Организационные и технические меры инженерно-технической защиты информации в организации

Министерство  образования и науки Российской Федерации

Федеральное агентство по образованию 

Государственное образовательное учреждение высшего  профессионального образования

«Санкт-Петербургский  государственный университет информационных технологий,

механики и оптики» 
 
 
 
 
 

Институт  комплексного военного образования

Кафедра мониторинга и прогнозирования  информационных угроз 
 
 
 
 
 

РЕФЕРАТ

ПО ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЕ ИНФОРМАЦИИ

Организационные и технические  меры инженерно-технической  защиты информации в организации 
 
 
 

      Студент: Пархоменко Дмитрий

      Группа:  3750 

Преподаватель:  Королева Ольга Юрьевна 
 
 
 
 
 
 
 
 
 
 
 

Санкт-Петербург

2011

     Оглавление 

ВВЕДЕНИЕ…………………………………………………………………….3

1. ОРГАНИЗАЦИЯ ОФИСНОЙ ДЕЯТЕЛЬНОСТИ……………………….5

2. ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ………………………………………..7

3.ОРГАНИЗАЦИЯ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ………………………………………………………………14

ЗАКЛЮЧЕНИЕ……………………………………………………………….23

Список  использованной литературы……………………………………….24

Введение 

     Инженерно-техническая защита информации - одна из основных составляющих комплекса мер по защите информации, содержащей государственную, коммерческую и личную тайну. Этот комплекс включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации.

     В условиях рынка проблему защиты информации нельзя решить тотальным закрытием  информации, потому что без информации о новой продукции, которая распространяется, прежде всего, через рекламу, невозможно завоевать рынок. Более того, задачи по защите информации в условиях рынка усложняются, так как информация интересует не только разведку других государств, но и многочисленных конкурентов, а также криминальные элементы. Если ранее о специальной технике добывания информации знал узкий круг сотрудников спецслужб, то в условиях рынка любой гражданин может без особых усилий купить практически любое из выпускаемых за рубежом или в России средство для скрытого добывания информации.

     В решении проблемы информационной безопасности значительное место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. Персонал генерирует новые идеи, новшества, открытия и изобретения, которые продвигают научно-технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Каждый сотрудник объективно заинтересован в сохранении в тайне тех новшеств, которые повышают прибыли и престиж фирмы. Несмотря на это, персонал, к сожалению, является в то же время основным источником утраты (разглашения, утечки) ценной и конфиденциальной информации.

     Никакая, даже самая совершенная в организационном  плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию. Обычный секретарь руководителя фирмы имеет возможность нанести фирме такой значительный ущерб, что окажется под вопросом само ее существование.

     Многие  специалисты по защите информации считают, что при правильной организации  работы с персоналом защита информации фирмы сразу обеспечивается не менее  чем на 80% без применения каких-либо дополнительных методов и средств защиты.

     В нашей стране проблемы защиты информации усугубляются ещё и несовершенством  законодательной базы по сохранению государственной и коммерческой тайн.

     Необходимый уровень защищенности документированной  информации достигается в значительной степени за счет использования в обработке традиционных, машиночитаемых и электронных конфиденциальных документов эффективной для конкретной фирмы специализированной традиционной или автоматизированной технологической системы, позволяющей решать задачи не только документационного обеспечения управленческой и производственной деятельности, но и сохранности носителей и конфиденциальности информации. 
 
 
 
 
 
 

1. ОРГАНИЗАЦИЯ ОФИСНОЙ ДЕЯТЕЛЬНОСТИ

     Офисная деятельность - это определенным образом организованная в пространстве и времени совокупность действий множества людей (персонала), реализация которых обеспечивает условия эффективного выполнения управленческой деятельности для конкретной системы, управления.

     Это определение предполагает наличие  следующих структурных характеристик офисной деятельности:

     - офисная деятельность осуществляется в определенных пространственных границах, определяемых совокупностью параметров размещения офиса: количеством мест локализации (одно или несколько), их иерархической соподчиненностью (центральный или филиал) и прочими показателями функционирования офиса в пространстве;

• офисная деятельность осуществляется в течение определенного временного интервала, т. е. обладает совокупностью временных параметров: моментами начала и окончания осуществления, чередованием периодов с различными интенсивностями своей реализации, прочими показателями функционирования офиса во времени;
• офисная деятельность реализуется людьми, для которых она полностью или частично является основным видом деятельности, что характеризуется составом соответствующего персонала, его квалификацией и стажем, распределением прав и обязанностей и т. п.;
• содержание офисной деятельности определяется задачами обеспечения условий для эффективной реализации управленческой деятельности - управляемого по отношению к офисной деятельности процесса.

