Каждая организация решает задачу защиты информации самостоятельно, исходя из действующего законодательства и своих собственных интересов и возможностей. Однако к настоящему времени многолетней практикой выработаны общие рекомендации, которые могут быть полезны любому предприятию, которое решает проблему засекречивания своей коммерческой информации.

1. Выделяется ответственный за эту работу – один из руководителей предприятия (например, заместитель руководителя по коммерции или маркетингу) который совместно со службой безопасности (СБ) организует и осуществляет весь комплекс работ.

2. Создается комиссия из числа квалифицированных специалистов ведущих структурных подразделений, на которую возлагаются экспертные функции.

3. Членами созданной комиссии с привлечением руководителей и специалистов патентно-лицензионного отдела, финансового отдела и отдела, занимающегося рекламой, и других структурных подразделений определяется первоначальный вариант перечня сведений, составляющих коммерческую тайну предприятия,

4. Проводится анализ поступивших предложений и готовится окончательный вариант перечня сведений, составляющих коммерческую тайну.

5. Окончательный вариант перечня утверждается руководителем предприятия и доводится до исполнителей в полном объеме или части, касающихся их полномочий.

Способы защиты информации

Все разнообразные способы защиты информации обычно классифицируют по двум признакам.

1. По собственнику информации (по видам охраняемых тайн):

Защита государственной тайны;

Защита межгосударственных секторов;

Защита коммерческой тайны.

2. По группам используемых для защиты информации сил, средств и методов:

Правовая (разработка правовых норм, регламентирующих правоотношения персонала в условиях организации документооборота);

Организационная (установка постов охраны; разработка методических и руководящих материалов при организации документооборота; соответствующий подбор кадров и др.);

Инженерно-техническая (использование соответствующих технических средств, предотвращающих или существенно затрудняющих хищение средств вычислительной техники, информационных носителей, а также исключающих несанкционированны доступ к электронному документообороту);

Программно-математическая (применение общесистемных и специальных программ; инструктивно-методических материалов по применению средств программного обеспечения; математических методов, моделей и алгоритмов обработки информации и др.).

Остановимся на проблеме подбора кадров. Первостепенной задачей в этом случае является выявление и отсев кандидатов с признаками психологической патологии. При этом даже опытные руководители не могут правильно, достоверно и быстро оценить подлинное психическое состояние кандидатов, в следствие их повышенного волнения. В этом случае представляется целесообразным требовать от пришедших на собеседование предоставления справок о состоянии здоровья либо направлять их в определенные клиники для прохождения полной диспансеризации.

Первичный контакт с кандидатом следует максимально использовать для сбора информации и в воспитательно-профилактических целях. Рекомендуется:

Обращать внимание будущего работника на характерные особенности и режим предстоящей работы;

Привлекать внимание к условиям работы с конфиденциальной информацией, к которой он будет допущен;

Приводить примеры из практики защиты коммерческой информации на предприятии и внимательно оценить реакцию кандидата на эти сведения.

Кроме этого, можно дополнительно потребовать составление анкеты кандидата и его фотографии с целью обеспечения максимальной полноты формулировок окончательного заключения и выявления возможных скрытых противоречий в характере проверяемого лица с приглашением высокопрофессиональных специалистов, графологов, психоаналитиков и даже экстрасенсов.

ХОРЕВ Анатолий Анатольевич, доктор технических наук, профессор

Организация защиты информации от утечки по техническим каналам

Общие положения

К защищаемой информацииотносится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации . Это, как правило, информация ограниченного доступа, содержащая сведения, отнесенные к государственной тайне, а также сведения конфиденциального характера.

Защита информации ограниченного доступа (далее - защищаемой информации) от утечки по техническим каналам осуществляется на основе Конституции Российской Федерации, требований законов Российской Федерации “Об информации, информатизации и защите информации”, “О государственной тайне”, “О коммерческой тайне”, других законодательных актов Российской Федерации, “Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам”, утвержденного Постановлением Правительства РФ от 15.09.93 № 912-51, “Положения о лицензировании деятельности предприятий, организаций и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны”, утвержденного Постановлением Правительства РФ от 15 апреля 1995 г. № 333, “Положения о государственном лицензировании деятельности в области защиты информации”, утвержденного Постановлением Правительства РФ от 27 апреля 1994 г. № 10, “Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации” утвержденного Постановлением Правительства РФ от 27 мая 2002 г. № 348, с изменениями и дополнениями от 3 октября 2002 г. № 731, “Положения о сертификации средств защиты информации”, утвержденного Постановлением Правительства РФ от 26 июня 1995 г. № 608, Постановлений Правительства Российской Федерации “О лицензировании деятельности по технической защите конфиденциальной информации” (от 30 апреля 2002 г. № 290, с изменениями и дополнениями от 23 сентября 2002 г. № 689 и от 6 февраля 2003 г. № 64), “О лицензировании отдельных видов деятельности” (от 11 февраля 2002 г. № 135), а также “Положения по аттестации объектов информатизации по требованиям безопасности информации”, утвержденного Председателем Гостехкомиссии России 25 ноября 1994 г., и других нормативных документов.

Требования и рекомендации нормативных документов распространяются на защиту государственных информационных ресурсов. При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования нормативных документов носят рекомендательный характер.

Режим защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (далее - конфиденциальной информации), устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством Российской Федерации.

Мероприятия по защите конфиденциальной информации от утечки по техническим каналам (далее - технической защите информации) являются составной частью деятельности предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению их информационной безопасности.

Защита конфиденциальной информации от утечки по техническим каналам должна осуществляться посредством выполнения комплекса организационных и технических мероприятий, составляющих систему технической защиты информации на защищаемом объекте (СТЗИ), и должна быть дифференцированной в зависимости от установленной категории объекта информатизации или выделенного (защищаемого) помещения (далее – объекта защиты).

Организационные мероприятия по защите информации от утечки по техническим каналам в основном основываются на учете ряда рекомендаций при выборе помещений для установки технических средств обработки конфиденциальной информации (ТСОИ) и ведения конфиденциальных переговоров, введении ограничений на используемые ТСОИ, вспомогательные технические средства и системы (ВТСС) и их размещение, а также введении определенного режима доступа сотрудников предприятия (организации, фирмы) на объекты информатизации и в выделенные помещения.

Технические мероприятия по защите информации от утечки по техническим каналам основываются на применении технических средств защиты и реализации специальных проектных и конструкторских решений.

Техническая защита информации осуществляется подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководителями организаций для проведения таких работ. Для разработки мер по защите информации могут привлекаться сторонние организации, имеющие лицензии ФСТЭК или ФСБ России на право проведения соответствующих работ.

Перечень необходимых мер защиты информации определяется по результатам специального обследования объекта защиты, сертификационных испытаний и специальных исследований технических средств, предназначенных для обработки конфиденциальной информации.

Уровень технической защиты информации должен соответствовать соотношению затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов.

Защищаемые объекты должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России на соответствие установленным нормам и требованиям по защите информации. По результатам аттестации дается разрешение (аттестат соответствия) на обработку конфиденциальной информации на данном объекте.

Ответственность за обеспечение требований по технической защите информации возлагается на руководителей организаций, эксплуатирующих защищаемые объекты.

В целях своевременного выявления и предотвращения утечки информации по техническим каналам должен осуществляться контроль состояния и эффективности защиты информации. Контроль заключается в проверке по действующим методикам выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Защита информации считается эффективной, если принятые меры соответствуют установленным требованиям и нормам. Организация работ по защите информации возлагается на руководителей подразделений, эксплуатирующих защищаемые объекты, а контроль за обеспечением защиты информации - на руководителей подразделений по защите информации (служб безопасности).

Установка технических средств обработки конфиденциальной информации, а также средств защиты информации должна выполняться в соответствии с техническим проектом или техническим решением. Разработка технических решений и технических проектов на установку и монтаж ТСОИ, а также средств защиты информации производится подразделениями по защите информации (службами безопасности предприятий) или проектными организациями, имеющими лицензию ФСТЭК, на основании технических заданий на проектирование, выдаваемых заказчиками.

Технические решения по защите информации от утечки по техническим каналам являются составной частью технологических, планировочных, архитектурных и конструктивных решений и составляют основу системы технической защиты конфиденциальной информации.

Непосредственную организацию работ по созданию СТЗИ осуществляет должностное лицо, обеспечивающее научно-техническое руководство проектированием объекта защиты.

Разработка и внедрение СТЗИ может осуществляться как силами предприятий (организаций, фирм), так и другими специализированными организациями, имеющими лицензии ФСТЭК и (или) ФСБ России на соответствующий вид деятельности.

В случае разработки СТЗИ или ее отдельных компонентов специализированными организациями в организации - заказчике определяются подразделения или отдельные специалисты, ответственные за организацию и проведение мероприятий по защите информации, которые должны осуществлять методическое руководство и участвовать в специальном обследовании защищаемых объектов, аналитическом обосновании необходимости создания СТЗИ, согласовании выбора ТСОИ, технических и программных средств защиты, разработке технического задания на создание СТЗИ, организации работ по внедрению СТЗИ и аттестации объектов защиты.

Порядок организации на предприятии работ по созданию и эксплуатации объектов информатизации и выделенных (защищаемых) помещений определяется в специальном “Положении о порядке организации и проведения на предприятии работ по защите информации от ее утечки по техническим каналам” с учетом конкретных условий, которое должно определять:

• порядок определения защищаемой информации;
• порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СТЗИ, их задачи и функции на различных стадиях создания и эксплуатации защищаемого объекта;
• порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
• порядок разработки, ввода в действие и эксплуатацию защищаемых объектов;
• ответственность должностных лиц за своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СТЗИ.

