем через каждые 5 лет, пересматривать содержание действующих в органах гос власти, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, в части обоснованности засекречивания сведений и их соответствия установленной ранее степени секретности. Срок засекречивания сведений, составляющих гос тайну, не должен превышать 30 лет. В исключительных случаях этот срок может быть продлен по заключению межведомственной комиссии по защите гос тайны.

Порядок рассекречивания носителей сведений, составляющих государственную тайну. Носители сведений, составляющих гос тайну, рассекречиваются не позднее сроков, установленных при их засекречивании. До истечения этих сроков носители подлежат рассекречиванию, если изменены положения действующего в данном органе гос власти, на предприятии, в учреждении и организации перечня, на основании которых они были засекречены. В исключительных случаях право продления первоначально установленных сроков засекречивания носителей сведений, составляющих гос тайну, предоставляется руководителям гос органов, наделенным полномочиями по отнесению соответствующих сведений к гос тайне, на основании заключения назначенной ими в установленном порядке экспертной комиссии. Руководители органов гос власти, предприятий, учреждений и организаций наделяются полномочиями по рассекречиванию носителей сведений, необоснованно засекреченных подчиненными им должностными лицами. Руководители госархивов РФ наделяются полномочиями по рассекречиванию носителей сведений, составляющих гос тайну, находящихся на хранении в закрытых фондах этих архивов, в случае делегирования им таких полномочий организацией-фондообразователем или ее правопреемником.

2. Направления реализации угроз безопасности информации. Алгоритмы оценки угроз. Классификация угроз.

Угрозы можно классифицировать по отношению источника угрозы к объекту ИБ (внешние и внутренние), по виду источника угроз (физические, логические, коммуникационные, человеческие), по степени злого умысла (случайные и преднамеренные). Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для проведения анализа риска и формулирования требований к системе защиты информации. угрозой безопасности - это потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. Все множество угроз можно разделить на два класса: • случайные или непреднамеренные; • преднамеренные. Случайные угрозы. Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайным или непреднамеренными. (Стихийные бедствия и аварии, Сбои и отказы, Ошибки при разработке). Реализация угроз этого класса приводит к наибольшим потерям информации. При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию. Преднамеренные угрозы. Второй класс угроз безопасности информации составляют преднамеренно создаваемые угрозы. Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации могут быть распределены по пяти группам: 1)традиционный или универсальный шпионаж и диверсии; 2)несанкционированный доступ к информации; 3)электромагнитные излучения и наводки; 4)модификация структур информационных систем; 5)вредительские программы.

К методам шпионажа и диверсий относятся: 1)подслушивание; 2)визуальное наблюдение; 3)хищение документов и машинных носителей информации; 4)хищение программ и атрибутов системы защиты; 5)подкуп и шантаж сотрудников; 6)сбор и анализ отходов машинных носителей информации; 7)поджоги; 8)взрывы. Несанкционированный доступ к информации возможен только с использованием штатных аппаратных и программных средств в следующих случаях: • отсутствует система, разграничения доступа; • сбой или отказ в информационной системе; • ошибочные действия пользователей или обслуживающего персонала информационных систем; • ошибки в СРД; • фальсификация полномочий. Побочные электромагнитные излучения и наводоки (ПЭМИН). С помощью специального оборудования сигналы принимаются, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающих устройствах. Электромагнитные излучения используются злоумышленниками для получения информации, и для ее уничтожения. Алгоритмические, программные и аппаратные «закладки» используются либо для непосредственного вредительского воздействия на информационную систему, либо для обеспечения неконтролируемого входа в систему. Одним из основных источников угроз безопасности информации является использование специальных программ, получивших общее название вредительские программы. В зависимости от механизма действия вредительские программы делятся на четыре класса: 1)«логические бомбы»( постоянно находящиеся в ЭВМ или вычислительных системах и выполняемые только при соблюдении определенных условий.); 2)«черви» (выполняются каждый раз при загрузке системы, обладают способностью перемещаться в вычислительных системах или сети); 3) «троянские кони» (программы, полученные путем изменения или добавления команд в пользовательские программы); 4) «компьютерные вирусы»( самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на ИС).

3. Методологические основы комплексных систем защиты информации.

Под научно-методологическими основами комплексной защиты информации (как решения любой другой проблемы) понимается совокупность принципов, подходов и методов (научно-технических направлений), необходимых и достаточных для анализа (изучения, исследования) проблемы комплексной защиты, построения оптимальных механизмов защиты и управления механизмами защиты в процессе их функционирования. Состав научно-методологических основ комплексной системы защиты информации представлен на рис. 1.

основными компонентами научно-методологических основ являются принципы, подходы и методы.

При этом под принципами понимается основное исходное положение какой-либо теории, учения, науки, мировоззрения; под подходом - совокупность приемов, способов изучения и разработки какой-либо проблемы; под методом — способ достижения какой-либо цели, решения конкретной задачи. (Например, при реализации принципа разграничения доступа в качестве подхода можно выбрать моделирование, а в качестве метода реализации — построение матрицы доступа.)

Общее назначение методологического базиса заключается в: 1)формировании обобщенного взгляда на организацию и управление КСЗИ, отражающего наиболее существенные аспекты проблемы; 2)формировании полной системы принципов, следование которым обеспечивает наиболее полное решение основных задач; 3)формировании совокупности методов, необходимых и достаточных для решения всей совокупности задач управления.

В связи с вышеизложенным состав научно-методологических основ КСЗИ можно определить следующим образом: 1)так как речь идет об организации и построении КСЗИ, то общеметодологической основой будут выступать основные положения теории систем; 2)так как речь идет об управлении, то в качестве научно-методической основы будут выступать общие законы кибернетики (как науки об управлении в системах любой природы); 3)так как процессы управления связаны с решением большого количества разноплановых задач, то научно-практическую основу должны составлять принципы и методы моделирования больших систем и процессов их функционирования