Безопасность материальных объектов и ресурсов

Основными составляющими обеспечения безопасности различных ресурсов коммерческого предприятия являются [29]:

• система физической защиты (безопасности) материальных объектов и финансовых ресурсов
• система безопасности информационных ресурсов.

На практике все мероприятия по использованию технических средств подразделяются на три группы:

• организационные
• организационно-технические
• технические.

Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:

• систему инженерно-технических и организационных мер охраны
• систему регулирования доступа
• систему мер (режим) по сохранности и контролю ценностей
• систему мер возврата материальных ценностей.

Система охранных мер должна предусматривать:

• многорубежность построения охраны (территории, здания, помещения) по нарастающей к наиболее ценному оберегаемому объекту
• комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий
• надежное инженерно-техническое перекрытие вероятных путей несанкционированного вторжения в охраняемые пределы
• устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур
• высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию преступным действиям
• самоохрану персонала.

Система регулирования доступа должна предусматривать:

• объективное определение «надежности» лиц, допускаемых к работе на объектах предприятия
• максимальное ограничение количества лиц, допускаемых на объекты предприятия
• установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект
• четкое определение порядка выдачи разрешений и оформления документов для входа (въезда) на объект
• определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте
• оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц
• высокую подготовленность и защищенность персонала (нарядов) контрольно-пропускных пунктов.

Система мер (режим) по сохранности и контролю ценностей должна предусматривать:

• строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения финансов)
• максимальное ограничение посещений режимных зон лицами, не участвующими в работе
• максимальное сокращение количества лиц, обладающих досмотровым иммунитетом
• организацию и осуществление присутственного (явочного) и дистанционного (по техническим каналам) скрытого контроля за соблюдением режима безопасности
• организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон
• обеспечение защищенного хранения документов, финансовых средств и ценных бумаг
• соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей
• организацию тщательного контроля на каналах возможной утечки информации
• оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.

Система мер возврата утраченных материальных и финансовых ресурсов слагается из совместных усилий объектовых служб безопасности и государственных органов охраны правопорядка и безопасности.

На объектовую службу безопасности возлагаются:

• обнаружение противоправного изъятия материальных и финансовых средств из обращения или хранения
• оперативное информирование правоохранительных органов о событиях и критических ситуациях
• установление субъекта преступления
• проведение поиска возможного «схоронения» утраченных средств в районе объекта.

Дальнейший поиск и возврат пропавших ресурсов организуются в установленном порядке через соответствующие органы правопорядка и безопасности.

Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при:

• работе исполнителей с конфиденциальными документами и сведениями
• обработке информации в автоматизированных системах различного уровня и назначения
• передаче по каналам связи, а также при ведении конфиденциальных переговоров.

Инженерно-техническая безопасность информационных ресурсов реализуется путем использования различных технических средств и систем, обеспечивающих безопасность предприятия, в том числе:

• аппаратных средств обеспечения безопасности
• программных средств защиты информации в технических средствах обработки
• математическими способами защиты информации от различных угроз и несанкционированных действий.

Основными направлениями обеспечения информационной безопасности предприятия являются:

• защита информационных ресурсов от разглашения, хищения, уничтожения, искажения и подделки за счет несанкционированного доступа и специальных воздействий
• защита информации от утечки вследствие наличия физических полей за счет ПЭМИН (побочные электромагнитные излучения и наводки) на электрические цепи, трубопроводы и конструкции зданий.

Система обеспечения информационной безопасности должна предусматривать:

• реализацию разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера
• ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатизации, на которых обрабатывается (хранится) информация конфиденциального характера
• разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения
• учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей
• криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи
• снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем
• снижение уровня акустических излучений
• электрическую развязку цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории
• активное зашумление в различных диапазонах
• противодействие оптическим и лазерным средствам наблюдения
• проверку технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств («жучков»)
• предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.

Защита информационных ресурсов от несанкционированного доступа должна предусматривать:

• обоснованность доступа, т.е. исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности
• персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), а также за свои действия в информационных системах
• надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение
• разграничение информации по уровню конфиденциальности, заключающееся в предупреждении размещения сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи
• контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи
• чистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями
• целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающуюся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.

Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается:

• кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы), для каких действий или для какого вида доступа может предоставить и при каких условиях
• состав всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Персональная ответственность достигается путем:

• росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах
• индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах
• проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности при доступе как в автоматизированные системы, так и в выделенные помещения (зоны).

Условие надежности хранения реализуется с помощью:

• хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке
• выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения
• использования криптографического преобразования информации в автоматизированных системах.

Правило разграничения информации по уровню конфиденциальности реализуется с помощью:

• предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности криптографического преобразования информации в автоматизированных системах.

Система контроля за действиями исполнителей реализуется посредством:

• организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями
• регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа
• сигнализации о несанкционированных действиях пользователей.

Очистка памяти осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и организационных мероприятий.

Защита информации от утечки за счет ПЭМИН обеспечивается путем уменьшения отношения информативного сигнала к помехе до уровня, при котором восстановление сообщений становится принципиально невозможным (данный уровень определяется «Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН»). Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.

Первый способ реализуется выбором системно-технических и конструкторских решений при создании технических средств электронно-вычислительных средств в «защищенном исполнении», а также рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.

Второй способ реализуется в основном за счет применения активных средств защиты в виде «генераторов шума» и специальной системы антенн.

Защита информации в линиях связи. К основным видам линий связи, используемых для передачи информации, относятся проводные (телефонные, телеграфные), радио- и радиорелейные, тропосферные и космические линии связи.
При необходимости передачи по ним конфиденциальной информации основным способом защиты ее от перехвата, искажения информации и дезинформации является использование криптографического преобразования информации, а на небольших расстояниях, кроме того, - использование защищенных волоконно-оптических линий связи.

Безопасное использование технических средств информатизации. Одним из методов технической разведки и промышленного шпионажа является внедрение в конструкцию различных технических средств закладных устройств перехвата, трансляции информации или вывода технических средств из строя.
В целях противодействия такому методу воздействия на объекты технических средств информатизации, предназначенных для обработки конфиденциальной информации, в обязательном порядке проводится проверка этих средств, осуществляемая специализированными организациями с помощью специального оборудования, как правило, в стационарных условиях в соответствии с установленными требованиями.

Защита речевой информации при проведении конфиденциальных переговоров. Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения закладных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами.

Необходимой составляющей системы информационной безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно-технических и методических документов по безопасности.

Данные документы утверждаются федеральными органами государственного управления в соответствии с их компетенцией и определяют нормы защищенности информации и требования к различным направлениям защиты информации.

В соответствии с этими требованиями должны проводиться:

• предпроектное обследование и проектирование информационных систем
• заказ средств защиты информации и контроля, предполагаемых к использованию в этих системах
• аттестация объектов информатики
• контроль защищенности информационных ресурсов.

К основным стандартам и нормативно-техническим документам в области защиты информации от несанкционированного доступа относятся [29]:

• комплект руководящих документов Гостехкомиссии России (1992 г.), в том числе «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации»
• «Положение по организации разработки, изготовления и эксплуатации программ и технических средств защиты информации от несанкционированного доступа в автоматизированные системы и электронную вычислительную технику».

В соответствии с данными требованиями право оказывать услуги сторонним организациям в области защиты информации предоставлено только организациям, имеющим на этот вид деятельности разрешение (лицензию).

Подлежат обязательной сертификации по требованиям безопасности информации:

• средства и системы вычислительной техники и связи, предназначенные для обработки (передачи) секретной информации
• средства защиты и контроля эффективности защиты такой информации.

Обязательной аттестации по требованиям безопасности информации подлежат объекты информатики, предназначенные для:

• обработки секретной и иной конфиденциальной информации
• ведения секретных переговоров.

При разработке системы комплексной защиты информации объекта необходимо максимально использовать имеющиеся сертифицированные по требованиям безопасности информации средства вычислительной техники и связи, средства защиты и контроля защищенности. Разрабатываются или заказываются оригинальные технические или программные средства защиты только в тех случаях, когда имеющимися средствами нельзя достигнуть необходимых результатов. Исходя из этого при разработке автоматизированных систем различного уровня и назначения серьезное внимание следует уделить выбору технических средств и общесистемного математического обеспечения.