3.4. Энергосбытовые мероприятия по работе с расхитителями электроэнергии Реализация того или иного закона возможна, как правило, только с помощью конкретных действующих нормативно–правовых актов. У энергоснабжающих организаций такой пакет ведомственных

6.2. Организационные мероприятия 6.2.1. Административно–уголовная ответственностьВ разделах 3.1 и 3.2 приведено достаточное количество статей КоАП РФ и УК РФ (и разъяснений к ним), по которым имеется возможность привлекать расхитителей электроэнергии к той или иной мере

6.3. Технические мероприятия 6.3.1. Совершенствование конструкции индукционных и электронных счетчиковВ связи со значительным количеством индукционных счетчиков, применяемых в качестве расчетных приборов учета, возникает необходимость в совершенствовании их

2. ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ, ОБЕСПЕЧИВАЮЩИЕ БЕЗОПАСНОСТЬ РАБОТ 2.1. Наряд, распоряжение2.1.1. Работы на оборудовании производятся по письменным нарядам и устным распоряжениям*.Форма наряда дана в прил. 1 к настоящим Правилам. Наряд может быть оформлен на проведение

Лекция 2 Основные направления обеспечения безопасности информационных ресурсов Учебные вопросы:1. Информационные ресурсы и конфиденциальность информации.2. Угрозы конфиденциальной информации организации.3. Система защиты конфиденциальной

Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории

Лекция 11 Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений Учебные вопросы:1. Состояние вопросов обеспечения информационной безопасности.2. Угрозы и уязвимости КСУЗ.3. Этапы построения БКСУЗ.4. Направление

Согласно ФЗ № 149 "Об информации, информационных технологиях и о защите информации", «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• 1)обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• 2)соблюдение конфиденциальности информации ограниченного доступа;
• 3)реализацию права на доступ к информации».ФЗ № 149 «Об информации, информационных технологиях и о защите информации»

Исходя из этого определения, все меры по обеспечению информационной безопасности можно разделить на три категории:

• 1)организационные
• 2)технические
• 3)правовые

Организационные меры носят административный и процедурный характер и регламентируют процессы функционирования информационной системы данных и действия персонала. Следовательно, организационные меры можно разделить на административные и процедурные меры

Административные меры

Основная цель мер административного характера - создать программу работ по теме «информационная безопасность» и обеспечить ее выполнение. В основе программы находиться политика безопасности. Политика безопасности - это набор документированных решений, принимаемых руководством организации и нацеленных на достижение высшего уровня информационной безопасности. Политику безопасности можно считать стратегией организации в области информационной безопасности.

Для того, чтобы разработать подробную стратегию и внедрить ее на реальное предприятие, необходимо для начала согласование различных политических решений высшего руководства. На основе данной политики безопасности происходит разработка программы безопасности. Стоит отметить, что данная политика предоставляет специальные правила, инструкции и нормативы, которые напрямую касаются персонал предприятия. Политику безопасности целесообразно рассматривать на трех уровнях детализации:

• Верхний уровень
• Средний уровень
• Нижний уровень

Рассмотрим эти уровни подробно:

Верхний уровень.

К верхнему уровню относятся решения, затрагивающие организации в целом. Они носят общий характер и, обычно, исходят от руководства организации.

Средний уровень

К данному уровню безопасности относятся вопросы, которые касаются важных аспектов обеспечения информационной безопасности для различных систем на предприятии.

Здесь стоит ответить на следующие вопросы:

• следует ли разрешать сотрудникам переносить данные с домашних компьютеров на рабочие?
• Следует ли разрешать сотрудникам переносить данные с рабочих компьютеров на домашние?

Нижний уровень.

Политику безопасности нижнего уровня можно отнести к конкретным информационным сервисам, различным системам, которые функционируют отдельно или подсистемам обработки данных.

После формулировки отдельной политики безопасности, можно приступить к составлению программы обеспечения безопасности, то есть выработке конкретных мер по реализации политики безопасности.

Обычно программа безопасности разделяется на два уровня:

• верхний, или центральный уровень, который охватывает всю организацию.
• нижний, или служебный, относящийся к отдельным услугам или группам однородных сервисов.

Данная программа возглавляется лицом, которое отвечает за информационную безопасность организации. Программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально поддерживаться и приниматься руководством, а так же иметь определенный штат и бюджет.