     Определение цели, задачи (или задач) офисной  деятельности определяется ее содержанием  как процесса, обеспечивающего эффективную  реализацию управленческой деятельности в рамках конкретной системы управления. В основном это информационное обеспечение управленческой деятельности и обеспечение реализации принятых решений.

     Принятие  решений, коммуникации, информационные потоки, контроль, поощрение и наказание - эта составляющая, на первый взгляд, относится к собственно процессу принятия управленческих решений для воздействия на управляемый процесс, но поскольку мы приняли положение о том, что офисная деятельность есть во многом процесс управления управленческой деятельностью, то перечисленные элементы организации должны иметь место и разрабатываться соответствующим образом.

     Единая  организационная система офисной  деятельности предполагает сведение воедино  всех перечисленных компонентов  ее организации в рамках функционирования офиса во всех его проявлениях.

     Под офисной технологией понимается информационная технология, объект и результат которой определяются потребностями реализации управленческой деятельности в рамках конкретной формы осуществления офисной деятельности (офиса). Объектом офисной технологии является тот или иной вид информационных ресурсов, используемых при реализации задач, работ, процедур и операций информационного обслуживания управленческой деятельности.

     Реализация  функции защиты данных преследует две  цели:

• обеспечение целостности данных, т. е. сохранности информации как таковой;
• охрана данных от несанкционированного доступа.

     Обеспечение  целостности  данных  предусматривает,  прежде всего, сохранение неизменными (или в допустимом диапазоне) тех свойств носителя информации, которые обеспечивают ее фиксирование и хранение в одном и том же виде в течение требуемого интервала времени.

     Это относится к таким материально-вещественным носителям, как бумага, магнитные  пленки и диски, различные проекционные материалы (фотопленки, слайды, микрофиши  и т. п.), оптические диски. Их сохранность обеспечивается соблюдением надлежащих условий хранения и использования, вытекающих из физико-химических свойств носителей.

     Целостность передаваемых данных во многом зависит  от надежности используемых средств  связи и задействованных при передаче информации технологий. В подавляющем большинстве случаев эти технологии либо реализуются предприятиями связи, находящимися вне офиса, либо выполняются автоматически соответствующей коммуникационной аппаратурой. 

     2. ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ  БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ

     Одной из составных частей экономической  безопасности является информационная безопасность, направленная на разработку и актуализацию программы построения аналитической работы по определению  состава ценной информации предприятия, угроз информации, по формированию системы защиты информации в традиционном и электронном документооборотах, защиты информации от персонала, защиты информации в технических каналах распространения информации и т. д.

     Проблемы  информационной безопасности становятся все более сложными и практически значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.

     В соответствии с Федеральным законом  «Об информации, информатизации и  защите информации» информационные ресурсы предприятия, организации, учреждения, банка, компании и других государственных и негосударственных, в том числе предпринимательских, структур (далее по тексту - фирмы) включают в себя отдельные документы и отдельные массивы документов (дела), документы и комплексы документов в информационных системах (библиотеках, архивах, фондах, банках данных компьютеров и других информационных системах) на любых носителях, в том числе обеспечивающих работу вычислительной и организационной техники.

     Информация, которая используется предпринимателем в бизнесе и управлении фирмой, является его собственной или  частной информацией. Такая информация составляет интеллектуальную собственность  предпринимателя. К интеллектуальной собственности (интеллектуальному продукту) как результату творческого труда относят коммерчески ценную идею, технические, технологические (ноу-хау) и научные (ноу-ноу) новшества, оригинальные методы управления, организации бизнеса и другие достижения. Информация как результат творчества может быть не только предметом интеллектуальной собственности, но и отражать характеристики, свойственные объекту интеллектуальной собственности.

     Обычно  выделяются два вида информации, интеллектуально  ценной для предпринимателя:

• техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, рецептуры, расчеты, результаты испытаний опытных образцов, данные контроля качества и т. п.;
• деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т. п.

     Интеллектуально ценная информация не может существовать вне определенных предметных образований. Накопители ценных информационных ресурсов называются источниками (носителями, обладателями) информации. Они представляют собой пассивные концентраторы этой информации и включают в себя:

• публикации о фирме и ее разработках;
• рекламные издания, выставочные материалы;
• документацию;
• персонал фирмы и окружающих фирму людей;
• физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи.

     Все информационные ресурсы фирмы постоянно  подвергаются объективным и субъективным угрозам утраты носителя или ценности информации.

