дипломчик (1205685), страница 11

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 11)

Кроме этого, к этому уровню относятся стандарты и спецификации в области информационной безопасности. Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты и ответственности субъектов информационных отношений.

К этому уровню можно отнести и морально-этические нормы поведения, которые сложились традиционно или складываются по мере распространения вычислительных средств в обществе. Морально-этические нормы могут быть регламентированными в законодательном порядке, т.е. в виде свода правил и предписаний.

Административный уровень включает комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации. Организационный уровень должен охватывать все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

Программно-технический уровень включает три подуровня: физический, технический (аппаратный) и программный.

Физический подуровень решает задачи с ограничением физического доступа к информации и информационным системам, соответственно к нему относятся технические средства, реализуемые в виде автономных устройств и систем, не связанных с обработкой, хранением и передачей информации: система охранной сигнализации, система наблюдения, средства физического воспрепятствования доступу (замки, ограждения, решетки и т.д.).

Средства защиты аппаратного и программного подуровней непосредственно связаны с системой обработки информации. Эти средства либо встроены в аппаратные средства обработки, либо сопряжены с ними по стандартному интерфейсу. К аппаратным средствам относятся схемы контроля информации по четности, схемы доступа по ключу и т.д.

К программным средствам защиты, образующим программный подуровень, относятся специальное программное обеспечение, используемое для защиты информации, например антивирусный пакет и т.д.

Программы защиты могут быть как отдельные, так и встроенные. Так, шифрование данных можно выполнить встроенной в операционную систему файловой шифрующей системой EFS (Windows 7,10) или специальной программой шифрования.

Подчеркнем, что формирование режима информационной безопасности является сложной системной задачей, решение которой в разных странах отличается по содержанию и зависит от таких факторов, как научный потенциал страны, степень внедрения средств информатизации в жизнь общества и экономику, развитие производственной базы, общей культуры общества и, наконец, традиций и норм поведения.

Вывод: По выше сказанному можно сделать следующий вывод, что на предприятии УСОК "Восточный" ФГУП "Спецстройтехнологии" при Спецстрое России» используется административный и программно-технический уровни информационной безопасности.

1. Каналы утечки информации и их средства защиты

Каналы утечки информации, — методы и пути утечки информации из информационной системы; паразитная (нежелательная) цепочка носителей информации, один или несколько из которых являются (могут быть) правонарушителем или его специальной аппаратурой. Играют основную роль в защите информации, как фактор информационной безопасности.

Классификация:

Все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые соответственно требуют доступа к аппаратному обеспечению и данным информационной системы.

Примеры косвенных каналов утечки:

• Кража или утеря носителей информации, исследование не уничтоженного мусора;

• Дистанционное фотографирование, прослушивание;

• Перехват электромагнитных излучений.

Примеры прямых каналов утечки:

Инсайдеры (человеческий фактор). Утечка информации вследствие несоблюдения коммерческой тайны;

Прямое копирование.

Каналы утечки информации можно также разделить по физическим свойствам и принципам функционирования:

• акустические — запись звука, подслушивание и прослушивание;

• акустоэлектрические - получение информации через звуковые волны с дальнейшей передачей ее через сети электропитания;

• виброакустические - сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

• оптические — визуальные методы, фотографирование, видео съемка, наблюдение;

• электромагнитные — копирование полей путем снятия индуктивных наводок;

• радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации “закладочных устройств”, модулированные информативным сигналом;

• материальные — информация на бумаге или других физических носителях информации

Акустический канал утечки информации реализуется в следующем:

• подслушивание разговоров на открытой местности и в помещениях, находясь рядом или используя направленные микрофоны (бывают параболические, трубчатые или плоские). Направленность 2-5 градусов, средняя дальность действия наиболее распространенных – трубчатых составляет около 100 метров. При хороших климатических условиях на открытой местности параболический направленный микрофон может работать на расстояние до 1 км;

• негласная запись разговоров на диктофон или магнитофон (в т.ч. цифровые диктофоны, активизирующиеся голосом);

• подслушивание разговоров с использованием выносных микрофонов (дальность действия радиомикрофонов 50-200 метров без ретрансляторов).

Микрофоны, используемые в радиозакладках, могут быть встроенными или выносными и имеют два типа: акустические (чувствительные в основном к действию звуковых колебаний воздуха и предназначенные для перехвата речевых сообщений) и вибрационные (преобразующие в электрические сигналы колебания, возникающие в разнообразных жестких конструкциях).

Акустоэлектрический канал утечки информации, особенностями которого являются:

• удобство применения (электросеть есть везде);

• отсутствие проблем с питанием у микрофона;

• возможность съема информации с питающей сети не подключаясь к ней (используя электромагнитное излучение сети электропитания). Прием информации от таких "жучков" осуществляется специальными приемниками, подключаемыми к силовой сети в радиусе до 300 метров от "жучка" по длине проводки или до силового трансформатора, обслуживающего здание или комплекс зданий;

• возможные помехи на бытовых приборах при использовании электросети для передачи информации, а также плохое качество передаваемого сигнала при большом количестве работы бытовых приборов.

Предотвращение:

• трансформаторная развязка является препятствием для дальнейшей передачи информации по сети электропитания;

Телефонный канал утечки информации для подслушивания телефонных переговоров (в рамках промышленного шпионажа) возможен:

• гальванический съем телефонных переговоров (путем контактного подключения подслушивающих устройств в любом месте абонентской телефонной сети). Определяется путем ухудшения слышимости и появления помех, а также с помощью специальной аппаратуры;

• телефонно-локационный способ (путем высокочастотного навязывания). По телефонной линии подается высокочастотный тональный сигнал, который воздействует на нелинейные элементы телефонного аппарата (диоды, транзисторы, микросхемы) на которые также воздействует акустический сигнал. В результате в телефонной линии формируется высокочастотный модулированный сигнал.

Обнаружить подслушивание возможно по наличии высокочастотного сигнала в телефонной линии. Однако дальность действия такой системы из-за затухания ВЧ сигнала в двухпроводной. линии не превышает ста метров. Возможное противодействие: подавление в телефонной линии высокочастотного сигнала;

• индуктивный и емкостной способ негласного съема телефонных переговоров (бесконтактное подключение).

Индуктивный способ — за счет электромагнитной индукции, возникающей в процессе телефонных переговоров вдоль провода телефонной линии. В качестве приемного устройства съема информации используется трансформатор, первичная обмотка которого охватывает один или два провода телефонной линии.

Ёмкостной способ — за счет формирования на обкладках конденсатора электростатического поля, изменяющегося в соответствии с изменением уровня телефонных переговоров. В качестве приемника съема телефонных переговоров используется емкостной датчик, выполненный в виде двух пластин, плотно прилегающих к проводам телефонной линии.

Подслушивание разговоров в помещении с использованием телефонных аппаратов возможно следующими способами:

• низкочастотный и высокочастотный способ съема акустических сигналов и телефонных переговоров. Данный способ основан на подключении к телефонной линии подслушивающих устройств, которые преобразованные микрофоном звуковые сигналы передают по телефонной линии на высокой или низкой частоте. Позволяют прослушивать разговор как при поднятой, так и при опущенной телефонной трубке. Защита осуществляется путем отсекания в телефонной линии высокочастотной и низкочастотной составляющей;

• использование телефонных дистанционных подслушивающих устройств. Данный способ основывается на установке дистанционного подслушивающего устройства в элементы абонентской телефонной сети путем параллельного подключения его к телефонной линии и дистанционным включением.

Дистанционное телефонное подслушивающее устройство имеет два деконспирирующих свойства: в момент подслушивания телефонный аппарат абонента отключен от телефонной линии, а также при положенной телефонной трубке и включенном подслушивающем устройстве напряжение питания телефонной линии составляет менее 20 Вольт, в то время как она должна составлять 60.

Технические средства промышленного шпионажа:

• средства акустического контроля;

• аппаратура для съема информации с окон;

• специальная звукозаписывающая аппаратура;

• микрофоны различного назначения и исполнения;

• электросетевые подслушивающие устройства;

• приборы для съема информации с телефонной линии связи и сотовых телефонов;

• специальные средства радиоперехвата и приема ПЭМИН и др.

Технические средства съема информации могут быть внедрены «противником» следующими способами:

• установка средств съема информации в ограждающие конструкции помещений во время строительных, ремонтных и реконструкционных работ;

• установка средств съема информации в предметы мебели, другие предметы интерьера и обихода, различные технические средства как общего назначения, так и предназначенные для обработки информации;

• установка средств съема информации в предметы обихода, которые вручаются в качестве подарков, а впоследствии могут использоваться для оформления интерьера служебных помещений;

• установка средств съема информации в ходе профилактики инженерных сетей и систем. При этом в качестве исполнителя могут быть использованы даже сотрудники ремонтных служб.

Пассивные и активные средства защиты ИБ:

В соответствии с требованиями СТР ВС-96 использование ВТ, устанавливаемой для обработки секретной информации в КСА, допускается только после выполнения следующих мероприятий по спецзащите:

• специальной проверки (СП);

• специальных исследований (СИ);

• доработок (закрытие каналов утечки секретной информации) по результатам объектовых специальных исследований. Специальная проверка (СП) ОТСС проводится на наличие возможно внедренных электронных устройств перехвата (уничтожения) информации. Она выполняется специализированными государственными организациями, имеющими лицензию ФАПСИ на производство указанных работ.

Специальные исследования (СИ) ОТСС проводятся для выявления возможных каналов утечки секретной информации.

СИ выполняются специализированными организациями, имеющими лицензии Гостехкомиссии РФ на производство указанных работ.

Комплекс мероприятий по защите информации от утечки включает:

• защиту информации ОТСС от утечки за счет ПЭМИ;

• защиту ВТСС от утечки информации за счет наведенных ПЭМИ от ОТСС. Защита информации осуществляется выполнением организационных и технических мероприятий. К техническим мероприятиям относятся:

• подавление или маскирование информационных сигналов ПЭМИ от ОТСС;

• подавление или маскирование наведенных информационных сигналов на оборудование и электрические цепи, имеющие выход за пределы КЗ. Реализация технических мероприятий осуществляется с помощью технических средств.

Технические средства защиты подразделяются на пассивные и активные.

• К пассивным средствам защиты относятся:
  экранирование помещений объекта с малой КЗ, в которых размещены ОТСС;

• установка в цепях электропитания ОТСС электрических помехоподавляющих фильтров. К средствам активной защиты (САЗ) относятся:

• средства пространственного зашумления;

• экранирование помещений применяется в случаях, когда контролируемая зона от ОТСС превышает размеры контролируемой зоны объекта.

Толщина металлического листа, обеспечивающего необходимую эффективность экранирования, определяется расчетом. Конструкция швов экрана должна обеспечивать надежный электрический контакт с низким переходным сопротивлением высокочастотным токам по периметру соединяемых деталей экрана. Для обеспечения этого требования соединение листов экрана должно производиться герметичным швом электродуговой сварки в среде защитного газа по ГОСТ 14771-76.

Выполнение экранировки требует значительных экономических затрат и большого расхода материалов, весьма трудоемко, сложно в изготовлении входов в помещения вентиляции и вводов коммуникаций. При использовании металлических сеток эффективность экранирования значительно меньше.

Сетевые помехоподавляющие фильтры применяются в сетях электропитания для защиты от высокочастотных наводок. Основными критериями выбора фильтров являются:

• затухание, выраженное в Дб, в заданном диапазоне частот;

• номинальное рабочее напряжение и номинальный рабочий ток.

Фильтры должны иметь сертификат соответствия требованиям безопасности информации Гостехкомиссии.

Заключение

В настоящее время, в условия нестабильности и противоречивости реформационных процессов проблема экономической безопасности предприятия встречается довольно часто и является актуальной. Любое предприятие не застраховано от воздействия на них различных внешних и внутренних рисков, а конкурентная экономическая среда скрывает многочисленные угрозы. Из-за таких рисков Российские организации вынуждены адаптироваться к условиям политической и социально-экономической нестабильности и параллельно разрабатывать адекватные решения исходя из сложившейся ситуации. А также от субъектов управления предприятием требуется построение комплексной системы, которая повысит уровень экономической безопасности предприятия. Сопоставляя мнения разных авторов, среди проблем экономической безопасности предприятия, требующих немедленное решения, необходимо выделить: -отсутствие определенности в выборе составляющих экономической безопасности предприятия; -затруднения с определением состава оценочных критериев составляющих экономической безопасности; -отсутствие общепризнанных отечественных методик оценки уровня экономической безопасности предприятия. Таким образом, проблема экономической безопасности предприятия требует комплексного подхода, осуществление которого достаточно сложно. [3] Важнейшей угрозой для предприятия является потеря своей ниши на рынке товаров. При такой угрозе предприятие сталкивается с трудностью при сбыте своего товара, за который должно получить прибыль для обеспечения нормального воспроизводственного процесса. Причиной возникновения такой угрозы экономической безопасности предприятия могут быть самые различные факторы внешнего и внутреннего характера:

Характеристики

Список файлов ВКР