В данной работе были выделены основные цели и задачи верхнего уровня:

• «управление рисками, включая оценку рисков и выбор эффективных средств защиты.
• координация деятельности в области информационной безопасности, пополнение и распределение ресурсов.
• стратегическое планирование. В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки обеспечения защиты информации. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.
• контроль деятельности в области информационной безопасности. Такой контроль имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.» Макаренко С.И. Информационная безопасность: Учебное пособие

Программа нижнего уровня

Целью программы нижнего уровня является обеспечение надежной и экономичной защиты конкретного сервиса или группы сервисов. На этом уровне происходит решение, по использованию механизмов защиты; происходит закупка и установка технических средств; выполняется повседневное администрирование; отслеживается состояние слабых мест.

Процедурные меры

Процедурные меры безопасности ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой. Поэтому «человеческий фактор» заслуживает особого внимания.

На процедурном уровне можно выделить следующие классы мер:

• 1. «Управление персоналом
• 2. Физическая защита
• 3. Поддержание работоспособности системы
• 4. Реагирование на нарушения режима безопасности
• 5. Планирование восстановительных работ» Гатчин Ю.А., Сухостат В.В. Теория информационной безопасности и методология защиты информации: Учебное пособие

Опишем некоторые из них более подробно:

Управление персоналом начинается еще до приема на работу нового сотрудника - с составления описания должности. При этом следует придерживаться двух общих принципов при определении компьютерных привилегий:

• 1. «Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс.
• 2. Принцип минимизации привилегий требует, чтобы пользователям давались только те права, которые необходимы им для выполнения служебных обязанностей.» Там же

Физическая защита. Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей информации.

Для поддержания работоспособности информационных систем необходимо проведение ряда рутинных мероприятий:

• 1. Поддержка пользователей, то есть консультирование и оказание помощи при решении различных проблем; при этом важно выявлять проблемы, связанные с информационной безопасностью
• 2. Поддержка программного обеспечения - это, в первую очередь, отслеживание того, какое программное обеспечение установлено на компьютерах. В поддержку программного обеспечения входит также контроль над отсутствием неавторизованного изменения программы
• 3. Резервное копирование необходимо для восстановления программ и данных после аварий.
• 4. Управление носителями подразумевает защиту носителей информации, как от несанкционированного доступа, так и от вредных воздействий окружающей среды
• 5. Документирование - неотъемлемая часть информационной безопасности. В виде документов оформляется почти все - от политики безопасности до журнала учета носителей. При этом важно, чтобы документация отражала текущее положение дел, чтобы при необходимости ее можно было легко найти, а также, чтобы она была защищена от несанкционированного доступа
• 6. Регламентные работы (например, ремонтные) - очень серьезная угроза безопасности, так как во время их проведения к системе получают доступ посторонние сотрудники. Здесь очень важна квалификация и добросовестность этих сотрудников.

Реакция на нарушения режима безопасности преследует следующие цели:

• 1. Локализация инцидента и уменьшение наносимого вреда
• 2. Выявление нарушителя
• 3. Предупреждение повторных нарушений

В случае обнаружения нарушения режима безопасности действия необходимо предпринимать незамедлительно, поэтому очень важно, чтобы последовательность действий была спланирована заранее и отражена в документах. Все сотрудники должны знать, как поступать и к кому обращаться в случае выявления того или иного нарушения защиты, а также должны знать, какие последствия ждут их в случае нарушения ими правил информационной безопасности.

Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность функционирования хотя бы в минимальном объёме. Процесс планирования восстановительных работ можно разделить на следующие этапы:

• 1. Выявление наиболее важных функций организации.
• 2. Определение ресурсов, необходимых для выполнения важнейших функций.
• 3. Определение перечня возможных аварий. При этом важно разработать “сценарий” аварии, понять, к каким последствиям они приведут.
• 4. Разработка стратегии восстановительных работ. Стратегия восстановительных работ должна базироваться на наличных ресурсах и быть не слишком накладной для организации; должна предусматривать не только работы по устранению аварий, но и возвращение к нормальному функционированию.
• 5. Подготовка к реализации выбранной стратегии, то есть выработка плана действий в случае аварии, а также меры по обеспечению дополнительными ресурсами, необходимыми в случае аварии.
• 6. Проверка стратегии, которая заключается в анализе подготовленного плана, принятых и намеченных мер.

Определена степень актуальности проблемы защиты информации в настоящее время. Представлены основные определения, связанные с инженерно-технической защитой. Описаны этапы обеспечения защиты информации, необходимые на предприятиях. Проведено распределение защищаемых объектов на соответствующие классы. Описаны возможные каналы утечки информации и представлена классификация технических каналов утечки информации. Установлены требования к объему и характеру комплекса мероприятий, направленных на защиту конфиденциальной информации от утечки по техническим каналам в процессе эксплуатации защищаемого объекта. Указаны основные должностные лица на предприятии, отвечающие за реализацию информационной безопасности. Рассмотрены виды технических средств приема, обработки, хранения и передачи информации. Описаны основные методы и способы защиты информации от утечки по техническим каналам – организационные, поисковые и технические. Представлены способы активной и пассивной защиты информации.

защита информации

средства

каналы утечки

классификация

информация

1. Хорев А.А. Организация защиты информации от утечки по техническим каналам // Специальная Техника. – 2006. – № 3.

2. Халяпин Д.Б. Защита информации. Вас подслушивают? Защищайтесь. – М.: НОУ ШО Баярд, 2004.

3. Аверченков В.И., Рытов М.Ю. Служба защиты информации: организация и управление: учебное пособие для вузов [электронный ресурс] – М.: ФЛИНТА, 2011.

4. Торокин А.А. Основы инженерно-технической защиты информации. – М.: Гелиус, 2005.

5. Бузов Г.А. Защита от утечки информации по техническим каналам. М.: Горячая линия, 2005.

В настоящее время информация занимает ключевое место. Информация - сведения о лицах, фактах, событиях, явлениях и процессах независимо от формы их представления. Владение информацией во все времена давало преимущества той стороне, которая располагала более точной и обширной информацией, тем более если это касалось информации о соперниках или конкурентах. «Кто владеет информацией, тот владеет миром» (Натан Ротшильд - британский банкир и политик).

Проблема защиты информации существовала всегда, но в настоящее время из-за огромного скачка научно-технического прогресса она прибрела особую актуальность. Поэтому задача специалистов по защите информации заключается в овладении всем спектром приемов и методов защиты информации, способов моделирования и проектирования систем защиты информации. Одним из способов защиты информации является инженерно-техническая защита информации. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Под утечкой информации понимается несанкционированный процесс переноса информации от источника к конкуренту. Физический путь переноса информации от ее источника к несанкционированному получателю называется каналом утечки. Канал, в котором осуществляется несанкционированный перенос информации с использованием технических средств, называется техническим каналом утечки информации (ТКУИ). Классификация технических каналов утечки информации представлена на рисунке .

Для обеспечения высококачественной защиты информации от утечки по техническим каналам прежде всего необходим дифференцированный подход к защищаемой информации. Для этого их надо разделить на соответствующие категории и классы. При этом классификация объектов проводится в соответствии с задачами технической защиты информации. Здесь же устанавливаются требования к объему и характеру комплекса мероприятий, направленных на защиту конфиденциальной информации от утечки по техническим каналам в процессе эксплуатации защищаемого объекта.

К классу защиты А относятся объекты, на которых осуществляется полное скрытие информационных сигналов, возникающих при обработке информации или ведении переговоров (скрытие факта обработки конфиденциальной информации на объекте).

Классификация технических каналов утечки информации

К классу защиты Б относятся объекты, на которых осуществляется скрытие параметров информационных сигналов, возникающих при обработке информации или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте) .

В зависимости от природы источника конфиденциальной информации каналы утечки имеют следующую классификацию :

• электромагнитные каналы утечки информации в радиочастотном диапазоне электромагнитных волн, в которых техническим разведывательным (демаскирующим) признаком объектов защиты являются электромагнитные излучения, параметры которых качественно или количественно характеризуют конкретный объект защиты;
• электромагнитные каналы утечки информации в инфракрасном диапазоне электромагнитных волн, в которых техническим демаскирующим признаком объекта защиты являются собственные излучения объектов в этом диапазоне;
• акустический канал утечки информации. Используется для получения информации в акустической речевой и сигнальной разведках;
• гидроакустические каналы утечки информации. Используется при получении информации о передаче звукоинформационной связи, разведке шумовых полей и гидроакустических сигналов;
• сейсмические каналы утечки информации, позволяющие за счет обнаружения и анализа деформационных и сдвиговых полей в земной поверхности определять координаты и силу различных взрывов, а также перехват ведущихся на небольшой дальности переговоров;
• магнитометрические каналы утечки информации, обеспечивающие получение информации об объектах за счет обнаружения локальных изменений магнитного поля Земли под воздействием объекта;
• химические каналы утечки информации, позволяющие получать информацию об объекте путем контактного или дистанционного анализа изменений химического состава окружающей объект среды .

Процесс обеспечения защиты информации можно разделить на несколько этапов.

Первый этап (анализ объекта защиты) заключается в определении, что нужно защищать.

Анализ проводится по следующим направлениям:

• определяется информация, которая нуждается в защите в первую очередь;
• выделяются наиболее важные элементы (критические) защищаемой информации;
• определяется срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации);
• определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;
• классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения, управления и т.д.).

Второй этап сводится к выявлению угроз:

• определяется - кого может заинтересовать защищаемая информация;
• оцениваются методы, используемые конкурентами для получения этой информации;
• оцениваются вероятные каналы утечки информации;
• разрабатывается система мероприятий по пресечению действий конкурента.

Третий - анализируется эффективность принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т. д.).

Четвертый - определение необходимых мер защиты. На основании проведенных первых трех этапов аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.

Пятый - руководителями фирмы (организации) рассматриваются представленные предложения по всем необходимым мерам безопасности, и производится расчет их стоимости и эффективности.

Шестой - реализация дополнительных мер безопасности с учетом установленных приоритетов.

Седьмой - осуществление контроля и доведение реализуемых мер безопасности до сведения персонала фирмы.

В рамках организации процесс защиты информации проходит, в той или иной мере, через вышеприведенные этапы.

Под системой безопасности предприятия в настоящее время понимается организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз .

Система безопасности фирмы состоит из следующих основных элементов (должностные лица и органы):

• Руководитель фирмы, курирующий вопросы безопасности информации.
• Совет по безопасности фирмы.
• Служба безопасности фирмы.
• Подразделения фирмы, участвующие в обеспечении безопасности фирмы.

Руководство безопасностью возлагается, как правило, на руководителя фирмы и его заместителя по общим вопросам (1-го заместителя), которым непосредственно подчиняется служба безопасности.

Для организации защиты информации на предприятии необходимо сформировать Совет по безопасности. Он представляет собой коллегиальный орган при руководителе фирмы, состав которого назначается им из числа квалифицированных и ответственных по вопросам информационной безопасности должностных лиц. Совет по безопасности разрабатывает для руководителя предложения по основным вопросам обеспечения защиты информации, в том числе:

• направления деятельности фирмы по обеспечению безопасности;
• совершенствование системы безопасности;
• взаимодействия с органами власти, заказчиками, партнерами, конкурентами и потребителями продукции и др. .

Наряду с техническими средствами приема, обработки, хранения и передачи информации (ТСПИ) в помещениях устанавливаются технические средства и системы, непосредственно не участвующие в обработке конфиденциальной информации, но использующиеся совместно с ТСПИ и находящиеся в зоне электромагнитного поля, создаваемого ими. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС).

В организациях работа по инженерно-технической защите информации, как правило, состоит из двух этапов:

• построение или модернизация системы защиты;
• поддержание защиты информации на требуемом уровне.

Формирование системы защиты информации проводится во вновь создаваемых организациях, в остальных осуществляется модернизация существующей системы.

В зависимости от целей, порядка проведения мероприятий по обеспечению безопасности информации и применяемого оборудования методы и способы защиты от утечки информации по техническим каналам можно разделить на организационные, поисковые и технические.

Организационные способы защиты

Эти меры осуществляются без применения специальной техники и предполагают следующее:

• установление контролируемой зоны вокруг объекта;
• введение частотных, энергетических, временных и пространственных ограничений в режимы работы технических средств приема, обработки, хранения и передачи информации;
• отключение на период проведения закрытых совещаний вспомогательных технических средств и систем (ВТСС), обладающих качествами электроакустических преобразователей (телефон, факс и т.п.), от соединительных линий;
• применение только сертифицированных ТСПИ и ВТСС;
• привлечение к строительству и реконструкции выделенных (защищенных) помещений, монтажу аппаратуры ТСПИ, а также к работам по защите информации исключительно организаций, лицензированных соответствующими службами на деятельность в данной области;
• категорирование и аттестация объектов информатизации и выделенных помещений на соответствие требованиям обеспечения защиты информации при проведении работ со сведениями различной степени секретности;
• режимное ограничение доступа на объекты размещения ТСПИ и в выделенные помещения.

Поисковые мероприятия

Портативные подслушивающие (закладные) устройства выявляют в ходе специальных обследований и проверок. Обследование объектов размещения ТСПИ и выделенных помещений выполняется без применения техники путем визуального осмотра. В ходе специальной проверки, выполняемой с применением пассивных (приемных) и активных поисковых средств, осуществляется:

• контроль радиоспектра и побочных электромагнитных излучений ТСПИ;
• выявление с помощью индикаторов электромагнитного поля, интерсепторов, частотомеров, сканеров или программно-аппаратных комплексов негласно установленных подслушивающих приборов;
• специальная проверка выделенных помещений, ТСПИ и ВТСС с использованием нелинейных локаторов и мобильных рентгеновских установок.

Техническая защита

Подобные мероприятия проводятся с применением как пассивных, так и активных защитных приемов и средств. К пассивным техническим способам защиты относят:

• установку систем ограничения и контроля доступа на объектах размещения ТСПИ и в выделенных помещениях;
• экранирование ТСПИ и соединительных линий средств;
• заземление ТСПИ и экранов соединительных линий приборов;
• звукоизоляция выделенных помещений;
• встраивание в ВТСС, обладающие «микрофонным» эффектом и имеющие выход за пределы контролируемой зоны, специальных фильтров;
• ввод автономных и стабилизированных источников, а также устройств гарантированного питания в цепи электроснабжения ТСПИ;
• монтаж в цепях электропитания ТСПИ, а также в электросетях выделенных помещений помехоподавляющих фильтров.

Активное воздействие на каналы утечки осуществляют путем реализации :

• пространственного зашумления, создаваемого генераторами электромагнитного шума;
• прицельных помех, генерируемых на рабочих частотах радиоканалов подслушивающих устройств специальными передатчиками;
• акустических и вибрационных помех, генерируемых приборами виброакустической защиты;
• подавления диктофонов устройствами направленного высокочастотного радиоизлучения;
• зашумления электросетей, посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны;
• режимов теплового разрушения электронных устройств .

В результате использования средств для проведения мероприятий по обеспечению инженерно-технической защиты информации организация существенно уменьшит вероятность реализации угроз, что несомненно способствует сохранению материального и интеллектуального капитала предприятия.

Рецензенты:

Китова О.В., д.э.н., профессор, заведующая кафедрой информатики, ФГБОУ ВПО «Российский экономический университет имени Г.В. Плеханова» Министерства образования и науки РФ, г. Москва;

Петров Л.Ф., д.т.н., профессор кафедры математических методов в экономике, ФГБОУ ВПО «Российский экономический университет имени Г.В. Плеханова» Министерства образования и науки РФ, г. Москва.

Работа поступила в редакцию 18.03.2014.

Библиографическая ссылка

5.1. Разработка мер, и обеспечение защиты конфиденциальной информации осуществляются подразделением по защите конфиденциальной информации (службой безопасности) или отдельными специалистами, назначаемыми руководителем органа исполнительной власти для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии ФСТЭК России и ФСБ России на право осуществления соответствующих работ.

5.2. Для защиты конфиденциальной информации, используются сертифицированные по требованиям безопасности технические средства защиты.

5.3. Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России.

5.4. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителя органа исполнительной власти, эксплуатирующего объекты информатизации.

5.5. Техническая защита информации в защищаемых помещениях.

К основным мероприятиям по технической защите конфиденциальной информации в ЗП относятся:

5.5.1. Определение перечня ЗП по результатам анализа циркулирующей в них конфиденциальной информации и условий ее обмена (обработки), в соответствии с нормативными документами ФСТЭК России.

5.5.2. Назначение сотрудников, ответственных за выполнение требований по технической защите конфиденциальной информации в ЗП, далее сотрудники, ответственные за безопасность информации.

5.5.3. Разработка частных инструкций по обеспечению безопасности информации в ЗП.

5.5.4. Обеспечение эффективного контроля за доступом в ЗП, а также в смежные помещения.

5.5.5. Инструктирование сотрудников, работающих в ЗП о правилах эксплуатации ПЭВМ, других технических средств обработки информации, средств связи с соблюдением требований по технической защите конфиденциальной информации.

5.5.6. Проведение в ЗП обязательных визуальных (непосредственно перед совещаниями) и инструментальных (перед ответственными совещаниями и периодически раз в квартал) проверок на наличие внедренных закладных устройств, в том числе осуществление контроля всех посторонних предметов, подарков, сувениров и прочих предметов, оставляемых в ЗП.

5.5.7. Исключение неконтролируемого доступа к линиям связи, управления и сигнализации в ЗП, а также в смежных помещениях и в коридоре.

5.5.8. Оснащение телефонных аппаратов городской АТС, расположенных в ЗП, устройствами высокочастотной развязки подавления слабых сигналов, а также поддержание их в работоспособном состоянии. Для спаренных телефонов достаточно одного устройства на линию, выходящую за пределы ЗП.

5.5.9. Осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.

5.5.10. Обеспечение требуемого уровня звукоизоляции входных дверей ЗП.

5.5.11. Обеспечение требуемого уровня звукоизоляции окон ЗП.

5.5.12. Демонтирование или заземление (с обеих сторон) лишних (незадействованных) в ЗП проводников и кабелей.

5.5.13. Отключение при проведении совещаний в ЗП всех неиспользуемых электро- и радиоприборов от сетей питания и трансляции.

5.5.14. Выполнение перед проведением совещаний следующих условий:

окна должны быть плотно закрыты и зашторены;

двери плотно прикрыты;

5.6. Защита информации, циркулирующей в ОТСС и наводящейся в ВТСС.

5.6.1. При эксплуатации ОТСС и ВТСС необходимо неукоснительное выполнение требований, определенных в предписании на эксплуатацию.

5.6.2. При невозможности обеспечения контролируемой зоны заданных размеров рекомендуется проведение следующих мероприятий:

Применение систем электромагнитного пространственного зашумления (СПЗ) в районе размещения защищаемого ОТСС.

Применение средств линейного электромагнитного зашумления (СЛЗ) линий электропитания, радиотрансляции, заземления, связи.

5.6.3. Техническая защита информации в средствах вычислительной техники (СВТ) и автоматизированных системах (АС) от несанкционированного доступа в соответствии с требованиями руководящих документов Гостехкомиссии России должна обеспечиваться путем:

проведения классификации СВТ и АС;

выполнения необходимых организационных мер защиты;

установки сертифицированных программных и аппаратно-технических средств защиты информации от НСД.

защита каналов связи, предназначенных для передачи конфиденциальной информации.

защиты информации от воздействия программ-закладок и компьютерных вирусов.

5.7. Организация и проведение работ по антивирусной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при ее обработке техническими средствами определяются настоящим документом, действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России.

Организации антивирусной защиты информации на объектах информатизации достигается путём:

установки и применения средств антивирусной защиты информации;

обновления баз данных средств антивирусной защиты информации;

действий должностных лиц при обнаружении заражения информационно-вычислительных ресурсов программными вирусами.

5.7.1. Организация работ по антивирусной защите информации возлагается на руководителей структурных подразделений и должностных лиц, осуществляющих контроль за антивирусной защитой, а методическое руководство и контроль над эффективностью предусмотренных мер защиты информации на руководителя подразделения по защите конфиденциальной информации (ответственного) ОИВ.

5.7.2. Защита информации от воздействия программных вирусов на объектах информатизации должна осуществляться посредством применения средств антивирусной защиты. Порядок применения средств антивирусной защиты устанавливается с учетом следующих требований:

обязательный входной контроль на отсутствие программных вирусов всех поступающих на объект информатизации носителей информации, информационных массивов, программных средств общего и специального назначения;

периодическая проверка пользователями жестких магнитных дисков (не реже одного раза в неделю) и обязательная проверка используемых в работе носителей информации перед началом работы с ними на отсутствие программных вирусов;

внеплановая проверка носителей информации на отсутствие программных вирусов в случае подозрения на наличие программного вируса;

восстановление работоспособности программных средств и информационных массивов в случае их повреждения программными вирусами.

5.7.3. К использованию допускается только лицензированные, сертифицированные по требованиям ФСТЭК России антивирусные средства.

5.7.4. Порядок применения средств антивирусной защиты во всех случаях устанавливается с учетом следующих требований:

Входной антивирусный контроль всей поступающей на внешних носителях информации и программных средств любого назначения.

Входной антивирусный контроль всей информации поступающей с электронной почтой;

Входной антивирусный контроль всей поступающей информации из сети Internet;

Выходной антивирусный контроль всей исходящей информации на любых внешних носителях и/или передаваемой по локальной сети на другие рабочие станции/сервера, а так же передача информации посредством электронной почты;

Периодическая антивирусная проверка на отсутствие компьютерных вирусов на жестких дисках рабочих станций и серверов;

Обязательная антивирусная проверка используемых в работе внешних носителей информации;

Постоянный антивирусный контроль на рабочих станциях и серверах с использованием резидентных антивирусных мониторов в автоматическом режиме;

Обеспечение получения обновлений антивирусных программ в автоматическом режиме, включая обновления вирусных баз и непосредственно новых версий программ;

Внеплановая антивирусная проверка внешних носителей и жестких дисков рабочих станций и серверов на отсутствие компьютерных вирусов в случае подозрения на наличие компьютерного вируса;

Восстановление работоспособности программных и аппаратных средств, а так же непосредственно информации в случае их повреждения компьютерными вирусами.

5.7.5.Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке и руководством по эксплуатации конкретного антивирусного программного продукта.

5.7.6. При обнаружении на носителе информации или в полученных файлах программных вирусов пользователи докладывают об этом в подразделение по защите конфиденциальной информации или ответственному сотруднику, и принимают меры по восстановлению работоспособности программных средств и данных.

О факте обнаружения программных вирусов сообщается в орган, от которых поступили зараженные файлы, для принятия мер по локализации и устранению программных вирусов.

Перед отправкой массивов информации и программных средств, осуществляется ее проверка на наличие программных вирусов.

При обнаружении программных вирусов пользователь обязан немедленно прекратить все работы на АРМ, поставить в известность подразделение информационно-технической службы органа власти по защите конфиденциальной информации и принять меры к их локализации и удалению с помощью имеющихся антивирусных средств защиты.

При функционировании АРМ в качестве рабочей станции вычислительной сети производится ее отключение от локальной сети, локализация и удаление программных вирусов в вычислительной сети.

Ликвидация последствий воздействия программных вирусов осуществляется подготовленными представителями подразделения информационно-технической службы органа власти по защите конфиденциальной информации.

5.7.7. Организация антивирусной защиты конфиденциальной информации должна быть направлена на предотвращение заражения рабочих станций, входящих в состав локальных компьютерных сетей, и серверов различного уровня и назначения вирусами.

5.7.8. Необходимо постоянно осуществлять обновление вирусных баз. Частоту обновления установить в зависимости от используемых антивирусных средств и частоты выпуска обновления указанных баз.

5.7.9. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке, руководством по эксплуатации конкретного антивирусного программного продукта и инструкцией по антивирусной защите.

5.8. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в информационных системах возлагается на системного администратора органа исполнительной власти.

5.8.1. Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований:

– длина пароля должна быть не менее 8 символов;

– пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения;

– при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;

– личный пароль пользователь не имеет права сообщать никому.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

5.8.2 Формирование личных паролей пользователей осуществляется централизованно. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления (самих уполномоченных сотрудников, а также руководителей подразделений) с паролями других сотрудников подразделений.

5.8.3. Полная плановая смена паролей пользователей должна проводиться регулярно.

5.8.4. Внеплановая смена личного пароля или удаление учетной записи пользователя информационной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться по представлению администратора безопасности уполномоченными сотрудниками немедленно после окончания последнего сеанса работы данного пользователя с системой.

5.8.5. В случае компрометации личного пароля пользователя информационной системы должны быть немедленно предприняты меры в соответствии с п.5.8.4 настоящей Инструкции.

5.8.6 Хранение сотрудником (исполнителем) значений своих паролей на материальном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у руководителя подразделения в опечатанном конверте или пенале (возможно вместе с персональным носителем информации и идентификатором Touch Memory).

5.8.7. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены и использования в подразделениях возлагается на администратора безопасности подразделения, периодический контроль – на специалиста по защите информации или ответственного сотрудника.

Перейдём к непосредственной теме статьи – защита объекта.

Допустим, к вам обратился клиент со следующей проблемой: есть подозрение, что конфиденциальная информация становится доступной для конкурентов.

Клиент – владелец небольшого предприятия, имеющего офис, состоящий из нескольких комнат. На предприятии есть бухгалтерия, производственные площади, кабинет директора, приёмная, комната отдыха. В составе предприятия есть собственная служба безопасности. Площади офиса расположены внутри многоэтажного здания, соседние помещения также заняты под офисы.

С чего начать защитные мероприятия? На первый взгляд необходимо защитить помещения предприятия с закрытием всех типовых каналов утечки информации. Но это очень большие деньги.

На первом этапе необходимо поинтересоваться, кого из конкурентов подозревает клиент в хищении информации. Если есть однозначные подозрения, желательно узнать, насколько дорога уходящая информация, каковы финансовые и технические возможности злоумышленников, т.е. какую сумму они могут себе позволить на съём информации.

Необходимо выяснить, какая группа персонала имеет доступ к уходящей информации. Имея эти сведения, двигаемся дальше.

Мероприятия по защите информации можно разделить на две основные группы: организационные мероприятия и технические мероприятия.

Не будем останавливаться подробно на организационных мероприятиях, для этого есть служба безопасности предприятия. Но несколько советов дать можно.

Необходимо разграничить доступ в помещения и к информации среди персонала предприятия, согласно их деятельности и иерархии. Этим мы существенно сужаем круг лиц, которым доступна конфиденциальная информация.

Необходимо контролировать установленный распорядок дня предприятия.

Необходима разъяснительная работа с персоналом о нежелательном обсуждении некоторых аспектов их работы за стенами предприятия.

Если информация доступна широкому кругу лиц, например, в бухгалтерии пять сотрудников, то защитные технические мероприятия помогут мало. В таком случае, например вместо установки систем защиты телефонных переговоров в бухгалтерии лучше установить систему документирования телефонных переговоров, например «Спрут». В таком случае служба безопасности сможет легко установить лицо, ответственное за разглашение конфиденциальной информации. Постоянное использование других систем защиты в таком помещении также невозможно, так как оно или создаёт некомфортную обстановку для работы, или изначально медицинский сертификат на прибор защиты ограничивает продолжительность его работы, и наконец, работа приборов может отрицательно влиять на работу офисной оргтехники.

Таким образом, мероприятия по защите информации на основных площадях предприятия лучше обеспечить с помощью организационных мероприятий и разрешённых к использованию технических средств контроля – регистраторы и тарификаторы телефонных переговоров, системы видео-аудионаблюдения, системы контроля доступа и т. д.

Что же защищать на предприятии с помощью техники? Лучше всего выделить специальную комнату для ведения переговоров (как правило - комната отдыха), обеспечить ограниченный доступ в неё, если есть необходимость в ведении конфиденциальных переговоров по телефону, выделить отдельную телефонную городскую линию (не коммутируя её с офисной мини-АТС) и завести в защищённое помещение. Если есть необходимость в использовании персонального компьютера, лучше его вывести из локальной сети предприятия. Если необходимо вести конфиденциальные переговоры в кабинете директора, то он тоже подлежит технической защите.

Теперь, когда определились с конкретным помещением, перейдём к техническим мероприятиям по защите.

Прежде всего, определим ТТХ помещения. Помещение имеет одно окно, одну батарею центрального отопления, две электрические розетки и освещение, присоединённые на две различные электрические фазы, в помещение заведена одна городская телефонная линия, в помещении постоянно находится персональный компьютер, не входящий в локальную сеть предприятия.

Стены помещения железобетонные. Габариты помещения: 4м х 5м х 2.7м.

План помещения представлен на рисунке 1.