На предприятии (учреждении, фирме) должен быть документально оформлен перечень сведений, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

При организации работ по защите утечки по техническим каналам информации на защищаемом объекте можно выделить три этапа :

• первый этап (подготовительный, предпроектный);
• второй этап (проектирование СТЗИ);
• третий этап (этап ввода в эксплуатацию защищаемого объекта и системы технической защиты информации).

Подготовительный этап создания системы технической защиты информации

На первом этапе осуществляется подготовка к созданию системы технической защиты информации на защищаемых объектах, в процессе которой проводится специальное обследование защищаемых объектов, разрабатывается аналитическое обоснование необходимости создания СТЗИ и техническое (частное техническое) задание на ее создание.

При проведении специального обследования защищаемых объектов с привлечением соответствующих специалистов проводится оценка потенциальных технических каналов утечки информации.

Для анализа возможных технических каналов утечки на объекте изучаются :

• план (в масштабе) прилегающей к зданию местности в радиусе до 150 - 300 м с указанием (по возможности) принадлежности зданий и границы контролируемой зоны;
• поэтажные планы здания с указанием всех помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
• план-схема инженерных коммуникаций всего здания, включая систему вентиляции;
• план-схема системы заземления объекта с указанием места расположения заземлителя;
• план-схема системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
• план-схема прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
• план-схема систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок.

Устанавливается: когда был построен объект (здание), какие организации привлекались для строительства, какие организации в нем ранее располагались.

При анализе условий расположения объекта определяются граница контролируемой зоны, места стоянки автомашин, а также здания, находящиеся в прямой видимости из окон защищаемых помещений за пределами контролируемой зоны. Определяются (по возможности) принадлежность этих зданий и режим доступа в них.

Путем визуального наблюдения или фотографирования из окон защищаемых помещений устанавливаются окна близлежащих зданий, а также места стоянки автомашин, находящиеся в прямой видимости. Проводится оценка возможности ведения из них разведки с использованием направленных микрофонов и лазерных акустических систем разведки, а также средств визуального наблюдения и съемки.

Устанавливается месторасположение трансформаторной подстанции, электрощитовой, распределительных щитов. Определяются здания и помещения, находящиеся за пределами контролируемой зоны, которые запитываются от той же низковольтной шины трансформаторной подстанции, что и защищаемые объекты. Измеряется длина линий электропитания от защищаемых объектов до возможных мест подключения средств перехвата информации (распределительных щитов, помещений и т.п.), находящихся за пределами контролируемой зоны. Проводится оценка возможности приема информации, передаваемой сетевыми закладками (при их установке в защищаемых помещениях), за пределами контролируемой зоны.

Определяются помещения, смежные с защищаемыми и находящиеся за пределами контролируемой зоны. Устанавливаются их принадлежность и режим доступа в них. Определяется возможность доступа с внешней стороны к окнам защищаемых помещений. Проводится оценка возможности утечки речевой информации из защищаемых помещений по акустовибрационным каналам.

Определяются соединительные линии вспомогательных технических средств и систем (линии телефонной связи, оповещения, систем охранной и пожарной сигнализации, часофикации и т.п.), выходящие за пределы контролируемой зоны, места расположения их распределительных коробок. Измеряется длина линий от защищаемых объектов до мест возможного подключения средств перехвата информации за пределами контролируемой зоны. Проводится оценка возможности утечки речевой информации из защищаемых помещений по акустоэлектрическим каналам.

Определяются инженерные коммуникации и посторонние проводники, выходящие за пределы контролируемой зоны, измеряется их длина от защищаемых объектов до мест возможного подключения средств перехвата информации.

Устанавливается месторасположение заземлителя, к которому подключен контур заземления защищаемого объекта. Определяются помещения, расположенные за пределами контролируемой зоны, которые подключены к тому же заземлителю.

Определяются места установки на объектах информатизации ТСОИ и прокладки их соединительных линий.

Проводится оценка возможности перехвата информации, обрабатываемой ТСОИ, специальными техническими средствами по электромагнитным и электрическим каналам утечки информации.

В современных условиях целесообразно провести технический контроль по оценке реальных экранирующих свойств конструкций здания звуко- и виброизоляции помещений в целях учета их результатов при выработке мер защиты ТСОИ и выделенных помещений.

Предпроектное обследование может быть поручено специализированной организации, имеющей соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям организации - заказчика при методической помощи специализированной организации.

Ознакомление специалистов этой организации с защищаемыми сведениями осуществляется в установленном в организации - заказчике порядке.

После проведения предпроектного специального обследования защищаемого объекта группой (комиссией), назначенной руководителем предприятия (организации, фирмы), проводится аналитическое обоснование необходимости создания СТЗИ, в процессе которого:

• определяется перечень сведений, подлежащих защите (перечень сведений конфиденциального характера утверждается руководителем организации);
• проводится категорирование сведений конфиденциального характера, подлежащих защите;
• определяется перечень лиц, допущенных до сведений конфиденциального характера, подлежащих защите;
• определяется степень участия персонала в обработке (обсуждении, передаче, хранении и т.п.) информации, характер их взаимодействия между собой и со службой безопасности;
• разрабатывается матрица допуска персонала к сведениям конфиденциального характера, подлежащих защите;
• определяется (уточняется) модель вероятного противника (злоумышленника, нарушителя);
• проводятся классификация и категорирование объектов информатизации и выделенных помещений;
• проводится обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования и внедрения СТЗИ;
• проводится оценка материальных, трудовых и финансовых затрат на разработку и внедрение СТЗИ;
• определяются ориентировочные сроки разработки и внедрения СТЗИ.

Основным признаком конфиденциальной информации является ее ценность для потенциального противника (конкурентов). Поэтому, определяя перечень сведений конфиденциального характера, их обладатель должен определить эту ценность через меру ущерба, который может быть нанесен предприятию при их утечке (разглашении). В зависимости от величины ущерба (или негативных последствий), который может быть нанесен при утечке (разглашении) информации, вводятся следующие категории важности информации:

• 1 категория
– информация, утечка которой может привести к потере экономической или финансовой самостоятельности предприятия или потери ее репутации (потери доверия потребителей, смежников, поставщиков и т.п.);
• 2 категория
– информация, утечка которой может привести к существенному экономическому ущербу или снижению ее репутации;
• 3 категория
– информация, утечка разглашение которой может нанести экономический ущерб предприятию.

С точки зрения распространения информации ее можно разделить на две группы:

• первая группа (1)
– конфиденциальная информация, которая циркулирует только на предприятии и не предназначенная для передачи другой стороне;
• вторая группа (2)
– конфиденциальная информация, которая предполагается к передаче другой стороне или получаемая от другой стороны.

Следовательно, целесообразно установить шесть уровней конфиденциальности информации (табл. 1).

Таблица 1. Уровни конфиденциальности информации

Величина ущерба (негативных последствий), который может быть нанесен при разглашении конкретной информации	Уровень конфиденциальности информации
	информация, не подлежащая передаче другим предприятиям (организациям)	информация, предназначенная для передачи другим предприятиям (организациям) или полученная от них
Утечка информации может привести к потере экономической или финансовой самостоятельности предприятия или потери ее репутации
Утечка информации может привести к существенному экономическому ущербу или снижению репутации предприятия
Утечка информации может нанести экономический ущерб предприятию

При установлении режима доступа к конфиденциальной информации необходимо руководствоваться принципом - чем больше ущерб от разглашения информации, тем меньше круг лиц, которые к ней допущены.

Режимы доступа к конфиденциальной информации должны быть увязаны с должностными обязанностями сотрудников.

В целях ограничения круга лиц, допущенных к сведениям, составляющим коммерческую тайну, целесообразно введение следующих режимов доступа к ней:

• режим 1
– обеспечивает доступ ко всему перечню сведений конфиденциального характера. Устанавливается руководящему составу предприятия;
• режим 2
– обеспечивает доступ к сведениям при выполнении конкретных видов деятельности (финансовая, производственная, кадры, безопасность и т.п.). Устанавливается для руководящего состава отделов и служб;
• режим 3
– обеспечивает доступ к определенному перечню сведений при выполнении конкретных видов деятельности. Устанавливается для сотрудников - специалистов конкретного отдела (службы) в соответствии с должностными обязанностями.

Таким образом, после составления перечня сведений конфиденциального характера необходимо установить уровень их конфиденциальности, а также режим доступа к ним сотрудников.

Разграничение доступа сотрудников предприятия (фирмы) к сведениям конфиденциального характера целесообразно осуществлять или по уровням (кольцам) конфиденциальности в соответствии с режимами доступа, или по так называемым матрицам полномочий, в которых в строках перечислены должности сотрудников предприятия (фирмы), а столбцах - сведения, включенные в перечень сведений, составляющих коммерческую тайну. Элементы матрицы содержат информацию об уровне полномочий соответствующих должностных лиц (например, “+” – доступ к сведениям разрешен, “-” – доступ к сведениям запрещен).

Далее определяется (уточняется) модель вероятного противника (злоумышленника, нарушителя), которая включает определение уровня оснащения противника, заинтересованного в получении информации, и его возможностей по использованию тех или иных технических средств разведки для перехвата информации.

В зависимости от финансового обеспечения, а также возможностей доступа к тем или иным средствам разведки, противник имеет различные возможности по перехвату информации. Например, средства разведки побочных электромагнитных излучений и наводок, электронные устройства перехвата информации, внедряемые в технические средства, лазерные акустические системы разведки могут использовать, как правило, разведывательные и специальные службы государств.

Для обеспечения дифференцированного подхода к организации защиты информации от утечки по техническим каналам защищаемые объекты должны быть отнесены к соответствующим категориям и классам.

