Читайте также:
|
|
Системное проектирование предполагает определение потребностей заказчика и требуемых функций системы, установление требований к проектируемой системе, выполнение конструкторского синтеза и аттестации с согласованием как экономических, так и технических аспектов решаемой задачи. При этом системотехника требует количественной оценки характеристик системы, раскрывающей, прежде всего, целевые свойства СЗИ.
Проектирование систем защиты информации – это достаточно сложный комплекс работ, который включает в себя следующие этапы:
- предпроектное обследование, формирующее базовые требования к проектируемой системе защиты информации;
- анализ требований, предъявляемых заказчиком к системе;
- проектирование программной и аппаратной компонент – преобразование требований в детальные спецификации системы;
- конструирование – выполнение организационно-технических мероприятий, связанных с разработкой и тестированием компонент системы;
- верификация спроектированной системы требованиям безопасности;
- реализация и ввод СЗИ в эксплуатацию.
Принципы построения КСИБ:
· Принцип непрерывности совершенствования и развития системы информационной безопасности
· Принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.
Существует ряд устоявшихся рекомендаций для создателей КСИБ:
· средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;
· каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
· возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;
· независимость системы защиты от субъектов защиты;
· разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
· отсутствие на предприятии излишней информации о существовании механизмов защиты.
10.последовательность работ при проектировании комплексной системы защиты информации от НСД и утечки за счет ПЭМИН.
47. Каналы утечки информации по цепям электропитания:
• наводки информативных сигналов, содержащихся в побочных электромагнитных излучениях (ПЭМИ) технических средств обработки информации и линий их передачи. При этом информативные сигналы, наведенные на цепи электропитания и заземления, выходящие за пределы контролируемой зоны могут иметь достаточные для перехвата уровни мощности и широкий частотный диапазон.
При этом ПЭМИ называют электромагнитные поля, создаваемые в окружающем пространстве устройствами, специально для этого не предназначенными. Практически все современные электронные устройства вызывают при своей работе электромагнитные излучения. При этом для некоторых (таких как радиопередатчики, мобильные телефоны и т.п.) такое излучение является их неотъемлемой функцией, в то время как для компьютеров, принтеров и др., электромагнитное излучение является паразитным, нежелательным, т.е. побочным.
• электрические сигналы от электронных устройств съема речевой информации (закладные устройства), подключенных к сети электропитания и использующие ее в качестве канала передачи информации за пределы контролируемой зоны.
Закладные устройства – это электронные устройства съема речевой информации из помещения, скрытно установленные в данном помещении (в электророзетках, настольных лампах и т.п.) и использующие сеть электропитания в качестве канала передачи речевой информации за пределы контролируемой зоны.
Типовая структурная схема сетевого закладного устройства приведена на рисунке 6
Рис.6. Типовая структурная схема сетевого закладного устройства
Как правило, несущая частота, формируемая ВЧ – генератором, лежит в диапазоне десятков ÷сотен КГц (редко 1÷2 МГц); используемая модуляция – узкополосная ЧМ (хотя, возможны и другие виды модуляции, в том числе, цифровые); полоса частот, занимаемая таким устройством (девиация), составляет обычно 50 кГц. Мощность закладного устройства – десятки мВт, что обеспечивает дальность передачи до нескольких сотен метров. Типичный камуфляж – электророзетка, электроудлинитель
48. Коммерческая тайна и нормативно-правовое обеспечение её защиты
Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (из федерального закона РФ от 29 июля 2004 г. N 98 «О коммерческой тайне»).
Также коммерческой тайной именуют саму информацию, которая составляет коммерческую тайну, то есть, научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию, в том числе составляющую секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны.
Обладатель информации имеет право отнести её к коммерческой тайне, если эта информация отвечает вышеуказанным критериям и не входит в перечень информации, которая не может составлять коммерческую тайну (ст.5 закона «О коммерческой тайне»). Чтобы информация получила статус коммерческой тайны, её обладатель должен исполнить установленные процедуры (составление перечня, нанесение грифа и некоторые другие). После получения статуса коммерческой тайны информация начинает охраняться законом.
