Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам (2005) (1095364), страница 23
Текст из файла (страница 23)
Выявление этих каналов не является самоцелью, а служит основой для построения эффективной системы защиты информации от утечки ее по техническим каналам. 3.1. Организационно-методические основы защиты информации Общие требования к защите информации Защита информации в новых экономических условиях представляет собой целенаправленную деятельность собственников информации по исключению или существенному ограничению утечки, искажения или уничтожения защищаемых ими сведений. Защита информации должна предусматривать ее сохранность от широкого круга различных угроз, таких, как утечка информации, несанкционированные и непреднамеренные воздействия.
Как правило, защите подлежит категорированная или конфиденциальная информация. В зависимости от вида угроз предусматривается и вид защиты: ° от разглашения и несанкционированного доступа; ° от искажения, копирования, блокирования доступа к ней и ее уничтожения; ° от утраты или уничтожения носителя информации или сбоя его функционирования; ° от утраты или уничтожения носителя информации или сбоя его функционирования из-за ошибок пользователя информацией; ° от сбоя технических и программных средств информационных систем или природных явлений или иных нецеленаправленных на изменение информации воздействий.
126 Организация инженерно-технической защиты информации Защита информации от технических средств разведки представляет собой совокупность организационных и технических мероприятий, проводимых с целью исключения (существенного затруднения) добывания злоумышленником информации об объекте защиты с помощью технических средств.
Защита от этих средств достигается комплексным применением согласованных по цели, месту и времени мер защиты. Эффективное противодействие обеспечивается только при комплексном использовании средств и организационно-технических методов в целях защиты охраняемых сведений об объекте, осуществляемых в соответствии с целями и задачами противодействия, этапами жизненного цикла объекта и способами противодействия.
При этом к защите информации предъявляется ряд требований. Защита должна проводиться: своевременно, активно, разнообразно, непрерывно, рационально, комплексно, планово, Одним из основных требований является своевременность принятия решения на организацию защиты информации. Ускорение процесса выработки решения необходимо, во-первых, для того чтобы своевременно решить возникшие проблемы и не давать им разрастись до такого состояния, когда решение их станет невозможным или бесполезным, во-вторых, для того чтобы подчиненные имели достаточно времени для выполнения поставленных перед ними задач. Активность противодействия прежде всего предусматривает наступательный, активный характер противодействия, основанный на анализе складывающейся обстановки, умении сделать правильные выводы о возможных действиях потенциального противника, позволяющие упредить их и настойчиво осуществлять эффективные меры противодействия.
Разнообразие противодействия направлено на исключение шаблона в организации и проведении мероприятий и подразумевает творческий подход к его организации и осуществлению. Комплексность предусматривает проведение комплекса мероприятий, направленных на своевременное закрытие всех возможных каналов утечки информации об объекте.
Недопустимо применять отдельные технические средства или методы, направленные на защиту только некоторых, из общего числа возможных, каналов утечки информации. Непрерывность противодействия предусматривает проведение мероприятий по комплексной защите объекта информатизации на всех этапах жизненного цикла разработки и существования специ- 127 Глава 3 альной продукции или обеспечения производственной деятельности объекта защиты.
Плановость проведения мероприятий предусматривает прежде всего предусмотренные заранее, еще на стадии проектирования и строительства объекта, мероприятия, направленные на защиту информации. Важно также, чтобы мероприятия по противодействию выглядели правдоподобно и отвечали условиям обстановки, выполнялись в соответствии с планами защиты информации объекта. В связи с этим разрабатываются и осуществляются практические меры по легендированию и маскировке мероприятий, направленных на защиту. Особое внимание при проведении таких мероприятий должно обращаться на выбор замысла защиты информации объекта, замысла противодействия.
Замысел защиты — общая идея и основное содержание организационных, технических мероприятий и мер направленных на маскировку, обеспечивающих устранение или ослабление (искажение) демаскирующих признаков и закрытие технических каналов утечки охраняемых сведений. В основе защиты информации лежит совокупность правовых форм деятельности собственника и организационно-технических мероприятий, реализуемых с целью выполнения требований по сохранению защищаемых сведений и информационных процессов, а также мероприятия по контролю эффективности принятых мер защиты информации. Рассматривая вопросы организации защиты информации от ее утечки по техническим каналам, необходимо отметить, что защита информации не является отдельными, разовыми эпизодами и мероприятиями, а, как указано в требованиях, предъявляемых к защите, она должна вестись комплексно и непрерывно.