Классификация объектов проводится по задачам технической защиты информации и устанавливает требования к объему и характеру комплекса мероприятий, направленных на защиту конфиденциальной информации от утечки по техническим каналам в процессе эксплуатации защищаемого объекта.

Защищаемые объекты целесообразно разделить на два класса защиты (табл. 2).

К классу защиты А относятся объекты, на которых осуществляется полное скрытие информационных сигналов, которые возникают при обработке информации или ведении переговоров (скрытие факта обработки конфиденциальной информации на объекте).

К классу защиты Б относятся объекты, на которых осуществляется скрытие параметров информационных сигналов, возникающих при обработке информации или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте).

Таблица 2. Классы защиты объектов информатизации и выделенных помещений

При установлении категории защищаемого объекта учитываются класс его защиты, а также финансовые возможности предприятия по закрытию потенциальных технических каналов утечки информации. Защищаемые объекты целесообразно разделить на три категории.

Категорирование защищаемых объектов информатизации и выделенных помещений проводится комиссиями, назначенными руководителями предприятий, в ведении которых они находятся. В состав комиссий, как правило, включаются представители подразделений, ответственных за обеспечение безопасности информации, и представители подразделений, эксплуатирующих защищаемые объекты.

• определяются объекты информатизации и выделенные помещения, подлежащие защите;
• определяется уровень конфиденциальности информации, обрабатываемой ТСОИ или обсуждаемой в выделенном помещении, и производится оценка стоимости ущерба, который может быть нанесен предприятию (организации, фирме) вследствие ее утечки;
• для каждого объекта защиты устанавливается класс защиты (А или Б) и определяются потенциальные технические каналы утечки информации и специальные технические средства, которые могут использоваться для перехвата информации (табл. 3, 4);
• определяется рациональный состав средств защиты, а также разрабатываются организационные мероприятия по закрытию конкретного технического канала утечки информации для каждого объекта защиты;
• для информации, отнесенной к конфиденциальной и предоставленной другой стороной, определяется достаточность мер, принятых по ее защите (меры или нормы по защите информации определяются соответствующим договором);
• проводится оценка стоимости мероприятий (организационных и технических) по закрытию конкретного технического канала утечки информации для каждого объекта защиты;
• с учетом оценки возможностей вероятного противника (конкурента, злоумышленника) по использованию для перехвата информации тех или иных технических средств разведки, а также с учетом стоимости закрытия каждого канала утечки информации и стоимости ущерба, который может быть нанесен предприятию вследствие ее утечки, определяется целесообразность закрытия тех или иных технических каналов утечки информации;
• после принятия решения о том, какие технические каналы утечки информации необходимо закрывать, устанавливается категория объекта информатизации или выделенного помещения (табл. 5).

Результаты работы комиссии оформляются актом, который утверждается должностным лицом, назначившим комиссию.

Таблица 3. Потенциальные технические каналы утечки информации, обрабатываемой ПЭВМ

Технические каналы утечки информации	для перехвата информации
Электромагнитный (перехват побочных электромагнитных излучений ТСОИ)	Средства разведки побочных электромагнитных излучений и наводок (ПЭМИН), установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны
Электрический (перехват наведенных электрических сигналов)	Средства разведки ПЭМИН, подключаемые к линиям электропитания ТСОИ, соединительным линиям ВТСС, посторонним проводникам, цепям заземления ТСОИ за пределами контролируемой зоны
Высокочастотное облучение ТСОИ	Аппаратура “высокочастотного облучения”, установленная в ближайших строениях или смежных помещениях, находящихся за пределами контролируемой зоны
Внедрение в ТСОИ электронных устройств перехвата информации	Аппаратные закладки модульного типа, устанавливаемые в системный блок или периферийные устройства в процессе сборки, эксплуатации и ремонта ПЭВМ: аппаратные закладки для перехвата изображений, выводимых на экран монитора, устанавливаемые в мониторы ПЭВМ; аппаратные закладки для перехвата информации, вводимой с клавиатуры ПЭВМ, устанавливаемые в клавиатуру; аппаратные закладки для перехвата информации, выводимой на печать, устанавливаемые в принтер; аппаратные закладки для перехвата информации, записываемой на жесткий диск ПЭВМ, устанавливаемые в системный блок. Аппаратные закладки, скрытно внедряемые в блоки, узлы, платы и отдельные элементы схем ПЭВМ на стадии их изготовления

Таблица 4. Потенциальные технические каналы утечки речевой информации

Технические каналы утечки информации	Специальные технические средства, используемые для перехвата информации
Прямой акустический (через щели, окна, двери, технологические проемы, вентиляционные каналы и т.д.)	направленные микрофоны, установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны; специальные высокочувствительные микрофоны, установленные в воздуховодах или в смежных помещениях, принадлежащих другим организациям; электронные устройства перехвата речевой информации с датчиками микрофонного типа, установленные в воздуховодах, при условии неконтролируемого доступа к ним посторонних лиц; прослушивание разговоров, ведущихся в выделенном помещении, без применения технических средств посторонними лицами (посетителями, техническим персоналом) при их нахождении в коридорах и смежных с выделенным помещениях (непреднамеренное прослушивание)
Акустовибрационный (через ограждающие конструкции, трубы инженерных коммуникаций и т.д.)	электронные стетоскопы, установленные в смежных помещениях, принадлежащих другим организациям; электронные устройства перехвата речевой информации с датчиками контактного типа, установленные на инженерно-технических коммуникациях (трубы водоснабжения, отопления, канализации, воздуховоды и т.п.) и внешних ограждающих конструкциях (стены, потолки, полы, двери, оконные рамы и т.п.) выделенного помещения, при условии неконтролируемого доступа к ним посторонних лиц
Акустооптический (через оконные	лазерные акустические локационные системы, установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны
Акустоэлектрический (через соединительные линии ВТСС)	специальные низкочастотные усилители, подключаемые к соединительным линиям ВТСС, обладающим “микрофонным” эффектом, за пределами контролируемой зоны; аппаратура “высокочастотного навязывания”, подключаемая к соединительным линиям ВТСС, обладающим “микрофонным” эффектом, за пределами контролируемой зоны
Акустоэлектромагнитный (параметрический)	специальные радиоприемные устройства, установленные в близлежащих строениях и транспортных средствах, находящихся за границей контролируемой зоны, перехватывающие ПЭМИ на частотах работы высокочастотных генераторов, входящих в состав ВТСС, обладающих “микрофонным” эффектом; аппаратура “высокочастотного облучения”, установленная в ближайших строениях или смежных помещениях, находящихся за пределами контролируемой зоны

Задача технической защиты информации	Закрываемые технические каналы утечки информации
Полное скрытие информационных сигналов, возникающих при обработке информации техническим средством или ведении переговоров (скрытие факта обработки конфиденциальной информации на объекте)
Скрытие параметров информационных сигналов, возникающих при обработке информации техническим средством или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте)	все потенциальные технические каналы утечки информации
Скрытие параметров информационных сигналов, возникающих при обработке информации техническим средством или ведении переговоров, по которым возможно восстановление конфиденциальной информации (скрытие информации, обрабатываемой на объекте)	наиболее опасные технические каналы утечки информации

После установления категории объекта защиты оцениваются возможности по созданию и внедрению СТЗИ силами предприятия (организации, фирмы) или проводится обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования и внедрения СТЗИ. Проводится оценка материальных, трудовых и финансовых затрат на разработку и внедрение СТЗИ, определяются ориентировочные сроки разработки и внедрения СТЗИ.

Результаты аналитического обоснования необходимости создания СТЗИ оформляются пояснительной запиской, которая должна содержать :

• перечень сведений конфиденциального характера с указанием их уровня конфиденциальности;
• перечень сотрудников предприятия, допущенных до конфиденциальной информации, с указанием их режима доступа, а при необходимости и матрицы доступа;
• информационную характеристику и организационную структуру объектов защиты;
• перечень объектов информатизации, подлежащих защите, с указанием их категорий;
• перечень выделенных помещений, подлежащих защите, с указанием их категорий;
• перечень и характеристику технических средств обработки конфиденциальной информации с указанием их места установки;
• перечень и характеристику вспомогательных технических средств и систем с указанием их места установки;
• предполагаемый уровень оснащения вероятного противника (конкурента, злоумышленника);
• технические каналы утечки информации, подлежащие закрытию (устранению);
• организационные мероприятия по закрытию технических каналов утечки информации;
• перечень и характеристику предлагаемых к использованию технических средств защиты информации с указанием их места установки;
• методы и порядок контроля эффективности защиты информации;
• обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования;
• оценку материальных, трудовых и финансовых затрат на разработку и внедрение СТЗИ;
• ориентировочные сроки разработки и внедрения СТЗИ;
• перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования СТЗИ.

Пояснительная записка подписывается руководителем группы (комиссии), проводившей аналитическое обоснование, согласовывается с руководителем службы безопасности и утверждается руководителем предприятия.

На основе аналитического обоснования и действующих нормативно-методических документов по защите информации от утечки по техническим каналам, с учетом установленного класса и категории защищаемого объекта задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СТЗИ.

Техническое задание (ТЗ) на разработку СТЗИ должно содержать:

• обоснование разработки;
• исходные данные объекта защиты в техническом, программном, информационном и организационном аспектах;
• ссылку на нормативно-методические документы, с учетом которых будет разрабатываться и приниматься в эксплуатацию СТЗИ;
• конкретные требования к СТЗИ;
• перечень предполагаемых к использованию технических средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения;
• перечень подрядных организаций - исполнителей различных видов работ;
• перечень предъявляемой заказчику научно-технической продукции и документации.

