2_3_1.htm 2.2.1. Организационно-технические меры и мероприятия Меры обеспечения сохранности и защиты информации на каждом предприятии или фирме различаются по своим масштабам и формам. Они зависят от производственных, финансовых и других возможностей фирмы, от количества охраняемых на нем секретов и их значимости. При этом выбор таких мер необходимо осуществлять по принципу экономической целесообразности, придерживаясь в финансовых расчетах «золотой середины», поскольку чрезмерное закрытие информации, так же как и халатное отношение к ее сохранению, могут вызвать потерю определенной доли прибыли или привести к непоправимым убыткам. Отсутствие у руководителей предприятий четкого представления об условиях, способствующих утечке конфиденциальной информации, приводят к ее несанкционированному распространению. Наличие большого количества уязвимых мест на любом современном предприятии или фирме, широкий спектр угроз и довольно высокая техническая оснащенность злоумышленников требует обоснованного выбора специальных решений по защите информации. Основой таких решений можно считать: • Применение научных принципов в обеспечении информационной безопасности, включающих в себя: законность, экономическую целесообразность и прибыльность, самостоятельность и от- ветственность, научную организацию труда, тесную связь теории с практикой, специализацию и профессионализм, программно-целевое планирование, взаимодействие и координацию, доступность в сочетании с необходимой конфиденциальностью • Принятие правовых обязательств со стороны сотрудников предприятия в отношении сохранности доверенных им сведений (информации) • Создание таких административных условий, при которых исключается возможность кражи, хищения или искажения информации • Правомерное привлечение к уголовной, административной и другим видам ответственности, которые гарантируют полное возмещение ущерба от потери информации • Проведение действенного контроля и проверки эффективности планирования и реализации правовых форм, методов защиты информации в соответствии с выбранной концепцией безопасности • Организация договорных связей с государственными органами регулирования в области защиты информации. Осуществляя комплекс защитных мер, не нужно стремиться обеспечить защиту всего предприятия. Главное — ограничить доступ в те места и к той технике, где сосредоточена конфиденциальная информация (не забывая, конечно, о возможностях и методах дистанционного ее получения). В частности, использование качественных замков, средств сигнализации, хорошая звукоизоляция стен, дверей, потолков и пола, звуковая защита вентиляционных каналов, отверстий и труб, проходящих через эти помещения, демонтаж излишней проводки, а также применение специальных устройств (генераторов шума, аппаратуры ЗАС и др.) серьезно затруднят или сделают бессмысленными попытки внедрения спецтехники. Для надежной защиты конфиденциальной информации целесообразно применять следующие организационные мероприятия: • Определение уровней (категорий) конфиденциальности защищаемой информации • Выбор принципов (локальный, объектовый или смешанный) методов и средств защиты • Установление порядка обработки защищаемой информации • Учет пространственных факторов: введение контролируемых (охраняемых) зон правильный выбор помещений и расположение объектов между собой и относительно границ контролируемой зоны • Учет временных факторов: ограничение времени обработки защищаемой информации доведение времени обработки информации с высоким уровнем конфиденциальности до узкого круга лиц
Рис. 2.16. Технические методы защиты информации • Учет физических и технических факторов: определение возможности визуального (или с помощью технических средств) наблюдения отображаемой информации посторонними лицами отключение контрольно-измерительной аппаратуры от информационного объекта и ее обесточивание максимальное разнесение информационных кабелей между собой и относительно проводящих конструкций, их пересечение под прямым углом. Для блокирования возможных каналов утечки информации через технические средства обеспечения производственной и трудовой деятельности с помощью специальных технических средств и создания системы защиты объекта по ним необходимо осуществить ряд мероприятий: • Проанализировать специфические особенности расположения зданий, помещений в зданиях, территорию вокруг них и подведенные коммуникации • Выделить те помещения, внутри которых циркулирует конфиденциальная информация и учесть используемые в них технические средства • Осуществить такие технические мероприятия: проверить используемую технику на соответствие величины побочных излучений допустимым уровням экранировать помещения с техникой или эту технику в помещениях перемонтировать отдельные цепи, линии, кабели использовать специальные устройства и средства пассивной и активной защиты. Именно поэтому для разработки и реализации мероприятий по защите информации от утечки по техническим каналам надо приглашать квалифицированных специалистов, либо готовить собственные кадры по соответствующим программам в соответствующих учебных центрах. Технические методы защиты информации подразделяются на аппаратные, программные и аппаратно-программные (рис. 2.16). Проверка помещений, выделенных для работы с конфиденциальной информацией, занятие дорогостоящее, занимающее много времени. Многие компании, занимающиеся поиском и удалением подслушивающих устройств не могут определить однозначно реальную стоимость этих работ. В обычной комнате так много мест, где могут быть установлены подслушивающие устройства и существует так много различных типов таких устройств, что настоящий поиск займет значительный период времени и будет очень дорого стоить. При действительно тщательном поиске мебель должна просвечиваться рентгеном, а стены проверяться сантиметр за сантиметром. Используя нелинейный детектор соединений, который подает сигнал при обнаружении в стене электронных компонентов микрофона, компетентный специалист может обнаружить большинство микрофонов. Каждый провод в комнате должен быть проверен техником при помощи комплекта ремонтного инструмента для того, чтобы проверить несет ли он голосовой сигнал или нет. Вы никогда не сможете быть абсолютно уверены, что утечки информации не будет, хотя комната и будет «чистой» сразу после проверки. Осознавая, что большинство клиентов не будут платить такие деньги, которые требуются для тщательного осмотра, недобросовестные фирмы проводят часто только поверхностный осмотр, а затем сообщают, что все нормально. А если подслушивающее устройство будет обнаружено при последующей проверке, они сошлются на то, что оно было установлено позже. Поэтому, чтобы быть уверенным в своей безопасности, необходимо найти серьезную фирму с хорошей репутацией и платить ей столько, сколько действительно стоит такая работа. Если стоимость таких работ слишком высока для вас, пусть они проверят только основные офисные помещения и телефонные линии. Не занимайтесь технологическим фетишизмом. Несмотря на то, что техника всегда очень важна, старайтесь сильно от нее не зависеть. В конце концов, безопасность — это продукт тяжелой работы, хорошего планирования и здравомыслия. Мы остановимся более подробно на методах обеспечения безопасности информации в следующих направлениях: • Предотвращение перехвата через нежелательные электромаг нитные и акустические поля и излучения • Защита от несанкционированного доступа к информации • Обеспечение высокой структурной скрытности сообщений на основе криптографических методов.