- предотвращение разглашения и утечки конфиденциальной информации;
- воспрещение несанкционированного доступа к источникам конфиденциальной информации; сохранение целостности, полноты и доступности информации;
- соблюдение конфиденциальности информации;
- обеспечение авторских прав.
Защита от разглашения сводится в общем плане к разработке перечня сведений, составляющих коммерческую тайну предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного к ним, с обязательством этого сотрудника сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью коммерческих секретов.
Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации.
Защита от несанкционированного доступа к конфиденциальной "формации обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию НСД. На практике в определенной степени все мероприятия по использованию технических средств защиты информации подразделяются на три группы:
- организационные (в части технических средств);
- организационно-технические;
- технические.
Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.
В общем плане организационные мероприятия предусматривают проведение следующих действий:
- определение границ охраняемой зоны (территории);
- определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;
- определение "опасных", с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;
- выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;
Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.
Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.
Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.
Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.
Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.
Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации.
В этих целях возможно использование: технических средств пассивной защиты, например фильтров, ограничителей и тому подобных средств развязки акустических, электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио- и часофикации и др.; технических средств активной защиты: датчиков акустических шумов и электромагнитных помех.
Организационно-технические мероприятия по защите информации можно подразделить на пространственные, режимные и энергетические.
Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС).
Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и др.
Энергетические - это снижение интенсивности излучения и работа РЭС на пониженных мощностях.
Технические мероприятия - это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не превышают границу охраняемой территории. Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию. Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.
Подавление - это создание активных помех средствам злоумышленников.
Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и опознавания.
Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устройств зашумления.
Защитные действия ориентированы на пресечение разглашения, защиту информации от утечки и противодействия несанкционированному доступу.
Защитные действия, способы и мероприятия по обеспечению информационной безопасности можно классифицировать по основным характеристикам и объектам защиты по таким параметрам, например, как ориентация, характер угроз, направления, способы действий, охват, масштаб и др.
Защитные действия по ориентации можно классифицировать как действия, направленные на защиту персонала, материальных и финансовых средств и информации как ресурса.
По направлениям - это правовая, организационная и инженерно-техническая защита.
По способам - это предупреждение, выявление, обнаружение, пресечение и восстановление.
По охвату защитные меры могут быть ориентированы на защиту территории фирмы, зданий, отдельных (выделенных) помещений, конкретных видов аппаратуры или технических средств и систем или отдельных элементов зданий, помещений, аппаратуры, опасных с точки зрения несанкционированного доступа к ним или оборудования каналов утечки информации.
Применение защитных мер можно рассматривать и в пространственном плане. Так, например, известно, что распространение (разглашение, утечка или НСД) осуществляется от источника информации через среду к злоумышленнику.
Источником информации могут быть люди, документы, технические средства, отходы и др. Носителем информации может быть либо поле (электромагнитное, акустическое), либо вещество (бумага, материал, изделие и т.д.). Средой является воздушное пространство, жесткие среды (стены, коммуникации).
Злоумышленник обладает необходимыми средствами приема акустической и электромагнитной энергии, средствами воздушного наблюдения и возможностью обрабатывать материально-вещественные формы представления информации. Чтобы исключить неправомерное овладение конфиденциальной информацией, следует локализовать (выключить, ослабить сигнал, зашифровать и др.) источник информации. С увеличением масштабов распространения и использования ПЭВМ и информационных сетей усиливается роль различных факторов, вызывающих утечку, разглашение и несанкционированный доступ к информации. К ним относятся:
- несанкционированные и злоумышленные действия персонала и пользователя;
- ошибки пользователей и персонала;
- отказы аппаратуры и сбои в программах;
- стихийные бедствия, аварии различного рода и опасности.
В соответствии с этими основными целями защиты информации в ПЭВМ и информационных сетях являются:
- обеспечение юридических норм и прав пользователей в отношении доступа к информационным и другим сетевым ресурсам, предусматривающее административный надзор за информационной деятельностью, включая меры четкой персональной ответственности за соблюдение правил пользования и режимов работы;
- предотвращение потерь и утечки информации, перехвата и вмешательства на всех уровнях, для всех территориально разделенных объектов;
- обеспечение целостности данных на всех этапах и фазах их преобразования и сохранности средств программного обеспечения.
В связи с тем, что информационная сеть, в отличие от автономной ПЭВМ, является территориально распределенной системой, она требует принятия специальных мер и средств защиты. Средства защиты должны предотвращать:
- определение содержания передаваемых сообщений;
- внесение изменений в сообщения;
- необоснованный отказ в доступе;
- несанкционированный доступ;
- ложную инициализацию обмена;
- возможность измерения и анализа энергетических и других характеристик информационной системы.