Техническое задание на проектирование СТЗИ защищаемого объекта оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Стадия проектирования системы технической защиты информации

Для разработки технического проекта на создание системы технической защиты информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Технический проект СТЗИ должен содержать:

• титульный лист;
• схемы систем активной защиты (если они предусмотрены техническими заданием на проектирование);
• инструкции и руководства по эксплуатации технических средств защиты для пользователей и ответственных за обеспечение безопасности информации на объекте информатизации.

Технический проект, рабочие чертежи, смета и другая проектная документация должны быть учтены в установленном порядке.

Технический проект согласовывается со службой (специалистом) безопасности заказчика, органа по защите информации проектной организации, представителями подрядных организаций - исполнителей видов работ и утверждается руководителем проектной организации.

При разработке технического проекта необходимо учитывать следующие рекомендации :

• в выделенных помещениях необходимо устанавливать сертифицированные технические средства обработки информации и вспомогательные технические средства;
• для размещения ТСОИ целесообразно выбирать подвальные и полуподвальные помещения (они обладают экранирующими свойствами);

• кабинеты руководителей организации, а также особо важные выделенные помещения рекомендуется располагать на верхних этажах (за исключением последнего) со стороны, менее опасной с точки зрения ведения разведки;
• необходимо предусмотреть подвод всех коммуникаций (водоснабжение, отопление, канализация, телефония, электросеть и т.д.) к зданию в одном месте. Вводы коммуникаций в здание целесообразно сразу ввести в щитовое помещение и обеспечить закрытие его входа и установку сигнализации или охраны;
• в случае если разделительный трансформатор (трансформаторная подстанция), от которой осуществляется электропитание защищаемых технических средств и выделенных помещений, расположен за пределами контролируемой зоны, необходимо предусмотреть отключение от низковольтных шин подстанции, от которых осуществляется питание защищаемых объектов, потребителей, находящихся за контролируемой зоной;
• электросиловые кабели рекомендуется прокладывать от общего силового щита по принципу вертикальной разводки на этажи с горизонтальной поэтажной разводкой и с установкой на каждом этаже своего силового щитка. Аналогичным образом должны прокладываться соединительные кабели вспомогательных технических средств, в том числе кабели систем связи;
• число вводов коммуникаций в зону защищаемых помещений должно быть минимальным и соответствовать числу коммуникаций. Незадействованные посторонние проводники, проходящие через защищаемые помещения, а также кабели (линии) незадействованных вспомогательных технических средств должны быть демонтированы;
• прокладка информационных цепей, а также цепей питания и заземления защищаемых технических средств должна планироваться таким образом, чтобы был исключен или уменьшен до допустимых пределов их параллельный пробег с различными посторонними проводниками, имеющими выход за пределы контролируемой зоны;
• для заземления технических средств (в том числе вспомогательных), установленных в выделенных помещениях, необходимо предусмотреть отдельный собственный контур заземления, расположенный в пределах контролируемой зоны. Если это невозможно, необходимо предусмотреть линейное зашумление системы заземления объекта;
• необходимо исключить выходы посторонних проводников (различных трубопроводов, воздухопроводов, металлоконструкций здания и т.п.), в которых присутствуют наведенные информативные сигналы, за пределы контролируемой зоны. Если это невозможно, необходимо предусмотреть линейное зашумление посторонних проводников;
• прокладку трубопроводов и коммуникаций горизонтальной разводки рекомендуется осуществлять открытым способом или за фальшпанелями, допускающими их демонтаж и осмотр;
• в местах выхода трубопроводов технических коммуникаций за пределы выделенных помещений рекомендуется устанавливать гибкие виброизолирующие вставки с заполнением пространства между ними и строительной конструкцией раствором на всю толщину конструкции. В случае невозможности установки вставок потребуется оборудование трубопроводов системой вибрационного зашумления;
• необходимо предусматривать прокладку вертикальных стояков коммуникаций различного назначения вне пределов зоны выделенных помещений;
• ограждающие конструкции выделенных помещений, смежные с другими помещениями организации, не должны иметь проемы, ниши, а также сквозные каналы для прокладки коммуникаций;
• систему приточно-вытяжной вентиляции и воздухообмена зоны выделенных помещений целесообразно сделать отдельной, она не должна быть связана с системой вентиляции других помещений организации и иметь свой отдельный забор и выброс воздуха;
• короба системы вентиляции рекомендуется выполнять из неметаллических материалов. Внешняя поверхность коробов вентиляционной системы, выходящих из выделенной зоны или отдельных важных помещений, должна предусматривать их отделку звукопоглощающим материалом. В местах выхода коробов вентиляционных систем из выделенных помещений рекомендуется установить мягкие виброизолирующие вставки из гибкого материала, например брезента или плотной ткани. Выходы вентиляционных каналов за пределами зоны выделенных помещений должны быть закрыты металлической сеткой;
• в помещениях, оборудованных системой звукоусиления, целесообразно применять облицовку внутренних поверхностей ограждающих конструкций звукопоглощающими материалами;
• дверные проемы в особо важных помещениях необходимо оборудовать тамбурами;
• декоративные панели отопительных батарей должны быть съемными для осмотра;
• в особо важных выделенных помещениях не рекомендуется использование подвесных потолков, особенно неразборной конструкции;
• для остекления особо важных выделенных помещений рекомендуется применение солнцезащитных и теплозащитных стеклопакетов;
• полы особо важных выделенных помещений целесообразно делать без плинтусов;
• в выделенных помещениях не рекомендуется применять светильники люминесцентного освещения. Светильники с лампами накаливания следует выбирать на полное сетевое напряжение без применения трансформаторов и выпрямителей.

Ввод в эксплуатацию системы технической защиты информации

На третьем этапе силами монтажных и строительных организаций осуществляется выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам по монтажу технических средств обработки информации, вспомогательных технических средств, а также проведения технических мероприятий по защите информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Монтажной организацией или заказчиком проводятся закупка сертифицированных ТСОИ и специальная проверка несертифицированных ТСОИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации (“закладок”) и их специальные исследования.

По результатам специальных исследований ТСОИ уточняются мероприятия по защите информации. В случае необходимости вносятся соответствующие изменения в технический проект, которые согласовываются с проектной организацией и заказчиком.

Проводятся закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка в соответствии с техническим проектом.

Службой (специалистом) безопасности организуется контроль проведения всех мероприятий по защите информации, предусмотренных техническим проектом.

В период установки и монтажа ТСОИ и средств защиты информации особое внимание должно уделяться обеспечению режима и охране защищаемого объекта.

• организацию охраны и физической защиты помещений объекта информатизации и выделенных помещений, исключающих несанкционированный доступ к ТСОИ, их хищение и нарушение работоспособности, хищение носителей информации;
• при проведении реконструкции объекта должен быть организован контроль и учет лиц и транспортных средств, прибывших и покинувших территорию проводимых работ;
• рекомендуется организовать допуск строителей на территорию и в здание по временным пропускам или ежедневным спискам;
• копии строительных чертежей, особенно поэтажных планов помещений, схем линий электропитания, связи, систем охранной и пожарной сигнализации и т.п. должны быть учтены, а их число ограничено. По окончании монтажных работ копии чертежей, планов, схем и т.п. подлежат уничтожению установленным порядком;
• необходимо обеспечить хранение комплектующих и строительных материалов на складе под охраной;
• не рекомендуется допускать случаев проведения монтажных операций и отделочных работ, выполняемых одиночными рабочими, особенно в ночное время;
• на этапе отделочных работ необходимо обеспечить ночную охрану здания.

К некоторым мероприятиям по организации контроля в этот период можно отнести:

• перед монтажом необходимо обеспечить скрытную проверку всех монтируемых конструкций, особенно установочного оборудования, на наличие разного рода меток и отличий их друг от друга, а также закладных устройств;
• необходимо организовать периодический осмотр зон выделенных помещений в вечернее или в нерабочее время при отсутствии в нем строителей в цельях выявления подозрительных участков и мест;
• организовать контроль за ходом всех видов строительных работ на территории и в здании. Основная функция контроля заключается в подтверждении правильности технологии строительно-монтажных работ и соответствия их техническому проекту;
• организовать осмотр мест и участков конструкций, которые по технологии подлежат закрытию другими конструкциями. Такой контроль может быть организован легально под легендой необходимости проверки качества монтажа и материалов или скрытно;
• необходимо тщательно проверять соответствие монтажных схем и количество прокладываемых проводов техническому проекту. Особое внимание необходимо уделять этапу ввода проводных коммуникаций и кабелей в зону выделенных помещений. Все прокладываемые резервные провода и кабели необходимо нанести на план-схему с указанием мест их начала и окончания.

При проведении контроля особое внимание необходимо обращать на следующие моменты:

• несогласованное с заказчиком изменение количественного состава бригад, изменение их персонального состава, особенно в период длительных по времени однотипных процессов;
• наличие отклонений от согласованной или стандартной технологии строительно-монтажных работ;
• недопустимы большие задержки по времени выполнения стандартных монтажных операций;
• неожиданная замена типов строительных материалов и элементов конструкций;
• изменение схем и порядка монтажа конструкций;
• проведение работ в обеденное или в нерабочее время, особенно ночью;
• психологические факторы поведения отдельных строителей в присутствии контролирующих и т.п.

Перед установкой в выделенные помещения и на объекты информатизации мебели и предметов интерьера технические устройства и средства оргтехники должны проверяться на отсутствие закладных устройств. Одновременно целесообразно провести проверку технических средств на уровни побочных электромагнитных излучений. Такую проверку целесообразно проводить в специально оборудованном помещении или на промежуточном складе.

