КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Защита информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)
ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ Техническое обеспечение безопасности должно базироваться: § на системе стандартизации и унификации; § на системе лицензирования деятельности; § на системах сертификации средств защиты; § на системе сертификации ТС и ПС объектов информатизации; § на системе аттестации защищенных объектов информатизацией. Основными составляющими обеспечения безопасности ресурсов предприятия являются: § система физической защиты объектов предприятия и его финансовых ресурсов; § система безопасности информационных ресурсов. Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать: § систему инженерно-технических и организационных мер охраны; § систему контроля и регулирования доступа; § систему мер (режима) выявления и контроль за вероятными каналами утечки информации; § систему мер возврата материальных ценностей (или компенсации). Система охранных мер должна предусматривать: § несколько рубежей построения охраны (территории, здания, помещения) по нарастающей; § комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий; § надежную инженерно-техническую защиту вероятных путей несанкционированного проникновения на охраняемые объекты; § устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур; § высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителям; Система контроля и регулирования доступа должна предусматривать: § объективное определение "надежности" лиц, допускаемых к работе; § максимальное ограничение количества лиц, допускаемых на объекты; § установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект; § четкое определение порядка выдачи разрешений и оформление документов для входа (въезда) на объект; § определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте; § оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц; § высокую подготовленность и защищенность персонала (нарядов) контрольно- пропускных пунктов. Система мер (режим) сохранности ценностей и контроля должна предусматривать: § строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения ТМЦ); § максимальное ограничение посещений режимных зон лицами, не участвующими в работе; § максимальное сокращение количества лиц, обладающих досмотровым иммунитетом; § организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности; § организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон; § обеспечение защищенного хранения документов, финансовых средств и ценных бумаг; § соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей; § организацию тщательного контроля на каналах возможной утечки информации; § оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны. На объектовую службу безопасности возлагается: § обнаружение факта незаконного изъятия ТМЦ из обращения или хранения; § оперативное информирование правоохранительных органов о событиях и критических ситуациях; § возможность установления субъекта и время акции; § проведение поиска возможного места хранения утраченных средств в районе объекта. Дальнейший поиск и возврат пропавших ресурсов организуется в установленном порядке через соответствующие органы правопорядка и безопасности. Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров. При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются: § защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий; § защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН); § В рамках указанных направлений технической политики обеспечения информационной безопасности необходима: § реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера; § ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера; § разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения; § учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей; § криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи; § снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем; § снижение уровня акустических излучений; § электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории; § активное зашумление в различных диапазонах; § противодействие оптическим и лазерным средствам наблюдения; § проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств; § предотвращение внедрения в автоматизированные информационные системы программ вирусного характера. Защита информационных ресурсов от несанкционированного доступа должна предусматривать: § обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций; § персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах; § надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение; § разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи; § контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи; § очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями; § целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей. Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы) для каких действий или для какого вида доступа может предоставить и при каких условиях, и которая предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа. Положение о персональной ответственности сотрудников реализуется с помощью: § росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах; § индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах; § проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны). Условие надежности хранения реализуется с помощью: § хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке; § выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения; § использования криптографического преобразования информации в автоматизированных системах. Правило разграничения информации по уровню конфиденциальности реализуется с помощью: § предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности. Система контроля за действиями исполнителей реализуется с помощью: § организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями; § регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа; § сигнализации о несанкционированных действиях пользователей. Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до предела, определяемого "Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН", при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах. Первый способ реализуется выбором системно-технических и конструкторских решений при создании технических средств ЭВМ в "защищенном исполнении", а также рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала. Второй способ реализуется в основном за счет применения активных средств защиты в виде "генераторов шума" и специальной системы антенн.
Дата добавления: 2015-05-31; Просмотров: 1224; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |