Захист інформації з обмеженим доступом в діяльності малих підприємств та фізичних осіб-суб’єктів підприємницької діяльності

       Засоби  захисту комунікацій.

       Сьогодні  джерелом витоку інформації в значній  мірі є процеси обробки, передачі, прийому та зберігання інформації, пов'язані з використанням електронних, електромеханічних та електротехнічних пристроїв. Дія таких пристроїв, як правило, супроводжується (якщо не приймаються  спеціальні заходи) побічними або  паразитними випромінюваннями. Побічні випромінювання безпосередньо несуть інформацію, але розповсюджуються "безадресно" (персональні ЕОМ, звуко- і відеозаписуюча апаратура, телевізори, електричні друкарські машинки, телетайпи і телефакси, апаратура передачі даних, гучномовний і селекторний зв'язок, а також всі види зовнішнього провідного і радіозв'язку, що не мають спеціальних шифруючих і дешифруючих пристроїв).

       Паразитні випромінювання супроводжують процеси перетворення сигналів. Наприклад, імпульсне випромінювання супроводжує роботу персональної ЕОМ. Стаціонарну "картинку" на екрані дисплею можна відтворити на екрані іншого дисплею на відстані 200-300 метрів. Паразитні наведення на сусідні пари телефонного кабелю або на спеціальні підслуховуючі "муфти" можуть стати каналом витоку інформації. Поширенню паразитного випромінювання можуть сприяти деякі види датчиків пожежної і охоронної сигналізації, елементи системи електричних годинників, радіоточки, труби опалення та газові труби, переговорні пристрої та деталі телефонних апаратів.

       Основними методами захисту комунікацій є:

       – пошук закладних (підслуховуючих або записуючих) пристроїв;

       – забезпечення скритності передачі інформації по телефонно-телеграфним каналам  шляхом їх шифрування;

       – спеціальний захист апаратури від  випромінювання за допомогою захисних блоків;

       – утворення штучних завад перехопленню електричних чи акустичних сигналів.

       Засоби  захисту інформації при використанні комп'ютерних систем і баз даних  можна поділити на такі групи:

       ■ приховане кодування документів на магнітних носіях, тобто доповнення тексту документів на магнітних носіях ознакою авторства чи майнової належності, що не читаються при нормальному  відтворенні, завдяки якому можна  виявити осіб, здійснюючих крадіжку документів;

       ■ криптографування (шифрування) всього документу чи його частини на машинних носіях, що робить цей документ недосяжним для розуміння особами, які не володіють ключем або кодом для дешифрування;

       ■ програмне та (або) апаратне обмеження  доступу до комп'ютерів в цілому або до магнітних носіїв інформації ("вінчестерів" та "флоппі дисків").

       Використання  комп'ютерів у підприємництві привело  до того, що великі обсяги ділової інформації передаються і одержуються по комп'ютерним мережам, які охопили  практично весь світ. Саме через  комп'ютерні мережі вчиняється більшість  крадіжок інформації.

       Іншою проблемою є захист інформації від  підробок. Для цих цілей використовується програма під назвою "електронний  підпис", яка дозволяє підтвердити  власника документу, що передається, але  його текст при цьому залишається  незахищеним.

       Більш надійний захист інформації, що передається, можна здійснити шляхом її шифрування. Зручніше шифрувати інформацію за допомогою  апаратних пристроїв, шляхом підключення  до комп'ютера додаткової електронної  плати.

       Просто  і ефективно захищають від  копіювання відомості, що накопичені в  пам'яті комп'ютера, механічні чи електромеханічні ключі, які входять  у його комплект.  

       Протидія  несанкціонованому  доступу і програмним закладкам.  

       Під несанкціонованим доступом розуміють  тайне проникнення в технологічний  процес обробки інформації. Захист технологічного процесу обробки  інформації забезпечується шляхом визначення:

       – об'єктів доступу;

       – суб'єктів доступу;

       – штатних засобів доступу до інформації;

       – засобів захисту інформації;

       – правил розмежування доступу.