За разглашение (умышленное или неосторожное), а также за незаконное использование информации, составляющей коммерческую тайну, предусмотрена ответственность — дисциплинарная, гражданско-правовая, административная и уголовная.
Нормативно-правовые документы обеспечивающие нормативно-правовую защиту коммерческой тайны:
1) Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ
«О коммерческой тайне»
2) Гражданский кодекс Российской Федерации;
3) Перечень сведений конфиденциального характера: Утвержден Указом Президента Российской Федерации №188 от 6 марта 1997 г.
Основные положения закона «О коммерческой тайне»:
Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений настоящего Федерального закона.
К коммерческой тайне не могут быть отнесены сведения: содержащиеся в учредительных документах юридического лица; факторов, оказывающих неблагоприятное действие на безопасность гражданина, населения, безопасность производственных объектов; численности и составе работников, оплате труда; о нарушении законодательства; недопустимость ограничения которых установлена федеральными законами.
Обладатель информации, составляющей коммерческую тайну, по мотивированному требованию органа государственной власти предоставляет им на безвозмездной основе информацию, составляющую коммерческую тайну. В случае отказа государственные органы вправе затребовать информацию в судебном порядке.
Обладателем информации, составляющей коммерческую тайну, полученной в рамках трудовых отношений, является работодатель.
Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя: определение перечня информации, составляющей коммерческую тайну; ограничение доступа к информации, составляющей коммерческую тайну; учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна".
В целях охраны конфиденциальности информации работодатель обязан:
1) ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой является работодатель и его контрагенты;
2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
49. Методика построения административного управления КСИБ
При рассмотрении структуры СИБ возможен традиционный подход — выделение обеспечивающих подсистем.
Одной из них является - Организационное обеспечение (административное управление). Имеется в виду, что реализация информационной безопасности осуществляется определенными структурными единицами, такими, например, как служба безопасности фирмы и ее составные структуры: режим, охрана и др.
Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя. Административно управление КСИБ основывается на нормативно-правовых документах (типа всякие законы постановления + указы и уставы организации) и на политике безопасности.
Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме.
Элемент включает в себя регламентацию:
· Формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно-методическими документами по организации и технологии защиты информации;
· Составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;
· Разрешительной системы (иерархической системы) разграничения доступа персонала к защищаемой информации;
· Методов отбора персонала для работ с защищаемой информацией, методики обучения и инструктирования сотрудников;
· Направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;
· Технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизирований и смешанной технологии); внемашинной технологии защиты электронных документов;
· Порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;
· Ведения всех видов аналитической работы;
· Порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;
· Оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификация информационных систем, предназначенных для обработки защищаемой информации;
· Пропускного режима на территории, в здании и помещениях фирмы, предназначенных для обработки защищаемой информации;
· Системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;
· Действий персонала в экстремальных ситуациях;
· Организационных вопросов приобретения, установки и эксплуатации технических средств зашиты информации и охраны;
· Организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
· Работы по управлению системой защиты информации;
· Критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.
Этапы проектирования КСИБ:
1. Формулирование проблемы защиты на объекте.
2. Выбор и формулирование принципов построения системы защиты.
3. Определение возможных путей защиты в соответствии с определенными принципами.
4. Анализ положительных и отрицательных сторон вероятной реализации системы защиты.
5. Формулирование критериев предпочтительных вариантов реализации.
6. Построение системы КСИБ согласно следующим принципам:
· Построение и функционирование системы по жесткому или адаптивному алгоритму.
· Централизация и децентрализация принятия решений
· Использование строгих или эвристических алгоритмов принятия решений.
· Адаптация системы к изменению обстановки.
· Использование в системе внутренних или внешних источников энергии.
Дата добавления: 2015-10-28; просмотров: 194 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Общая характеристика виброакустического канала утечки информации. | | | Защита от утечки по ПЭМИН |