Организационные и технические меры по инженерно- технической защите информации

↑

▷ Содержание

⇐ ПредыдущаяСтр 11 из 11

В организациях работа по инженерно-технической защите информации включает два этапа:

- построение или модернизация системы защиты;

-  поддержание защиты информации на требуемом уровне.

 Построение системы защиты информации проводится во вновь создаваемых организациях, в остальных - модернизация существующей.

Построение (модернизация) системы защиты информации и поддержания на требуемом уровне ее защиты в организации предусматривают проведение следующих основных работ:

- уточнение перечня защищаемых сведений в организации, определение источников и носителей информации, выявление и оценка угрозы ее безопасности;

-  определение мер по защите информации, вызванных изменениями

целей и задач защиты, перечня защищаемых сведений, угроз безопасности информации;

- контроль эффективности мер по инженерно-технической защите

информации в организации.

Меры по защите информации целесообразно разделить на 2 группы: организационные и технические. В публикациях, в том числе в некоторых руководящих документах, меры по защите делят на организационные, организационно-технические и технические. Учитывая отсутствие достаточно четкой границы между организационно-техническими и организационными, организационно-техническими и техническими мерами, целесообразно ограничиться двумя группами: организационными и техническими. При такой классификации к техническим относятся меры, реализуемые путем установки новых или модернизации используемых инженерных и технических средств защиты информации. Основу организационных мер инженерно-технической зашиты информации составляют меры, определяющие порядок использования этих средств.

Организационные меры инженерно-технической защиты информации включают, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом.

Регламентация - это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации.

Регламентация предусматривает:

- установление границ контролируемых и охраняемых зон;

- определение уровней защиты информации в зонах;

регламентация деятельности сотрудников и посетителей (разработка

распорядка дня, правил поведения сотрудников в организации и вне ее

и т. д.);

- определение режимов работы технических средств, в том числе сбора,

обработки и хранения защищаемой информации на ПЭВМ, передачи

документов, порядка складирования продукции и т. д.

Управление доступом к информации включает следующие мероприятия:

- идентификацию лиц и обращений;

-  проверку полномочий лип и обращений;

- регистрацию обращений к защищаемой информации;

- реагирование на обращения к информации.  

Идентификация пользователей, сотрудников, посетителей, обращений

к каналам телекоммуникаций проводится с целью их надежного опознавания.

Способы идентификации рассмотрены выше.

Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к  информации уровень полномочий обращения не может быть ниже разрешенного. С целью обеспечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.

Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

Технические меры предусматривают применение способов и средств. рассмотренных в данной книге.

Важнейшее и необходимое направление работ по защите информации -контроль эффективности защиты. Этот вид деятельности проводится прежде всего силами службы безопасности, а также руководителями структурных подразделений. Контроль инженерно-технической зашиты является составной частью контроля защиты информации в организации и заключается, прежде всего, в определении (измерении) показателей эффективности защиты техническими средствами и сравнении их с нормативными.

Применяют следующие виды контроля:

- предварительный;

-  периодический;

- постоянный.

Предварительный контроль проводится при любых изменениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:

- после установки нового технического средства защиты или изменении организационных мер;

-  после проведения профилактических и ремонтных работ средств защиты;

- предотвращение использование поддельных документов и документов лицами, которым они не принадлежат.

- после устранения выявленных нарушений в системе защиты.

Периодический контроль осуществляется с целью обеспечения систематического наблюдения за уровнем зашиты. Он проводится выборочно (применительно к отдельным темам работ, структурным подразделениям или

всей организации) по планам, утвержденным руководителем организации,

а также вышестоящими органами.

Наиболее часто должен проводиться периодический контроль на химических предприятиях, так как незначительные нарушения в технологическом процессе могут привести к утечке демаскирующих веществ. Для определения концентрации демаскирующих веществ регулярно берутся возле предприятия пробы воздуха, воды, почвы, снега, растительности.

Периодичность и места взятия проб определяются характером производил с учетом условий возможного распространения демаскирующих веществ, например, розы ветров и скорости воздушных потоков, видов водоемов (искусственный, озеро, болото, река и др.), характера окружающей местности и т. д. Пробы воздуха рекомендуется брать с учетом направлений ветра на высоте примерно 1.5 м в непосредственной близости от границ территории (50-100 м) и в зоне максимальной концентрации демаскирующих веществ, выбрасываемых в атмосферу через трубы. Пробы воды берутся в местах слива в водоемы к поверхностном слое и на глубине 30-50 см с последующим смешиванием. Берутся также пробы почвы и пыли на растительности. С этой целью собирают листья с нескольких деревьев и кустов на уровне 1.5-2 м от поверхности и не ранее недели после дождя.

Периодический (ежедневный, еженедельный, ежемесячный) контроль должен проводиться также сотрудниками организации в части источников информации, с которыми они работают.

Общий (в рамках всей организации) периодический контроль проводится обычно 2 раза в год. Целью его является тщательная проверка работоспособности всех элементов и системы защиты информации в целом.