Грамотное построение эффективной системы защиты в организации требует настойчивой и целенаправленной повседневной работы. Для создания эффективной системы защиты прежде всего необходимо определиться с пониманием слова «система» применительно к организации и осуществлению мероприятий по защите информации. Любая система состоит из управляющего объекта и объекта управления (рис.3.1) и создается под заданные требования с учетом существующих ограничений. Всякая система может нормально функционировать только при наличии в ней определенных связей междуобъектом управления 128 Организация изиааиерно-технической защитыанфориациц Внешние воздействия Входящий сигнал Выход Обратная связь Рис. 3.1. Принципиальная схема системы управления с обратной связью 129 и управляющим объектом.
Обязательным для нормального функционирования системы является наличие обратной связи. В общем случае, для функционирования любой системы необходимы прежде всего побудительные причины, которые могут появиться как от внешнего воздействия, так и от внутренней неудовлетворенности состоянием дел. Рассмотрим динамику функционирования системы на уровне организации, работающей с категорированной информацией. Так как, любая система создается для решения определенного рода задач, то в своем функционировании она ограничивается как, объективными, так и субъективными факторами. К ним относятся: — перечни защищаемых сведений, составляющих государственную и коммерческую тайну; — требуемые уровни безопасности информации, обеспечение которых не приведет к превышению ущерба над затратами на защиту информации; — угрозы безопасности информации; — показатели, по которым будет оцениваться эффективность системы защиты.
Входами системы инженерно-технической защиты информации являются: — воздействия злоумышленников при физическом проникновении к источникам конфиденциальной информации с целью ее хищения, изменения или уничтожения; — различные физические поля, электрические сигналы, создаваемые техническими средствами злоумышленников, которые воздействуют на средства обработки и хранения информации; — стихийные силы, прежде всего пожары, приводящие к уничтожению или изменению информации; — физические поля и электрические сигналы с информацией, передаваемой по функциональным каналам связи; Глава 3 — побочные электромагнитные и акустические поля, а также электрические сигналы, возникающие в процессе деятельности объектов защиты и несущие конфиденциальную информацию. Выходами системы защиты являются меры по защите информации, адекватные входным воздействиям.
Алгоритм процесса преобразования входных воздействий (угроз) в меры защиты определяет вариант системы защиты. Порядок функционирования системы защиты информации в организации определяется в руководящих, нормативных и методических документах, выходящих как в вышестоящих организациях, так и разрабатываемых в самой организации. Руководящие и нормативно-методические документы, регла- ментирующие деятельность в области защиты информации К руководящим документам вышестоящих организаций в области защиты информации относятся: «Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9.09.2000 г.
Мв Пр,-1895; Федеральный закон от 20.02.95 г. М 24-ФЗ «Об информации, информатизации и защите информации»; Федеральный закон от 04.07.96 г. Мв 85-ФЗ «Об участии в международном информационном обмене»; Федеральный закон от 16.02.95 г. г(а 15-ФЗ «О связи»; Федеральный закон от 26.11.98 г. Мв 178-ФЗ «О лицензировании отдельных видов деятельности»; Указ Президента Российской Федерации от 19.02.99 г. (че 212 «Вопросы Государственной технической комиссии при Президенте Российской Федерации»; Указ Президента Российской Федерации от 17.12.97 г.
Йв 1300 «Концепция национальной безопасности Российской Федерации» в редакции указа Президента Российской Федерации от 10.01.2000 г. Мв 24; Указ Президента Российской Федерации от 06.03.97 г. Ив 188 «Перечень сведений конфиденциального характера». К нормативно-методическим документам вышестоящих организаций относятся: Постановление Правительства Российской Федерации от 03.11.94 г. Мв 1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти»; Решение Гостехкомиссии России и ФАПСИ от 27.04.94 г. г(в 10 «Положение о государственном лицензировании деятельности в области защиты информации» (с дополнением); Постановление Правительства Российской Федерации от 11.04.2000 г. (чв 326 «О лицензировании отдельных видов деятельности»; «Сборник руководящих документов по защи- 130 Организация инженерно-технической защиты информации те информации от несанкционированного доступа» Гостехкомиссия России, Москва, 1998 гц ГОСТ Р 51275-99 «Защита информации.
Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»; ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении»; ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