После отделки рекомендуется провести всесторонний анализ здания на возможность утечки информации по акустическим и вибрационным каналам. По результатам измерений с учетом реальной ситуации по режиму охраны должны быть разработаны дополнительные рекомендации по усилению мер защиты, если имеет место невыполнение требований по защите.

До начала монтажа ТСОИ и средств защиты информации заказчиком определяются подразделения и лица, планируемые к назначению ответственными за эксплуатацию СТЗИ. В процессе монтажа средств защиты и их опытной эксплуатации происходит обучение назначенных лиц специфике работ по защите информации.

Совместно с представителями проектной и монтажной организаций ответственными за эксплуатацию СТЗИ осуществляется разработка эксплуатационной документации на объект информатизации и выделенные помещения (технических паспортов объектов, инструкций, приказов и других документов).

Технический паспорт на объект защиты разрабатывается лицом, назначенным ответственным за эксплуатацию и безопасность информации на данном объекте, и включает:

• пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
• перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
• перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
• перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
• перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
• перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
• схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границ контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
• технологические поэтажные планы здания (в масштабе) с указанием мест расположения объектов информатизации и выделенных помещений, характеристик их стен, перекрытий, материалов отделки, типов дверей и окон;
• планы объектов информатизации (в масштабе) с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
• план-схему инженерных коммуникаций всего здания, включая систему вентиляции;
• план-схему системы заземления объекта, с указанием места расположения заземлителя;
• план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
• план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
• план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
• схемы систем активной защиты (если они предусмотрены).

К техническому паспорту прилагаются:

• предписания на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
• сертификаты соответствия требованиям безопасности информации на ВТСС;
• сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
• акты на проведенные скрытые работы;
• протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин;
• протоколы измерения величины сопротивления заземления;
• протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки.

После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.

По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.

По завершении ввода в эксплуатацию СТЗИ проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации.

При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (“закладных устройств”), возможно внедренных в выделенные помещения, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.

В период эксплуатации периодически должны проводиться специальные обследования и проверки выделенных помещений и объектов информатизации. Специальные обследования должны проводиться под легендой для сотрудников организации или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей организации и сотрудников службы безопасности).

Литература

1. Абалмазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам. – М.: Гротек, 1997, с. 248.
2. Гавриш В.Ф. Практическое пособие по защите коммерческой тайны. – Симферополь: Таврида, 1994, с. 112.
3. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. (Принят и введен в действие Постановлением Госстандарта России от 12 мая 1999 г. № 160).
4. Доктрина информационной безопасности Российской Федерации (Принята 9 сентября 2000 г. № ПР-1895).
5. Организация и современные методы защиты информации. Информационно-справочное пособие. – М.: Ассоциация "Безопасность", 1996, c. 440с.
6. Противодействие экономическому шпионажу: сборник публикаций журнала “Защита информации. Конфидент” 1994 – 2000. – Санкт-Петербург: Конфидент, 2000, c. 344.
7. Максимов Ю.Н., Сонников В.Г., Петров В.Г. и др. Технические методы и средства защиты информации. – Санкт-Петербург: ООО Издательство Полигон, 2000, c. 320.
8. Торокин А.А. Инженерно-техническая защита информации: Учеб. пособие для студентов, обучающихся по специальностям в обл. информ. безопасности. – М.: Гелиос АРВ, 2005, c. 960.
9. Хорев А.А. Способы и средства защиты информации: Учеб. пособие. – М.: МО РФ, 2000, c. 316.

Всех уже перестал удивлять тот факт, что в продаже постоянно появляются сведения, составляющие коммерческую тайну той или иной организации. Сегодня не составит труда приобрести клиентскую базу или персональные данные работников интересующей вас компании. Это происходит потому, что руководители организаций не прилагают достаточных усилий для защиты информации, относящейся к коммерческой тайне. Более того, не стоит забывать о реально существующих охотниках за подобной информацией. Научно-технический прогресс внес в нашу жизнь большое количество технических средств, позволяющих производить запись телефонных переговоров, совещаний, появилась возможность считывать информацию с экрана компьютера, территориально находясь вне места расположения компании.

Но основным источником утечки информации являются сотрудники. Именно они «сливают» информацию, составляющую коммерческую тайну. Причин тому может быть масса - и получение дополнительного заработка, и по неосторожности или случайно.

На сегодняшний день компании, специализирующиеся на технической защите ценной информации, предлагают ряд продуктов, способных осуществлять динамическую блокировку устройств, через которые злоумышленники могут скачать информацию.

Но против человеческого фактора защиту строить сложнее. Необходимо четко разъяснить сотрудникам, какая информация относиться к коммерческой тайне, и какова степень ответственности за ее разглашение. Ограничьте доступ к информации, составляющей коммерческую тайну: определите порядок обращения с этой информацией, осуществляйте контроль за соблюдением такого порядка. Разработайте специальную инструкцию по соблюдению конфиденциальности.

В обязательном порядке необходимо заключить с работниками трудовые договоры, а с контрагентами (лат. contrahens -- договаривающийся -- лица, учреждения, организации, связанные обязательствами по общему договору, сотрудничающие в процессе выполнения договора) гражданско-правовые договоры, в которых должны содержаться условия об охране конфиденциальной информации. Обязательство о неразглашении коммерческой тайны может быть составлено в любой форме, важно чтобы оно содержало перечень сведений, которые в вашей компании составляют коммерческую тайну.

Также организовать специальное делопроизводство, обеспечивающее сохранность носителей, содержащих коммерческую тайну, и внедрите систему разъединения информации по блокам. Каждый сотрудник должен знать ровно столько, сколько необходимо для выполнения его обязанностей.

Еще одним способом защиты прав обладателя коммерческой тайны является установление санкций за нарушение обязательств по соблюдению конфиденциальности контрагентами в гражданско-правовых договорах. По общему правилу, защита нарушенных гражданских прав осуществляется в судебном порядке (признание права, пресечение незаконных действий, возмещение убытков). Кроме гражданско-правовых способов защиты, коммерческая тайна может быть защищена по нормам трудового, уголовного права, а также по нормам о недобросовестной конкуренции.

Из возможностей, предусмотренных трудовым правом, права обладателя коммерческой тайны могут защищаться такими действиями как привлечение к материальной ответственности и привлечение к дисциплинарной ответственности вплоть до прекращения трудовых отношений. Кроме того, при наличии признаков правонарушения, предусмотренных соответствующими отраслями права, возможно, привлечение правонарушителей к уголовной ответственности.

При хранении информации в электронном виде можно выделить три направления работ по защите информации: теоретические исследования, разработка средств защиты и обоснование способов использования средств защиты в автоматизированных системах.

В теоретическом плане основное внимание уделяется исследованию уязвимости информации в системах электронной обработки информации, явлению и анализу каналов утечки информации, обоснованию принципов защиты информации в больших автоматизированных системах и разработке методик оценки надежности защиты.

К настоящему времени разработано много различных средств, методов, мер и мероприятий, предназначенных для защиты информации, накапливаемой, хранимой и обрабатываемой в автоматизированных системах. Сюда входят аппаратные и программные средства, криптографическое закрытие информации, физические меры организованные мероприятия, законодательные меры. Иногда все эти средства защиты делятся на технические и нетехнические, причем, к техническим относят аппаратные и программные средства и криптографическое закрытие информации, а к нетехническим - остальные перечисленные выше.

а) аппаратные методы защиты.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

Специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности,

Генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства,

Устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации,

Специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты,

Схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

б) программные методы защиты.

К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

Идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей,

Определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей,

Контроль работы технических средств и пользователей,

Регистрация работы технических средств и пользователей при обработки информации ограниченного использования,

Уничтожения информации в ЗУ после использования,

Сигнализации при несанкционированных действиях,

Вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

в) резервное копирование.

Резервное копирование информации заключается в хранении копии программ на носителе. На этих носителях копии программ могут находится в нормальном (несжатом) или заархивированном виде. Резервное копирование проводится для сохранения программ от повреждений (как умышленных, так и случайных), и для хранения редко используемых файлов.

г) криптографическое шифрование информации.

Криптографическое закрытие (шифрование) информации заключается в таком преобразовании защищаемой информации, при котором по внешнему виду нельзя определить содержание закрытых данных. Криптографической защите специалисты уделяют особое внимание, считая ее наиболее надежной, а для информации, передаваемой по линии связи большой протяженности, - единственным средством защиты информации от хищений.

Основные направления работ по рассматриваемому аспекту защиты можно сформулировать таким образом:

Выбор рациональных систем шифрования для надежного закрытия информации,

Обоснование путей реализации систем шифрования в автоматизированных системах,

Разработка правил использования криптографических методов защиты в процессе функционирования автоматизированных систем,

Оценка эффективности криптографической защиты.

К шифрам, предназначенным для закрытия информации в ЭВМ и автоматизированных системах, предъявляется ряд требований, в том числе: достаточная стойкость (надежность закрытия), простота шифрования и расшифрования от способа внутримашинного представления информации, нечувствительность к небольшим ошибкам шифрования, возможность внутримашинной обработки зашифрованной информации, незначительная избыточность информации за счет шифрования и ряд других. В той или иной степени этим требованиям отвечают некоторые виды шифров замены, перестановки, гаммирования, а также шифры, основанные на аналитических преобразованиях шифруемых данных.

Особенно эффективными являются комбинированные шифры, когда текст последовательно шифруется двумя или большим числом систем шифрования (например, замена и гаммирование, перестановка и гаммирование). Считается, что при этом стойкость шифрования превышает суммарную стойкость в составных шифрах.