Постоянный контроль осуществляется выборочно силами службы безопасности и привлекаемых сотрудников организации с целью объективной оценки уровня зашиты информации и. прежде всего, выявления слабых мест в системе защиты организации. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников организации, вынуждая их более тщательно выполнять требования по обеспечению защиты информации.

Меры контроля, также как и защиты, представляют совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по защите информации. Организационные меры контроля включают:

- проверку выполнения сотрудниками требований руководящих

документов по защите информации; 

- проверку работоспособности средств охраны и защиты информации

от наблюдения, подслушивания, перехвата и утечки информации по

материально-вещественному каналу (наличие занавесок, штор, жалюзей на окнах, чехлов на разрабатываемых изделиях, состояние звукоизоляции, экранов, средств подавления опасных сигналов и зашумления, емкостей для сбора отходов с демаскирующими веществами и т. д.);

- контроль за выполнением инструкций по защите информации о разрабатываемой продукции;

-  оценка эффективности применяемых способов и средств зашиты

информации.

Технические меры контроля проводятся с использованием технических

средств радио - и электроизмерений, физического и химического анализа и обеспечивают проверку:      

- напряженности полей с информацией на границах контролируемой зоны;

-  уровней опасных сигналов и помех в проводах и экранах кабелей, выходящих за пределы контролируемой зоны;

- концентрации демаскирующих веществ в отходах производства.

- степени зашумления генераторами помех структурных звуков в ограждениях;     

Для измерения напряженности электрических полей используются селективные вольтметры, анализаторы спектра, панорамные приемники.

Следует также отметить, что добросовестное и постоянное выполнение сотрудниками организации требований по защите информации основываете на рациональном сочетании способов принуждения и побуждения.

Принуждение - способ, при котором сотрудники организации вынуждены соблюдать правила обращения с источниками и носителями конфиденциальной информации под угрозой материальной, административной или уголовной ответственности.

Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требований по защите информации, формирование моральных, этических, психологических и других нравственных мотивов. Воспитание побудительных мотивов у сотрудников организации является одной из задач службы безопасности, но ее усилия найдут благодатную почву у тех сотрудников, которые доброжелательно относятся к руководству организации и рассматривают организацию как долговременное место работы. Создание условий, при которых место работы воспринимается как второй дом, является, по мнению компетентных аналитиков, одним из факторов экономического роста Японии. Поэтому эффективность защиты в значительной степени влияет климат в организации, который формируется ее руководством.

Выводы по разделу

Любая система создается под заданные требования с учетом существующих ограничений. Факторы, влияющие на структуру и функционирование системы, называются системообразующими.

Порядок защиты информации в организации определяется соответствующим руководством (инструкцией).

Для защиты информации об изделии на каждом этапе его создания разрабатывается соответствующая инструкция. Инструкция должна содержать необходимые для обеспечения безопасности информации сведения, в том числе: общие сведения о наименовании образца, защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц. ответственных за безопасность информации.

Ответственность за состояние защиты информации возлагается на соответствующее подразделение и лиц службы безопасности.

Регламентация - это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации.

Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

Периодический (ежедневный, еженедельный, ежемесячный) контроль должен проводиться также сотрудниками организации в части источников информации, с которыми они работают.

Заключение

Подводя итоги, хотелось бы отметить, что организация защиты информации в организации на данном этапе имеет достаточно сильную нормативно-правовую базу, в которой учитывается возможность пресечения большинства каналов проникновения злоумышленников, регламентируются меры по организации системы защиты на предприятии.

В данной курсовой работе показано как осуществляется организация офисной деятельности, что представляет собой организация и из каких элементов она состоит.

Основные направления обеспечения безопасности информационных ресурсов, расписанные в данной работе, позволяют увидеть, что следует подразумевать под конфиденциальной информацией, какие организационные и технические меры следует предпринять начальнику службы безопасности, чтобы минимизировать угрозу целостности и конфиденциальности информации, циркулирующей в организации. Ведь как указывалось во введении- никакая, даже самая совершенная в организационном плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию.

Вопросы защиты информации, описанные в данной работе, рассматриваются в широком диапазоне современных проблем и затрагивают организационные и технологические сферы защиты как документированной информации (на бумажных и технических носителях), циркулирующей в традиционном или электронном документообороте, так и недокументированной информации.

Список использованной литературы

1) Привес М. Г. Анатомия человека. – С.-П. «МЕДИЦИНА», 1994.

2) Теория управления социалистическим производством: учеб. / под ред. О. В. Козловой. М.: Экономика, 1979..

3)  Афанасьев В. Г. Человек в управлении обществом. М.: Политиздат, 1977.

4) Торокин А.А. Основы инженерно-технической защиты информации. - М.: Издательство «Ось-89».1998

Познавательные статьи:



Формы дистанционного обучения

Передача мяча двумя руками снизу

Значение правильной осанки для жизнедеятельности человека

Основные ошибки при выполнении передач мяча на месте