Несанкционированные воздействия могут привести к  искажению, блокированию, копированию  или уничтожению информации, а  также к утрате или уничтожению  носителя информации или к сбою его  функционирования и т.п.

     Средами распространения, как передаваемой информации, так и сигнала НСВ  могут служить воздух, вода, линии  электропитания и передачи информации и т.п.

     Распространенным  случаем НСВ является воздействие  на линии передачи информации и источники  питания, и каналы управления технических  средств передачи, обработки и  хранения информации.

     При этом возможно:

• выведение из строя технических средств обработки и передачи информации;
• блокирование передаваемой или записываемой информации;
• искажение передаваемой информации.

     Выведение из строя технических средств  в основном связано с выведением из строя элементов электронных  устройств (как правило, расположенных  на наиболее уязвимом направлении - во входных устройствах).

     Подключение средств ТС НСВ может осуществляться как контактным, так и бесконтактным  способом.

     Широко  используется способ воздействия на объекты информатизации, записывающие и передающие устройства радиоизлучениями различной формы, модуляции, мощности, обеспечивающими сбой, блокирование, уничтожение передаваемой или обрабатываемой информации и т.п. Так, например, устройства подавления звукозаписывающей аппаратуры типа УПД-02, Буран-3 и др. обеспечивают подавление записываемых на диктофоны  и магнитофоны речевых сигналов с помощью специальных высокочастотных  излучений.

     Для подобных целей, также широко используют радиоэлектронные помехи - непоражающие электромагнитные или акустические излучения, которые ухудшают качество функционирования РЭС, систем управления оружием или систем обработки  информации. Воздействуя на приемные устройства, помехи имитируют или  искажают наблюдаемые и регистрируемые сигналы, затрудняют или исключают  выделение полезной информации, ведение  радиопереговоров и т.п.

     На  объектах информатизации необходимо предусмотреть  защиту чувствительной информации, к  которой относятся данные, программы, процессы, управляющие команды, пароли и другие информационные ресурсы, нарушение  конфиденциальности или целостности  которых может привести к принятию неправильных (неадекватно сложившейся  в технологическом процессе экологически опасного производства ситуации) решений, потере управляемости технологическим  процессом или даже к аварийным  ситуациям.

     Организационно-технические  мероприятия и технические способы  защиты информации защищаемого помещения

 

     Инженерно-техническая  защита информации на объекте достигается  выполнением комплекса организационно-технических  и технических мероприятий с  применением (при необходимости) средств  защиты информации от утечки информации или несанкционированного воздействия  на нее по техническим каналам, за счет несанкционированного доступа  и неконтролируемого распространения  информации, по предупреждению преднамеренных программно-технических воздействий  с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и  хранения, нарушения ее доступности  и работоспособности технических  средств и носителей информации и т.п.

     Организационно-технические  мероприятия основаны на введении ограничений  на условия функционирования объекта  защиты и являются первым этапом работ  по защите информации. Эти мероприятия  нацелены на оперативное решение  вопросов защиты наиболее простыми средствами и организационными мерами ограничительного характера, регламентирующими порядок  пользования техническими средствами. Они, как правило, проводятся силами и средствами служб безопасности самих предприятий и организаций.

     В процессе организационных мероприятий  необходимо определить:

     а)контролируемую зону (зоны).

     Контролируемая  зона - территория объекта, на которой  исключено неконтролируемое пребывание лиц, не имеющих постоянного или  разового допуска. Контролируемая зона может ограничиваться:

• периметром охраняемой территории предприятия;
• частью охраняемой территории, охватывающей здания и сооружения, в которых проводятся закрытые мероприятия;
• частью здания (комнаты, кабинеты, залы заседаний, переговорные помещения, в которых проводятся закрытые мероприятия).

     Контролируемая  зона при необходимости может  устанавливаться большей, чем охраняемая территория, при этом соответствующей  службой обеспечивается постоянный контроль над неохраняемой частью территории. Бывают постоянная и временная контролируемые зоны.

     Постоянная  контролируемая зона - зона, граница  которой устанавливается на длительный срок. Постоянная зона устанавливается  в случае, если конфиденциальные мероприятия  внутри этой зоны проводятся регулярно.

     Временная контролируемая зона - зона, установленная  для проведения конфиденциальных мероприятий  разового характера.

     б)выделить из эксплуатируемых технических  средств технические средства, используемые для передачи, обработки и хранения конфиденциальной информации (ОТСС).

     ОТСС - технические средства, предназначенные  для передачи, обработки и хранения конфиденциальной информации. К ним  относятся используемые для этих целей:

• системы внутренней (внутриобъектовой) телефонной связи;
• директорская, громкоговорящая диспетчерская связь;
• внутренняя служебная и технологическая системы связи;
• переговорные устройства типа «директор-секретарь»;
• системы звукоусиления конференц-залов, залов совещаний, столов заседаний, звукового сопровождения закрытых кинофильмов;
• системы звукозаписи и звуковоспроизведения (магнитофоны, диктофоны);
• и т.п.

     ОТСС  по степени их гарантированной защищенности могут быть разделены на следующие:

• сертифицированные по требованиям защиты информации (имеющие соответствующие сертификаты на средства и системы, непосредственно обрабатывающие, хранящие и передающие информацию);
• не имеющие таких сертификатов, но прошедшие инструментальные исследования, позволяющие определить характеристики их защиты (имеющие соответствующие протоколы исследований);
• другие средства и системы.