Каждую из систем шифрования можно реализовать в автоматизированной системе либо программным путем, либо с помощью специальной аппаратуры. Программная реализация по сравнению с аппаратной является более гибкой и обходится дешевле. Однако аппаратное шифрование в общем случае в несколько раз производительнее. Это обстоятельство при больших объемах закрываемой информации имеет решающее значение.

д) физические меры защиты.

Следующим классом в арсенале средств защиты информации являются физические меры. Это различные устройства и сооружения, а также мероприятия, которые затрудняют или делают невозможным проникновение потенциальных нарушителей в места, в которых можно иметь доступ к защищаемой информации. Чаще всего применяются такие меры:

Физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений,

Ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий,

Организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения,

Организация системы охранной сигнализации.

е) организационные мероприятия по защите информации.

Следующим классом мер защиты информации являются организационные мероприятия. Это такие нормативно-правовые акты, которые регламентируют процессы функционирования системы обработки данных, использование ее устройств и ресурсов, а также взаимоотношение пользователей и систем таким образом, что несанкционированный доступ к информации становится невозможным или существенно затрудняется. Организационные мероприятия играют большую роль в создании надежного механизма защиты информации. Причины, по которым организационные мероприятия играют повышенную роль в механизме защиты, заключается в том, что возможности несанкционированного использования информации в значительной мере обуславливаются нетехническими аспектами: злоумышленными действиями, нерадивостью или небрежностью пользователей или персонала систем обработки данных. Влияние этих аспектов практически невозможно избежать или локализовать с помощью выше рассмотренных аппаратных и программных средств, криптографического закрытия информации и физических мер защиты. Для этого необходима совокупность организационных, организационно-технических и организационно-правовых мероприятий, которая исключала бы возможность возникновения опасности утечки информации подобным образом.

Основными мероприятиями в такой совокупности являются следующие:

Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров (ВЦ),

Мероприятия, осуществляемые при подборе и подготовки персонала ВЦ (проверка принимаемых на работу, создание условий при которых персонал не хотел бы лишиться работы, ознакомление с мерами ответственности за нарушение правил защиты),

Организация надежного пропускного режима,

Организация хранения и использования документов и носителей: определение правил выдачи, ведение журналов выдачи и использования,

Контроль внесения изменений в математическое и программное обеспечение,

Организация подготовки и контроля работы пользователей,

Одно из важнейших организационных мероприятий - содержание в ВЦ специальной штатной службы защиты информации, численность и состав которой обеспечивали бы создание надежной системы защиты и регулярное ее функционирование.

Таким образом, рассмотренные выше средства, методы и мероприятия защиты, сводится к следующему:

1. Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.

2. Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.

3. Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.

4. Необходимо осуществлять постоянный контроль функционирования механизма защиты.

Информационная безопасность человека и общества: учебное пособие Петров Сергей Викторович

3.4. Основные направления и мероприятия по защите электронной информации

По определению Доктрины, основными объектами обеспечения информационной безопасности в общегосударственных информационных и телекоммуникационных системах являются:

информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию;

средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;

технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации.

К основным угрозам информационной безопасности в общегосударственных информационных и телекоммуникационных системах Доктрина относит:

деятельность специальных служб иностранных государств, преступных сообществ, противозаконную деятельность отдельных лиц (организаций и групп), направленную на получение несанкционированного доступа к информации и осуществление контроля над функционированием информационных телекоммуникационных систем;

вынужденное в силу объективного отставания отечественной промышленности использование при создании и развитии информационных и телекоммуникационных систем импортных программно-аппаратных средств;

нарушение установленного регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем, отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;

использование не сертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты информации и контроля их эффективности;

привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.

Используемые в этой сфере средства информационного воздействия могут быть направлены на решение следующих задач:

уничтожение, искажение или хищение информационных массивов;

добывание из них необходимой информации после преодоления систем защиты;

дезорганизацию работы технических средств;

вывод из строя телекоммуникационных систем и сетей, компьютерных систем, энергетических систем, систем государственного управления, то есть всего высокотехнологичного обеспечения жизни общества и функционирования государства.

Атакующие средства информационного воздействия

Идеи и материальные основы информационного оружия формировались одновременно с развитием информационной среды. Компьютеризация различных сфер общественной жизни, новейшие информационные технологии, превращение программирования в престижную и массовую специальность создали базовые предпосылки для возникновения новых типов информационного оружия и в то же время сделали объекты управления и связи, энергетики и транспорта, банковскую систему весьма уязвимыми по отношению к информационному воздействию.

1. Компьютерные вирусы– программные средства, способные размножаться, прикрепляться к программам, передаваться по линиям связии сетям передачи данных, проникать вэлектронные телефонные станции и системы управления и выводить их из строя.

Распространение компьютерного вируса основывается на его способности использовать любой носитель передаваемых данных в качестве «средства передвижения». В итоге любая дискета или иной магнитный накопитель, перенесенные на другие компьютеры, способны заразить их. И наоборот, когда «здоровый» носитель подключается к зараженному компьютеру, он может стать носителем вируса. Удобными для распространения обширных эпидемий оказываются телекоммуникационные сети. Достаточно одного контакта, чтобы персональный компьютер был заражен или заразил тот, с которым контактировал. Однако самый частый способ заражения – это копирование программ и данных, что является обычной практикой у пользователей персональных ЭВМ: копируемые объекты могут оказаться зараженными.

В печати часто проводится параллель между компьютерными вирусами и вирусом AIDS (СПИД). Только упорядоченная половая жизнь способна уберечь от этого вируса. Беспорядочные связи персонального компьютера со многими другими с большой вероятностью могут привести к заражению.

Поэтому специалисты предостерегают от копирования «ворованных» программ. Однако пожелание ограничить использование непроверенного программного обеспечения пока еще остается практически невыполнимым. Фирменные программы на «стерильных» носителях стоят немалых денег, поэтому избежать их неконтролируемого копирования и распространения почти невозможно.

По оценке специалистов, в настоящее время «в обращении» находятся сотни типов вирусов. По-видимому, в будущем будут появляться принципиально новые их виды. Пока речь идет только о заражении компьютеров, но в перспективе, как считают специалисты, будет возможным и заражение микросхем, информационная мощность которых стремительно развивается.

2. «Логические бомбы» – такое название получили программные закладные устройства, заранее внедряемые в информационно-управляющие центры военной и гражданской инфраструктуры, которые по сигналу или в установленное время приводятся в действие, уничтожая или искажая информацию и дезорганизуя работу программно-технических средств.

Одна из разновидностей такой бомбы – «троянский конь» – программа, позволяющая осуществлять скрытный несанкционированный доступ к информационным ресурсам противника для добывания разведывательной информации.

3. Средства подавления (или фальсификации) информационного обмена в телекоммуникационных сетях, передача по каналам государственного и военного управления, а также по каналам массовой информации нужной (с позиций противодействующей стороны) информации.

4. Средства внедрения компьютерных вирусов и «логических бомб» в государственные и корпоративные информационные сети и системы и управления ими на расстоянии.

Применение информационного оружия в информационных и телекоммуникационных системах носит скрытый и обезличенный характер, легко маскируется под меры защиты авторских и коммерческих прав на программные продукты и не связывается с объявлением войны или введением периода особых действий в локальных конфликтах. Наиболее уязвимыми для нападения являются те системы, которые должны сохранять непрерывную работоспособность в реальном масштабе времени.

Специалисты выделяют три основные формы воздействия на киберпространство:

информационный криминал;

информационный терроризм;

операции, проводимые в рамках масштабных информационных войн.

По данным зарубежной печати, мотивы совершаемых в настоящее время компьютерных преступлений распределяются следующим образом: корыстные побуждения – 66 %, шпионаж и диверсия – 17 %, исследовательский интерес – 7 %, хулиганство – 5 %, месть – 5 %. Рассмотрим криминальные и террористические варианты действий.

Информационный криминал

Этим термином обозначают действия отдельных лиц или группы лиц, направленные на взлом систем защиты и хищение или разрушение информации в корыстных или хулиганских целях. Они представляют собой, как правило, разовые преступления против конкретного объекта киберпространства. Такой вид преступлений получил также название «компьютерные преступления». Стремительное развитие компьютерных технологий и сетей, в том числе международных, как неотъемлемой части различных видов общественной деятельности создало широкий простор для совершения преступных действий подобного типа. В то же время преступления, связанные с использованием современного информационного оружия, выходят за рамки обычных преступлений и нередко ставят перед правоохранительными органами трудноразрешимые задачи.

Компьютерные преступления могут быть связаны с осуществлением следующих действий:

несанкционированным проникновением в информационно-вычислительные сети или массивы информации;

хищением прикладного и системного программного обеспечения;

несанкционированным копированием, изменением или уничтожением информации;

передачей компьютерной информации лицам, не имеющим к ней доступа;

подделкой, модификацией или фальсификацией компьютерной информации. К подделке информации можно отнести также подтасовку результатов выборов, голосований, референдумов, осуществляемых с помощью электронных технологий;

разработкой и распространением компьютерных вирусов;

несанкционированным просмотром или хищением информационных баз;

механическими, электрическими, электромагнитными и другими видами воздействия на информационно-вычислительные сети, вызывающими их повреждения.

Наиболее опасны в сфере компьютерной преступности хакеры – «одержимые программисты», «электронные корсары», «компьютерные пираты». Так называют людей, осуществляющих несанкционированный доступ в чужие информационные сети. Они, как правило, хорошо подготовлены технически и профессионально, отлично разбираются в вычислительной технике и программировании. Их деятельность направлена на несанкционированное проникновение в компьютерные системы и кражу, модификацию или уничтожение имеющихся там данных. Результаты зарубежных исследований показывают, что 62 % хакеров действуют в составе преступных групп.