Если это нецелесообразно или невозможно, то нарушить информационный контакт можно за счет использования среды распространения информации. Например, при почтовой связи использовать надежного связного и доставить почтовое отправление абоненту, полностью исключив возможность несанкционированного доступа к нему со стороны. Или исключить возможность подслушивания путем использования специального помещения, надежно защищенного о; такого вида НСД. И, наконец, можно воздействовать на злоумышленника или на его средства путем постановки активных средств воздействия (помехи).
В каждом конкретном случае реализации информационного контакта
используются и свои специфические способы воздействия, как на источник, так и
на среду и на злоумышленника. В качестве примера рассмотрим матрицу,
характеризующую взаимосвязь целей защиты информации и механизмов ее защиты в
процессе телекоммуникационного обмена в распределенных автоматизированных
системах. Одновременно на ней отражены и защитные возможности тех или иных
механизмов.
.3 Роль человеческого фактора как фактора безопасности предприятия
Обеспечение информационной безопасности предприятия, в которой с развитием и усложнением техники пропорционально возрастает значение человеческого фактора, можно найти уже в почти всех сферах профессиональной деятельности человека. В рисковых профессиональных системах (производственная, транспортная энергетическая, информационная и др.), быстрее, чем в других местах, человек освобождается от необходимости выполнять частные операции и начинает регулировать мощные потоки энергии и информации. При этом лавинообразно возрастают уровень его ответственности и цена допускаемых ошибок.
Не смотря на это, во всех существующих системах управления безопасности не учитывается факт, что самая большая угроза является сам человек. Современные технические средства наблюдения, контроля и обработки информации не имеют и не будут еще долго иметь способность к мышлению и быструю комплексную оценку любой возникшей ситуации. Поэтому, единственное эффективное решение проблемы оптимизации безопасности может быть только реализация идеи создания единой человека - технической системы управления безопасности, где ведущую роль будет иметь человек.
Один из подходов исследования влияния человека на безопасность, это использование комплексного или частичного факторного анализа.
Здесь, приложенный подход раскрывает многогранность проблемы и пытается назвать основные факторы, представляющие собой составные части понятия "человеческий фактор", как например - профессиональная подготовка, физическое состояние и ограничения, психологические особенности, факторы окружающей среды, факторы социальной среды, факторы культуры, факторы экипажа, факторы объекта эксплуатации и др.
В основе комплексного факторного анализа исследования влияния человека на безопасность ставиться возможность решения общей задачи через реализацию частных блоков, связанных с учетом человеческого фактора. Такие могут быть - блок управления и организации, блок профессиональной компетентности персонала компании, блок физического состояния и отдыха персонала, блок тренированности экипажей и готовности к действиям в аварийных ситуациях, блок социальных проблем, блок психофизиологических особенностей и межличностных взаимоотношений.
Деление на блоки, с обозначением основных направлений деятельности компаний в каждом из них, с одной стороны, позволяет выработать направления их усилий в этих областях, с другой стороны, составляет основу для оценки эффективности системы безопасности предприятия, экспертами.
Другой подход, это исследование процессов возникновения ошибок и возможностей прогнозирования перехода ситуацию в аварийной.
Подходы проведения комплексного или частичного факторного анализа для решения проблем человеческого влияния на безопасность связанны напрямую с возможностями полного определения и учета всех факторов, влияющих на вероятность совершения ошибок и возникновения аварийной ситуации. Чтобы облегчить определение степени влияния различных дестабилизирующих факторов, необходимо разработать модель развития каждой исследуемой аварийной ситуации. Такая модель должна разделить дестабилизирующие факторы по группам (направлениям) и должна позволить учесть индивидуальных особенностей людей.
Основным звеном предлагаемой модели является руководитель, который должен учитывать все факторы, как технические, так и психофизиологические.
После анализа отдельных ситуаций и учета дестабилизирующих факторов необходимо определить вероятностией совершения ошибок операторов. Ошибки, совершаемые людьми, обычно классифицируются как - нарушения, опасные ошибки, критические ошибки (в зависимости от тяжести последствий от наступления ошибки). Кроме того должны быть разработаны способы предотвращения возникновения ошибок и методы уменьшения последствий совершения ошибок.
Независимо от количества и качества накопленных показателей психофизиологического состояния человека, однозначно определить зависимость его ошибки от различных дестабилизирующих факторов на сегодняшний день не представляется возможным. В этом плане, существующие психодиагностические процедуры, системы экспертного опроса и разработанные алгоритмы действий людей для различных условий, дают возможность выявить только наиболее общие и опасные (с позиции вероятности появления) ошибки действия или бездействия, но это не достаточно. информация предприятие вирус безопасность