2_3.htm 2.2. Концепция защиты информации 2.2.1. Организационно-технические меры и мероприятия
2.2.2. Защита акустического канала
2.2.3. Защита от побочных электромагнитных излучений и наводок
2.2.4. Защита телефона
2.2.5. Методы и средства защиты информации в каналах связи
2.2.6. Стеганография
В предыдущем разделе мы рассмотрели возможные каналы утечки информации и их происхождение. Поэтому пришло время ответить на вопрос «Как защищать информацию?». Как уже было сказано, в настоящее время существуют миниатюрные, сделанные по последнему слову науки и техники, устройства съема информации. Любой датчик, преобразующий акустические колебания в электрические, который обычно используется в вашей стереосистеме, радиоприемнике или телевизоре можно превратить в подслушивающее устройство. Последнее, вмонтированное в ваш телефонный аппарат, может записывать разговоры, ведущиеся в комнате, даже при положенной телефонной трубке. Обнаружение таких средств требует много времени и больших материальных затрат. Не доверяйте фирмам, которые уверяют, что они могут сделать это всего за несколько часов. Забудьте о новейших технических приспособлениях, которые, якобы, могут сказать вам, что вы прослушиваетесь. Такие приспособления могут обнаружить только явно незамаскированные подслушивающие средства. Имейте в виду, если вас подслушивают компетентные органы, что эти организации обладают самыми новейшими средствами подслушивания, которые очень трудно обнаружить и шанс скрыть от них информацию стремится к нулю. Важно подчеркнуть, что на каждый метод получения информации существует метод противодействия, часто не один, который может свести угрозу к минимуму. При этом успех зависит от двух факторов — от вашей компетентности в вопросах защиты информации (либо от компетентности тех лиц, которым это дело поручено) и от наличия оборудования, необходимого для защитных мероприятий. Первый фактор важнее второго, так как самая совершенная аппаратура останется мертвым грузом в руках дилетанта. В каких случаях целесообразно проводить меры защиты от технического проникновения? Прежде всего, такую работу необходимо осуществлять превентивно, не ожидая, пока «грянет гром». Роль побудительного мотива могут сыграть сведения об утечке информации, обсуждавшейся в конкретном помещении узкой группой лиц, или обрабатывавшейся на конкретных технических средствах. Толчком к действию могут стать следы, свидетельствующие о проникновении в помещения вашей фирмы посторонних лиц, либо какие-то странные явления, связанные с используемой техникой (например, подозрительный шум в телефоне). С вопросом «Как защитить информацию?» неотъемлемо связано понятие — система защиты, то есть комплекс мер и средств, а также деятельность на их основе, направленная на выявление, отражение и ликвидацию различных видов угроз безопасности объекта защиты. Принято различать следующие основные виды средств защиты: • Нормативно-правовые • Морально-этические • Организационные • Технические. Нормативно-правовые — включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные отношения в обществе. Эти вопросы будут подробно изложены в главе 3. Морально-этические — правила и нормы поведения, направленные на обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения. В данной книге мы не будем касаться этих вопросов. Самое главное, что надо сделать для поддержания соответствующего настроя — это постараться выполнить два условия: • Создать здоровый и дружный коллектив • Дать своим сотрудникам хотя бы минимум знаний о мерах информационной безопасности. Например, приходилось наблюдать ситуации, когда руководство фирмы просит проверить помещение на наличие подслушивающих устройств, а в это время один из ее вице-президентов в курилке, общей для нескольких организаций, буквально взахлеб хвастается выгодной сделкой, описывая весьма «интересные» детали. Организационные — правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих, казалось бы тривиальных правил, установка любых, даже самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не решены на должном уровне организационные вопросы. И это справедливо для любых каналов утечки. Конечно, введение разного рода ограничений — работа не из самых приятных, но это может дать весьма ощутимый эффект и значительно сэкономить средства. Особенно, если проведенный анализ (что защищать и от кого защищать) показал полное отсутствие угрозы от серьезной организации, способной использовать сложные технические средства или нанять «крутую» фирму. Технические средства — комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся у вас информации путем исключения несанкционированного доступа к ней с помощью технических средств съема. Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудностью в ее создании является то, что она одновременно должна удовлетворять двум группам прямо противоположных требований: • Обеспечивать надежную защиту информации • Не создавать заметных неудобств сотрудникам и особенно клиентам. Обычно совместить эти требования удается только достаточно квалифицированному профессионалу. Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглашения информации, циркулирующей в определенном носителе. Собственно, последовательно выполнив описанные выше мероприятия, вы практически и получите несколько упрощенный, но вполне работоспособный, вариант концепции информационной безопасности своего учреждения. Сравните проделанную работу с суммой, запрашиваемой различными прохиндеями, и вам станет понятно, что «информационный ликбез» для бизнесмена просто необходим. Но отказываться от услуг настоящих профессионалов не следует, так как даже прочитав эту книгу, нельзя получить тот объем знаний и навыков, которыми владеют специалисты.