     в)выявить  в контролируемой зоне (зонах) вспомогательные  технические средства и системы (ВТСС).

     ВТСС - средства и системы, не предназначенные  для передачи, обработки и хранения конфиденциальной (секретной) информации, на которые могут воздействовать электрические, магнитные и акустические поля опасных сигналов. К ним могут  относиться:

• системы звукоусиления, предназначенные для обслуживания несекретных мероприятий;
• различного рода телефонные системы, предназначенные для несекретных переговоров и сообщений (городская телефонная связь, системы внутренней телефонной связи с выходом и без выхода в город);
• несекретная директорская, громкоговорящая диспетчерская, внутренняя служебная и технологическая связь, переговорные устройства типа «директор-секретарь»;
• системы специальной охранной сигнализации (ТСО), технические средства наблюдения;
• системы пожарной сигнализации;
• системы звуковой сигнализации (вызов секретаря, входная сигнализация);
• системы кондиционирования;
• системы проводной, радиотрансляционной сети приема программ радиовещания;
• телевизионные абонентские системы;
• системы электрочасофикации (первичная, вторичная);
• системы звукозаписи и звуковоспроизведения несекретной речевой информации (диктофоны, магнитофоны);
• системы электроосвещения и бытового электрооборудования (светильники, люстры, настольные вентиляторы, электронагревательные приборы, проводная сеть электроосвещения);
• электронная оргтехника - множительная, машинописные устройства, вычислительная техника.

     ВТСС  также рассматриваются и подразделяются на те, которые:

• имеют соответствующие сертификаты;
• не имеют подобных сертификатов, но прошедшие инструментальные исследования (результаты которых представляют исходные данные для проведения мероприятий по защите информации);
• не имеющие сертификатов и результатов исследований.

     Использование последней в качестве ВТСС потребует  проведения инструментальных проверок для определения возможности  их использования.

     г)уточнить назначение и необходимость применения ВТСС в производственных и управленческих циклах работы (рекомендуется свести их до минимума);

     д)выявить  технические средства, применение которых  не обосновано служебной необходимостью;

     е)выявить  наличие задействованных и незадействованных  воздушных, наземных, подземных, настенных, а также заложенных в скрытую  канализацию кабелей, цепей, проводов, уходящих за пределы контролируемой зоны;

     ж)составить  перечень выделенных помещений первой и второй групп, в которых проводятся или должны проводиться закрытые мероприятия (переговоры, обсуждения, беседы, совещания) и помещений третьей  группы.

     Помещения, которые подлежат защите, определяются как выделенные и подразделяются на:

• помещения, в которых отсутствуют ОТСС, но циркулирует конфиденциальная акустическая информация (переговоры, выступления, обсуждения и т.п.);
• помещения, в которых расположены ОТСС и ВТСС и циркулирует конфиденциальная акустическая информация;
• помещения, в которых расположены ОТСС и ВТСС, но циркулирует не конфиденциальная акустическая информация;
• и т.п.

     з)выявить  наличие в выделенных помещениях оконечных устройств основных ОТСС и ВТСС.

     По  результатам этих работ, составляются протоколы обследования помещений. Форма протоколов произвольная. Обобщенные данные протоколов оформляются актом, утверждаемым руководством предприятия  с приложением следующих документов:

     а) планов контролируемой зоны или зон объектов предприятия;

     б) перечня выделенных помещений первой, второй и третьей групп с перечнем элементов технических средств (ВТСС и ОТСС), размещенных в них;

     в) перечня основных ОТСС;

     г) перечня ВТСС, имеющих цепи, выходящие за пределы контролируемой зоны (зон);

     д) перечня технических средств, кабелей, цепей, проводов, подлежащих демонтажу;

     е) схемы кабельных сетей предприятия с указанием типов кабелей, трасс их прокладки, принадлежности к используемым системам.

     Защита  информации может осуществляться инженерно-техническими и криптографическими способами.

     Техническая защита конфиденциальной информации - защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим  каналам, от несанкционированного доступа  к ней и от специальных воздействий  на информацию в целях ее уничтожения, искажения или блокирования.

     Технические мероприятия проводятся по мере приобретения предприятием или организацией специальных  устройств защиты и защищенной техники  и направлены на блокирование каналов  утечки конфиденциальной информации и  ее защиты от несанкционированного и  непреднамеренного воздействия  с применением пассивных и  активных методов защиты информации.

     Необходимость проведения технических мероприятий  по защите информации определяется проведенными исследованиями защищаемых (выделенных) помещений с учетом предназначения этих помещений (их категории) и необходимости  защиты этих объектов информатизации и расположенных в них средств  звукозащиты, звуковоспроизведения, звукоусиления, тиражированного размножения документов, и т.п. При этом в зависимости  от циркулирующей в выделенном помещении  конфиденциальной информации и наличия  ОТСС и ВТСС определяются основные мероприятия по акустической защищенности выделенного помещения; по защите ВТСС, находящихся в помещении, или  их замене на сертифицированные, обладающие необходимыми защитными свойствами ВТСС, по защите линий связи ОТСС, по замене ОТСС на сертифицированные  и т.п.

     Размещено на Allbest.ru

     Организация защиты информации

 

     Организация защиты информации определяет содержание и порядок действий по обеспечению  защиты информации.