     Под угрозой, или опасностью, утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных  возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных.

     Риск  угрозы дестабилизирующего воздействия  любым (открытым и ограниченного  доступа) информационным ресурсам создают  стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: несанкционированное уничтожение документов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.

     Для информационных ресурсов ограниченного  доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников.

     Под злоумышленником понимается лицо, действующее  в интересах конкурента, противника или в личных корыстных интересах (агентов иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельных преступных элементов, лиц, сотрудничающих со злоумышленником, психически больных лиц и т. п.).

     Основной  угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат - овладение информацией и противоправное ее использование или совершение иных дестабилизирующих действий.

     Каналы  несанкционированного доступа, утраты информации могут быть двух типов: организационные  и технические. Обеспечиваются они  легальными и нелегальными методами.

     Организационные каналы разглашения информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с фирмой или ее сотрудником для последующего несанкционированного доступа к интересующей информации.

     Основными видами организационных каналов могут быть:

• поступление злоумышленника на работу в фирму, как правило, на техническую, второстепенную должность (оператором ЭВМ, секретарем, дворником, слесарем, охранником, шофером и т. п.);
• участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обманных способов;
• поиск злоумышленником сообщника (инициативного помощника), работающего в интересующей его фирме, который становится его соучастником;
• установление злоумышленником доверительных взаимоотношений с сотрудником учреждения, фирмы или посетителем, сотрудником другого учреждения, обладающим интересующими злоумышленника сведениями;
• использование коммуникативных связей фирмы - участие в переговорах, совещаниях, переписке с фирмой и др.;
• использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;
• тайное или по фиктивным документам проникновение в здание фирмы и помещения, криминальный, силовой доступ к информации, т. е. кража документов, дискет, дисков, компьютеров, шантаж и склонение к сотрудничеству отдельных сотрудников, подкуп сотрудников, создание экстремальных ситуаций и т. п.;
• получение нужной информации от третьего (случайного) лица. Организационные каналы находятся или формируются злоумышленником индивидуально в соответствии с его профессиональным умением оценивать конкретную ситуацию, сложившуюся в фирме, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной аналитической работы.

     Техническое обеспечение офисных технологий создает широкие возможности несанкционированного получения ценных сведений. Любая управленческая деятельность всегда связана с обсуждением ценной информации в кабинетах или по линиям связи, проведением расчетов и анализа ситуаций на ЭВМ, изготовлением, размножением документов и т. п.

     Технические каналы утечки информации возникают  при использовании злоумышленником  специальных технических средств  промышленного шпионажа, позволяющих  получать защищаемую информацию без  непосредственного контакта с персоналом фирмы, документами, делами и базами данных. Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику.

     В нашей стране проблемы защиты информации усугубляются несовершенством законодательной базы по сохранению государственной и коммерческой тайн.

     Меры инженерно-технической защиты информации представляют собой совокупность технических средств и способов их использования, которые обеспечивают требуемый уровень безопасности информации при минимуме ресурса. Каждому набору угроз соответствует рациональный набор мер защиты. Определение такого набора является основной задачей инженерно-технической защиты информации.

    Инженерно-техническая  защита информации включает комплекс организационных и технических мер по обеспечению информационной безопасности техническими средствами и решает следующие задачи:

1. Предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения.
2. Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении.
3. Предотвращение утечки информации по различным техническим каналам.

Способы и средства решения первых двух задач  не отличаются от способов и средств защиты любых материальных ценностей, третья задача решается исключительно способами и средствами инженерно-технической защиты информации.

     Инженерно-техническая  защита информации представляет собой  достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты. Для обеспечения эффективной инженерно-технической защиты информации необходимо определить:

1. Что защищать техническими средствами в данной организации, здании, помещении;
2. Каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств;
3. Какие способы и средства целесообразно применять для обеспечения информационной безопасности с учётом как величины угрозы, так и затрат на её предотвращение;
4. Как организовать и реализовать техническую защиту информации в организации.

     Без этих знаний защита информации может  проводиться в форме круговой обороны (принеограниченных ресурсах) или "латания дыр" в более реальном варианте ограниченности средств.

     При организации защиты информации, как  и других видов защиты, необходимо также знать и учитывать психологические  факторы, влияющие на принятие решения  руководителем или любым другим ответственным лицом. Это обусловлено тем, что меры по защите имеют превентивную направленность без достаточно достоверных данных о потенциальных угрозах не вообще, а применительно к конкретной организации. Кроме того, последствия скрытого хищения информации проявляются спустя некоторое время, когда порой бывает достаточно трудно выявить истинную причину ухудшения финансового положения фирмы или появления у конкурента идентичной продукции. Эти факторы не способствуют психологической готовности руководителя на достаточно большие затраты на защиту информации. Тем не менее, мировой опыт организации защиты информации подтверждает, что на информационную безопасность фирмы вынуждены выделять порядка 10-20% от общей прибыли. Поскольку значительную часть расходов на защиту информации составляют затраты на покупку и эксплуатацию средств защиты, то методология инженерно-технической защиты информации должна обеспечивать возможность рационального выбора средств защиты информации.

     При решении задач защиты информации объективно существует необходимость  учёта большого числа различных  факторов, что не удаётся, как правило, сделать на основе здравого смысла. Поэтому основы инженерно-технической  защиты информации должны содержать  как теоретические знания, так и методические рекомендации, обеспечивающие решение этих задач. 

     3. ОРГАНИЗАЦИЯ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ  ЗАЩИТЫ  ИНФОРМАЦИИ

     Структура и алгоритм функционирования системы  защиты организации определяются в  руководящих, нормативных и методических документах. К руководящим документам относятся:

     - руководство (инструкция) по защите информации в организации;

     - положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации;

     -  инструкции по работе с грифованными документами;

     -  инструкции по защите информации о конкретных изделиях: В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается неизменной, так как необходимость в них объективна.

     Порядок защиты информации в организации  определяется соответствующим руководством (инструкцией). Оно может содержать  следующие разделы:

     - общие положения;

     - перечень охраняемых сведений;

     - демаскирующие признаки объектов организации;

     - демаскирующие вещества, создаваемые в организации;

     - оценки возможностей органов и средств добывания информации,

     организационные и технические мероприятия по защите информации;

     -  порядок планирования работ службы безопасности;

     -  порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.

     Но  в данном руководстве нельзя учесть всех особенностей защиты информации в конкретных условиях. В любой  организации постоянно меняется ситуация с источниками и носителями конфиденциальной информации  угрозами ее безопасности.

     Работа  по защите информации в организации  проводится всеми сотрудниками, но степень участия различных категорий  существенно отличается. Любой сотрудник, подписавший обязательство о неразглашении тайны участвует в защите информации хотя бы путем выполнения руководящих документов о защите информации.

     Ответственность за состояние защиты информации возлагается  на соответствующее подразделение  и лиц службы безопасности. Применительно к типовой структуре службы безопасности коммерческой структуры инженерно-техническая защита обеспечивается группой инженерно-технической   защиты, которая, как вариант, может состоять из старшего инженера (инженера) - руководителя группы и инженера (техника) по специальным измерениям.

     Основные  задачи группы:

     - обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования;

     - выявление и оценка степени опасности технических каналов утечки информации;

     - разработка мероприятий по ликвидации (предотвращению утечки) потенциальных каналов утечки информации;

     - организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий, анализ результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты;

     - подготовка заявок на приобретение технических средств защиты информации, участие в их установке, эксплуатации и контроле состояния.

     Кроме того, на группу инженерно-технической  защиты информации целесообразно возложить  также технические вопросы охраны носителей информации.

     В организациях работа по инженерно-технической  защите информации включает два этапа:

• построение или модернизация системы защиты;
• поддержание защиты информации на требуемом уровне.

       Построение системы защиты информации  проводится во вновь создаваемых  организациях, в остальных - модернизация  существующей.

     Построение (модернизация) системы защиты информации и поддержания на  требуемом уровне ее защиты в организации предусматривают проведение следующих основных работ:

• уточнение перечня защищаемых сведений в организации, определение источников и носителей информации, выявление и оценка угрозы ее безопасности;
• определение мер по защите информации, вызванных изменениями

     целей и задач защиты, перечня защищаемых сведений, угроз безопасности информации;

• контроль эффективности мер по инженерно-технической защите

     информации  в организации.

     Меры по защите информации целесообразно разделить на 2 группы: организационные и технические. В публикациях, в том числе в некоторых руководящих документах, меры по защите делят на организационные, организационно-технические и технические. Учитывая отсутствие достаточно четкой границы между организационно-техническими и организационными, организационно-техническими и техническими мерами, целесообразно ограничиться двумя группами: организационными и техническими. При такой классификации к техническим относятся меры, реализуемые путем установки новых или модернизации используемых инженерных и технических средств защиты информации. Основу организационных мер инженерно-технической зашиты информации составляют меры, определяющие порядок использования этих средств.