Однако еще более высокий уровень подготовки имеют лица, занимающиеся компьютерным шпионажем. Их целью является получение из компьютерных сетей противника стратегически важных данных военного, технического и иного содержания.

По прогнозам отечественных и зарубежных специалистов, основной сферой компьютерных преступлений становится область финансовойи банковской деятельности. В настоящее время ущерб, наносимый только одним компьютерным преступлением, в среднем составляет 340 тыс. долларов США, тогда как средний ущерб от «традиционных» преступлений против банковских структур – ограблений – примерно 9 тыс. долларов. По оценкам специалистов

США, убытки от проникновения хакеров в автоматизированные комплексы, обслуживающие эти учреждения, оцениваются в десятки миллионов долларов. При этом число зарегистрированных компьютерных преступлений имеет тенденцию к ежегодному удвоению. С каждым годом расширяется и «география» компьютерных преступлений, распространяясь на все новые и новые страны.

С приходом в нашу страну глобальной сети Интернет участились случаи взлома информационной защиты зарубежных банков и хищений с помощью компьютеров крупных денежных средств. Широко известно дело Владимира Левина, хакера из Санкт-Петербурга, похитившего из американского Сити-банка около 4 млн долларов США. В Южном округе столицы 11 марта 1998 г. был задержан гражданин Шейко П. В., который, используя номера международных кредитных карт, полученных обманным путем, через Интернет за четыре месяца совершил хищение 18 тыс. долларов США. В этом же году во Внешэкономбанке было выведено из-под учета ЭВМ и подготовлено к хищению около 300 тыс. долларов (из них 125 тыс. долларов было похищено). С использованием способов несанкционированного доступа была осуществлена попытка хищения 68 млрд 309 млн рублей из Центрального банка РФ.

Как видно из перечисленных примеров (а это только малая часть всех подобных деяний), круг преступных интересов в кредитно-финансовой сфере весьма разнообразен. Кроме того, отмечается рост преступлений, связанных с денежными хищениями на транспорте при реализации железнодорожных и авиабилетов, продажей фальшивых зарубежных путевок и т. д.

По мере развития технологий «безбумажного» документооборота, в том числе электронных платежей, серьезный сбой локальных сетей может парализовать работу банков и целых корпораций, что приведет к ощутимым материальным потерям. Не случайно защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике.

Информационный терроризм

Процессы глобальной информатизации привели к тому, что современное общество постепенно приобретает практически полную зависимость от состояния информационной инфраструктуры, включающей в себя объединение различных систем связи, телекоммуникационных средств, баз данных и информационных систем, принадлежащих государству, негосударственному сектору экономики, организациям, гражданам.

В этих условиях информационный терроризм – терроризм с использованием информационного оружия -представляетсобой наиболее реальную угрозу как для отдельных развитых стран, так и для всего мирового сообщества.

В тактике информационного терроризма, как и любого другого, главное состоит в том, чтобы террористический акт имел опасные последствия и получил большой общественный резонанс. Как правило, действия информационных террористов сопровождаются угрозой повторения террористического акта без указания конкретного объекта.

В киберпространстве могут быть использованы различные приемы достижения террористических целей:

нанесение ущерба отдельным физическим элементам киберпространства, разрушение сетей электропитания, наведение помех, использование специальных программ, стимулирующих разрушение аппаратных средств, разрушение элементной базы с помощью биологических и химических средств и т. д.;

кража или уничтожение программного и технического ресурсов киберпространства, имеющих общественную значимость, внедрение вирусов, программных закладок и т. п.;

угроза опубликования или опубликование информации государственного значения о функционировании различных элементов информационной инфраструктуры государства, принципов работы систем шифрования, конфиденциальных сведений персонально-общественного характера и др.;

захват каналов средств массовой информации с целью распространения дезинформации, слухов, демонстрации мощи террористической организации и объявления своих требований;

уничтожение или подавление каналов связи, искажение адресации, искусственная перегрузка узлов коммутации и др.;

воздействие на операторов информационных и телекоммуникационных систем путем насилия, шантажа, подкупа, введения наркотических средств, использования нейролингвистического программирования, гипноза и других методов информационного воздействия.

Сегодня даже администрация США вынуждена признать, что информационное пространство Америки слабо защищено от несанкционированного проникновения в его пределы. Так, даже ситуационная комната Белого дома может подвергнуться информационному воздействию через сеть Интернет.

Защитные действия

Основными направлениями обеспечения информационной безопасности в общегосударственных информационных и телекоммуникационных системах, согласно Доктрине, являются:

предотвращение перехвата информации из помещений и с объектов, а также информации, передаваемой по каналам связи с помощью технических средств;

исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;

предотвращение утечки информации по техническим каналам, возникающей при эксплуатации технических средств ее обработки, хранения и передачи;

предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;

обеспечение информационной безопасности при подключении общегосударственных информационных и телекоммуникационных систем к внешним, в том числе международным, информационным сетям;

обеспечение безопасности конфиденциальной информации при взаимодействии информационных и телекоммуникационных систем различных классов защищенности;

выявление внедренных на объекты и в технические средства электронных устройств перехвата информации.

Основными организационно-техническими мероприятиями по защи те информации в общегосударственных информационных и телекоммуникационных системах считаются:

лицензирование деятельности организаций в области защиты информации;

аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;

сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;

введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

создание и применение информационных и автоматизированных систем управления в защищенном исполнении.

В настоящее время в области борьбы с компьютерной преступностью имеется немало нерешенных проблем.

Во-первых, в нашей стране недостаточно развито специальное законодательство, затрагивающее различные аспекты компьютерной преступности, опасность подобных преступлений все еще слабо осознается законодателями, тогда как этот вид преступлений быстро прогрессирует.

Во-вторых, ввиду особой сложности компьютерных систем создание для них безошибочных программ практически невозможно.

В-третьих, распространена практика приобретения информации, в том числе нелицензированного программного обеспечения, путем несанкционированного копирования. Программное обеспечение распространяется практически повсеместно путем краж и обмена краденым.

В-четвертых, неудовлетворительно финансовое положение научно-технической интеллигенции, связанной с созданием информационных систем, что создает предпосылки для «утечки мозгов» и осуществления разного рода «информационных диверсий».

В-пятых, обеспечение информационной безопасности – дорогостоящее дело, и не столько из-за затрат на установку необходимых для этого средств, сколько из-за того, что весьма сложно определять границы разумной безопасности и поддерживать системы в работоспособном состоянии.

Используемые в настоящее время меры предупреждения компьютерных преступлений можно объединить в три группы:

технические;

организационные;

правовые.

Технические меры защиты от несанкционированного доступа к компьютерным системам предполагают:

использование средств физической защиты, включая средства защиты кабельной системы, системы электропитания, средства архивации и копирования информации на внешние носители и т. д.

организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев;

разработку программных средств защиты, в том числе антивирусных программ, систем разграничения полномочий, программных средств контроля доступа;

принятие конструктивных мер защиты от хищений и диверсий;

установку резервных систем электропитания; оснащение помещений замками, установку сигнализации и многое другое.

К организационным мерам можно отнести: организацию охраны вычислительного центра; тщательный подбор персонала;

исключение случаев ведения особо важных работ только одним человеком;

шифрование данных для обеспечения конфиденциальности информации;

меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т. д.

организацию надежной и эффективной системы архивации и дублирования наиболее ценных данных;

защиту информации от несанкционированного доступа, включая использование различных устройств для идентификации личности по биометрической информации – радужной оболочке глаза, отпечаткам пальцев, голосу, размерам кисти руки и т. д.;

возложение персональной ответственности на конкретных лиц, призванных обеспечить безопасность центра, введение в штат специалистов в области безопасности информации;

универсальность средств защиты от всех пользователей (включая высшее руководство);

наличие плана восстановления работоспособности центра после выхода его из строя и т. п.

К правовым мерам относятся:

ужесточение норм, устанавливающих ответственность за компьютерные преступления;

совершенствование уголовного и гражданского законодательства в этой сфере.

К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об ограничениях в их деятельности.

К числу основных мер противодействия информационному терроризму можно отнести:

создание единой стратегии борьбы с информационным терроризмом, в соответствии с которой функции силовых ведомств четко распределены и координируются государством;

создание общего центра для мониторинга угроз информационного терроризма и разработки мер быстрого реагирования;

организацию качественной защиты материально-технических объектов, составляющих физическую основу информационной инфраструктуры;

развитие технологий обнаружения воздействий на информацию и ее защиты от несанкционированного доступа, искажения или уничтожения;

непрерывную подготовку персонала информационных систем к эффективному противостоянию различным вариантам действий террористов;

развитие межгосударственного сотрудничества в борьбе с информационным терроризмом.

Россия вступила на путь формирования информационного общества и вхождения в мировое информационное пространство. Мы должны осознавать неизбежность появления на этом пути новых угроз, требующих создания адекватных программ и проектов для защиты национальных информационных ресурсов.

Следует осознавать, что любые мероприятия по борьбе с информационным терроризмом могут существенно ограничивать свободу всех видов информационной деятельности в обществе и государстве, права граждан и организаций на свободное производство, получение, распространение и использование информации. Поэтому государственная стратегия борьбы с информационным терроризмом должна строиться на основе поиска приемлемого для общества компромисса – быть защищенным, но открытым, не допускающим монополизма отдельных ведомств.

Несомненно, что в начале нового столетия, когда масштабы применения все более совершенных компьютерных технологий стремительно расширяются, задача защиты компьютерных систем от преступных посягательств не только переходит в ранг задач государственной политики, но и является делом каждого.

