Главная

Популярная публикация

Научная публикация

Случайная публикация

Обратная связь

ТОР 5 статей:

Методические подходы к анализу финансового состояния предприятия

Проблема периодизации русской литературы ХХ века. Краткая характеристика второй половины ХХ века

Ценовые и неценовые факторы

Характеристика шлифовальных кругов и ее маркировка

Служебные части речи. Предлог. Союз. Частицы

КАТЕГОРИИ:






Служба безопасности (отдел защиты информации)




Выполнение различных мероприятий по созданию и поддержанию работоспособности системы защиты должно быть возложено на специальную службу - службу компьютерной безопасности.

Служба обеспечения безопасности информации должна представлять собой систему штатных подразделений и нештатных сотрудников, организующих и обеспечивающих комплексную защиту информации.

«Инструкция по организации парольной защиты» призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

При использовании в некоторых подсистемах АС средств криптографической защиты информации и средств электронной цифровой подписи необходим еще один документ, регламентирующий действия конечных пользователей, - «Порядок работы с носителями ключевой информации».

Для пользователей защищенных АРМ (на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые дополнения к функциональным обязанностям и технологическим инструкциям, закрепляющие

требования по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мер по обеспечению установленного режима защиты информации.

Регламентация предусматривает введение таких ограничений и внедрение таких приемов работы сотрудников, которые, не создавая помех для исполнения ими своих функциональных обязанностей (технологических функций), минимизируют возможности

 

 

 

· Каналы утечки информации и методы защиты

 

 

 

Основные методы и средства несанкционированного получения информации и возможная защита

п/п Действие человека (типовая ситуация) Каналы утечки информации Методы и средства получения информации Методы и средства защиты информации
  Разговор в помещении или на улице Акустика · Виброакустика · Гидроакустика · Акустоэлектроника · Подслушивание, диктофон, микрофон, направленный микрофон, полуактивная · система Стетоскоп, вибродатчик · Гидроакустический · датчик Радиотехнические спецприемники · Шумовые генераторы, поиск закладок, защитные фильтры, ограничение доступа
  Разговор по проводному телефону Акустика · Электросигнал в линии · Наводки · Аналогично п.1 Параллельный телефон, прямое подключение, электромагнитный · датчик, диктофон, телефонная закладка Аналогично п.1 · Маскирование, скремблирование, · шифрование Спецтехника ·
  Разговор по радиотелефону Акустика · Электромагнитные волны · Аналогично п.1 · Радиоприемные устройства · Аналогично п.1 · Аналогично п.2 ·
  Документ на бумажном носителе Наличие Кража, визуально, копирование, фотографирование Ограничение доступа, спецтехника
  Изготовление документа на бумажном носителе Наличие · Паразитные сигналы, наводки · Аналогично п.4 · Специальные радио­технические устройства · Аналогично п.1 · Экранирование ·
  Почтовое отправление Наличие Кража, прочтение Специальные методы защиты
  Документ на небумажном носителе Носитель Хищение, копирование, считывание Контроль доступа, физическая защита, криптозащита
  Изготовление документа на небумажном носителе Изображение на дисплее · Паразитные сигналы, наводки · Визуально, копирование, фотографирование · Специальные радиотехнические · устройства Контроль доступа, криптозащита
  Передача документа по каналу связи Электрические и оптические сигналы Несанкционированное подключение, имитация зарегистрированного пользователя Криптозащита
  Производственный процесс Отходы, излучения и т.п. Спец.аппаратура различного назначения, оперативные мероприятия Оргтехмероприятия, физическая защита

 

 

Классификация методов и средств защиты информации
от утечки по техническим каналам

Защита информации от утечки по техническим каналам достигается проектно-архитектурными решениями, проведением организационных и технических мероприятий, а также выявлением портативных электронных устройств перехвата информации (закладных устройств) [39, 64].

Организационное мероприятие - это мероприятие по защите информации, проведение которого не требует применения специально разработанных технических средств.

К основным организационным и режимным мероприятиям относятся:


• привлечение к проведению работ по защите информации организаций, имеющих лицензию на деятельность в области защиты информации, выданную соответствующими органами;
• категорирование и аттестация объектов ТСПИ по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;


• использование на объекте сертифицированных ТСПИ и ВТСС;


• установление контролируемой зоны вокруг объекта;


• привлечение к работам по строительству, реконструкции объектов ТСПИ, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации по соответствующим пунктам;


• организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения;
• введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
• отключение на период закрытых мероприятий технических средств, имеющих элементы, выполняющие роль электроакустических преобразователей, от линий связи и т.д.
Техническое мероприятие - это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений.

Технические мероприятия направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения портативных средств разведки или их датчиков до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки, и проводятся с использованием активных и пассивных средств.


К техническим мероприятиям с использованием пассивных средств относятся:

· контроль и ограничение доступа на объекты ТСПИ и в выделенные помещения;

· установка на объектах ТСПИ и в выделенных помещениях технических средств и систем ограничения и контроля доступа;

· локализация излучений;

· экранирование ТСПИ и их соединительных линий;

· заземление ТСПИ и экранов их соединительных линий;

· звукоизоляция выделенных помещений;

· развязывание информационных сигналов;

· установка специальных средств защиты;

· установка специальных диэлектрических вставок в оплетки кабелей электропитания, труб систем отопления, водоснабжения и канализации, имеющих выход за пределы контролируемой зоны;

· установка автономных или стабилизированных источников электропитания ТСПИ;

· установка устройств гарантированного питания ТСПИ (например, мотор-генераторов);

· установка в цепях электропитания ТСПИ, а также в линиях осветительной и розеточной сетей выделенных помещений помехоподавляющих фильтров типа ФП.


К техническим мероприятиям с использованием активных средств относятся [1, 39, 54, 64, 114 ]:
- пространственное зашумление:
• пространственное электромагнитное зашумление с использованием генераторов шума или создание прицельных помех (при обнаружении и определении частоты излучения закладного устройства или побочных электромагнитных излучений ТСПИ) с использованием средств создания прицельных помех (см. рис. 1.5 и 1.6);
• создание акустических и вибрационных помех с использованием генераторов акустического шума (см. рис. 1.7 и 1.8);
• подавление диктофонов в режиме записи с использованием подавителей диктофонов.
- линейное зашумление:
• линейное зашумление линий электропитания (см. рис. 1.9);
• линейное зашумление посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны (см. рис. 1.10).
- уничтожение закладных устройств:
• уничтожение закладных устройств, подключенных к линии, с использованием специальных генераторов импульсов (выжигателей "жучков").

Комплексная защита

Электронный замок может быть разработан на базе аппаратного шифратора. В этом случае получается одно устройство, выполняющее функции шифрования, генерации случайных чисел и защиты от НСД. Такой шифратор способен быть центром безопасности всего компьютера, на его базе можно построить полнофункциональную систему криптографической защиты данных, обеспечивающую, например, следующие возможности:

1. Защита компьютера от физического доступа.

2. Защита компьютера от НСД по сети и организация VPN.

3. Шифрование файлов по требованию.

4. Автоматическое шифрование логических дисков компьютера.

5. Вычисление/проверка ЭЦП.

6. Защита сообщений электронной почты.

 






Не нашли, что искали? Воспользуйтесь поиском:

vikidalka.ru - 2015-2024 год. Все права принадлежат их авторам! Нарушение авторских прав | Нарушение персональных данных