Из книги Информационная безопасность человека и общества: учебное пособие автора Петров Сергей Викторович

Глава 3 ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской

Из книги Правила устройства электроустановок в вопросах и ответах [Пособие для изучения и подготовки к проверке знаний] автора

Размещение оборудования, защитные мероприятия Вопрос. Как может устанавливаться оборудование преобразовательного агрегата?Ответ. Трансформатор, регулировочный автотрансформатор, уравнительные реакторы, анодные делители и фильтровые реакторы, относящиеся к одному

Из книги Шелест гранаты автора Прищепенко Александр Борисович

Обеспечение безопасности, защитные мероприятия Вопрос. Каковы требования Правил к обеспечению безопасности электроприводов?Ответ. Электроприводы должны удовлетворять общим требованиям к электро– и пожаробезопасности, изложенным в главах 4.3, 5.3 Правил (5.4.60).Шкафы

Из книги Линейный корабль автора Перля Зигмунд Наумович

4.5. Победа на предварительной защите и опасные экзерсисы «стального» декана Диссертация была представлена в ученый совет для предварительной защиты в январе 1980 года. Это был редкий для НИИВТ случай когда аспирант представил работу сразу по окончании отведенного срока и

Из книги История мусора. автора Сильги Катрин де

Глава десятая НА ЗАЩИТЕ РОДИНЫ бщая оценка действиям Военно-Морского Флота за время Великой Отечественной войны дана в приказе от 22 июля 1945 г. Генералиссимусом Советского Союза товарищем Сталиным:«В период обороны и наступления Красной Армии наш флот надежно

Из книги Воздушный бой (зарождение и развитие) автора Бабич В. К.

ПОИСК ПУТЕЙ ИСПОЛЬЗОВАНИЯ МНОГОЛИКОЙ ЭЛЕКТРИЧЕСКОЙ И ЭЛЕКТРОННОЙ ТЕХНИКИ Ныне муниципальные власти, ранее сталкивавшиеся только с привычными бытовыми отходами, вынуждены учитывать последствия переменившихся обстоятельств. К последним относится обработка

Из книги Боевые корабли автора Перля Зигмунд Наумович

2. На защите Астрахани Решая задачи прикрытия войск и. обеспечения разведчиков и бомбардировщиков в 1918–1919 годах, истребители получили первый опыт организации противовоздушной обороны крупных административных и промышленных центров: Петрограда, Царицына, Баку, Казани,

Из книги 102 способа хищения электроэнергии автора Красник Валентин Викторович

Из книги Теплоэнергетические установки. Сборник нормативных документов автора Коллектив авторов

3.4. Энергосбытовые мероприятия по работе с расхитителями электроэнергии Реализация того или иного закона возможна, как правило, только с помощью конкретных действующих нормативно–правовых актов. У энергоснабжающих организаций такой пакет ведомственных

Из книги Художественная обработка металла. Охрана труда автора Мельников Илья

6.2. Организационные мероприятия 6.2.1. Административно–уголовная ответственностьВ разделах 3.1 и 3.2 приведено достаточное количество статей КоАП РФ и УК РФ (и разъяснений к ним), по которым имеется возможность привлекать расхитителей электроэнергии к той или иной мере

Из книги Информационная безопасность. Курс лекций автора Артемов А. В.

6.3. Технические мероприятия 6.3.1. Совершенствование конструкции индукционных и электронных счетчиковВ связи со значительным количеством индукционных счетчиков, применяемых в качестве расчетных приборов учета, возникает необходимость в совершенствовании их

Из книги автора

2. ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ, ОБЕСПЕЧИВАЮЩИЕ БЕЗОПАСНОСТЬ РАБОТ 2.1. Наряд, распоряжение2.1.1. Работы на оборудовании производятся по письменным нарядам и устным распоряжениям*.Форма наряда дана в прил. 1 к настоящим Правилам. Наряд может быть оформлен на проведение

Из книги автора

Из книги автора

Лекция 2 Основные направления обеспечения безопасности информационных ресурсов Учебные вопросы:1. Информационные ресурсы и конфиденциальность информации.2. Угрозы конфиденциальной информации организации.3. Система защиты конфиденциальной

Из книги автора

Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории

Из книги автора

Лекция 11 Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений Учебные вопросы:1. Состояние вопросов обеспечения информационной безопасности.2. Угрозы и уязвимости КСУЗ.3. Этапы построения БКСУЗ.4. Направление

Методы защиты информации от аварийных ситуаций

Защита информации от аварийных ситуаций заключается в создании средств предупреждения, контроля и организационных мер по исключению НСД на комплексе средств автоматизации в условиях отказов его функционирования, отказов системы защиты информации, систем жизнеобеспечения людей на объекте размещения и при возникновении стихийных бедствий.

Практика показывает, что хотя аварийная ситуация - событие редкое (вероятность ее появления зависит от многих причин, в том числе не зависящих от человека, и эти причины могут быть взаимосвязаны), защита от нее необходима, так как последствия в результате ее воздействия, как правило, могут оказаться весьма тяжелыми, а потери - безвозвратными. Затраты на защиту от аварийных ситуаций могут быть относительно малы, а эффект в случае аварии - большим.

Отказ функционирования АСОИ может повлечь за собой отказ системы защиты информации, может открыться доступ к ее носителям, что может привести к преднамеренному разрушению, хищению или подмене носителя. Несанкционированный доступ к внутреннему монтажу аппаратуры может привести к подключению посторонней аппаратуры, разрушению или изменению принципиальной электрической схемы.

Отказ системы жизнеобеспечения может привести к выводу из строя обслуживающего и контролирующего персонала. Стихийные бедствия: пожар, наводнение, землетрясение, удары молнии и т. д. - могут также привести к указанным выше последствиям. Аварийная ситуация может быть создана преднамеренно. Тогда применяются организационные мероприятия.

На случай отказа функционирования АСОИ подсистема контроля вскрытия аппаратуры снабжается автономным источником питания. Для исключения безвозвратной потери информации носители информации дублируются и хранятся в отдельном удаленном и безопасном месте. Для защиты от утечки информация должна храниться в закрытом криптографическим способом виде. В целях своевременного принятия мер по защите системы жизнеобеспечения устанавливаются соответствующие датчики, сигналы с которых поступают на централизованные системы, контроля и сигнализации.

Пожар – типичная угроза. Может возникнуть по вине обслуживающего персонала, при отказе аппаратуры, а также в результате стихийного бедствия.

Организационные мероприятия по защите информации в АСОИ заключаются в разработке и реализации административных и организационно-технических мер при подготовке и эксплуатации системы.

Организационные меры, по мнению зарубежных специалистов, несмотря на постоянное совершенствование технических мер, составляют значительную часть системы защиты. Они используются тогда, когда вычислительная система не может непосредственно контролировать использование информации. Кроме того, в некоторых ответственных случаях в целях повышения эффективности защиты полезно технические меры продублировать организационными.

Организационные меры по защите систем в процессе их подготовки и функционирования охватывают решения и процедуры, принимаемые руководством потребителя системы. Хотя некоторые из них могут определяться внешними факторами, например законами или правительственными постановлениями, большинство проблем решается внутри организации в контрольных условиях.

В большинстве исследований, посвященных проблемам защиты информации, и в существующих зарубежных публикациях основное внимание уделялось либо правовому аспекту и связанным с ним социальным и законодательным проблемам, либо техническим приемам решения специфических проблем защиты. По сравнению с ними организационным вопросам недоставало той четкой постановки, которая присуща техническим проблемам, и той эмоциональной окраски, которая свойственна правовым вопросам.

Составной частью любого плана мероприятий должно быть четкое указание целей, распределение ответственности и перечень организационных мер защиты. Распределение ответственности и функций по реализации защиты от организации к организации может изменяться, но тщательное планирование и точное распределение ответственности являются необходимыми условиями создания эффективной жизнеспособной системы защиты.

Организационные меры по защите информации в АСОИ должны охватывать этапы проектирования, разработки, изготовления, испытаний, подготовки к эксплуатации и эксплуатации системы.

В соответствии с требованиями технического задания в организации проектировщике наряду с техническими средствами разрабатываются и внедряются организационные мероприятия по защите информации на этапе создания системы. Под этапом создания понимаются проектирование, разработка, изготовление и испытание системы. При этом следует отличать мероприятия по защите информации, проводимые организацией-проектировщиком, разработчиком и изготовителем в процессе создания системы и рассчитанные на защиту от утечки информации в данной организации, и мероприятия, закладываемые в проект и разрабатываемую документацию на систему, которые касаются принципов организации защиты в самой системе и из которых вытекают организационные мероприятия, рекомендуемые в эксплуатационной документации организацией-разработчиком, на период ввода и эксплуатации системы. Выполнение этих рекомендации есть определенная гарантия защиты информации в АСОИ.

К организационным мероприятиям по защите информации, в процессе создания системы относятся:

Организация разработки, внедрения и использования средств;

Управление доступом персонала на территорию, в здания, и помещения;

Введение на необходимых участках проведения работ с режимом секретности;

Разработка должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкциями и положениями;

При необходимости выделение отдельных помещений с охранной сигнализацией и пропускной системой;

Разграничение задач по исполнителям и выпуску документации;

Присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учетом и контролем доступа исполнителей;

Постоянный контроль за соблюдением исполнителями режима и соответствующих инструкций;

Установление и распределение ответственных лиц за утечку информации.

Организационные мероприятия, закладываемые в инструкцию по эксплуатации на систему и рекомендуемые организации-потребителю, должны быть предусмотрены на периоды подготовки и эксплуатации системы.

Указанные мероприятия как метод защиты информации предполагают систему организационных мер, дополняющих и объединяющих перечисленные выше технические меры в единую систему безопасности информации