       Об'єктами доступу у залежності від класу автоматизованої системи можуть бути:

       – система в цілому;

       – термінали, ЕОМ, вузли мережі ЕОМ, канали зв'язку, зовнішні пристрої ЕОМ;

       – програми;

       – томи, каталоги, файли, записи, поля записів;

       – всі види пам'яті ЕОМ, в яких може знаходитися конфіденційна інформація.

       Суб'єктами доступу можуть бути особи і процеси (програми користувачів), що мають можливість доступу до об'єктів штатними засобами автоматизованих систем. Суб'єкти доступу можуть мати офіційний дозвіл (допуск) до інформації певного рівня конфіденційності.

       Під штатними засобами доступу  до інформації в автоматизованих системах розуміються загальносистемні і прикладні програмні засоби, засоби і програми, що надають суб'єктам документальні можливості допуску до об'єктів доступу.

       В цілях захисту інформації слід приймати заходи щодо попередження встановлення в комп'ютерні мережі деструктивних  програмних закладок. Під програмними закладками розуміють окремі програми чи спеціальні підпрограми, вбудовані в програмні засоби автоматизованих систем з метою виконання розвідувальних чи деструктивних завдань (модифікація даних чи програм, нав'язування фальшивих даних, знищення даних чи програм).

       З метою технічного захисту конфіденційної інформації необхідно:

       – слідкувати за складом і структурою програмно-технічних засобів, які  включено в реальний технологічних  процес обробки інформації. Не допускати  встановлення програмних закладок або  програмно-технічних засобів, в тому числі загального призначення, які  не пройшли перевірки і не мають  сертифікату, що підтверджує можливість їх застосування для обробки інформації з обмеженим доступом;

       – доводити до конкретних виконавців керівних документів, технологічних інструкцій, наказів, що забезпечують технологію безпечної  обробки інформації;

       – визначити порядок доступу конкретних виконавців до масивів даних і  програм;

       – присвоювати відповідні категорії  автоматизованим системам, що використовуються при опрацюванні інформації;

       – забезпечити пропускний режим, що обмежує  коло осіб, які мають доступ в  приміщення, де опрацьовується конфіденційна  інформація;

       – проводити аналіз проектів (планів) схем локальних комп'ютерних мереж  з метою мінімізації рівнів побічних електромагнітних випромінювань і  наведень;

       – включати в технічні завдання на проектування і монтаж автоматизованих систем розділ по технічному захисту інформації.  

     3.3. Методи застосування технічних засобів захисту інформації на малих підприємствах 

     Установка перешкоди – метод створення фізичної перешкоди на шляху проникнення зловмиснику до інформації, що захищається, у тому числі при спробі з використанням технічних засобів знімання інформації і дії на неї.

     Управління  доступом – метод захисту інформації за рахунок регулювання використовування всіх інформаційних ресурсів, у тому числі автоматизованої інформаційної системи підприємства. Управління доступом включає наступні функції захисту:

     • ідентифікацію користувачів, персоналу  і ресурсів інформаційної системи (привласнення кожному об'єкту персонального  ідентифікатора);

     • аутентифікацію (встановлення автентичності) об'єкту або суб'єкта по пред'явленому їм ідентифікатору;

     • перевірку повноважень (перевірка  відповідності дня тижня, часу доби, запрошуваних ресурсів і процедур встановленому  регламенту);

     • дозвіл і створення умов роботи в  межах встановленого регламенту;

     • реєстрацію (протоколювання) звернень до ресурсів, що захищаються;

     • реагування (сигналізація, відключення, затримка робіт, відмова в запиті) при спробах несанкціонованих дій.

     Маскування  – метод захисту інформації з використанням інженерних, технічних засобів, а також шляхом криптографічного закриття інформації.

     Маскувальники аналогово-цифровые статичні.

     Скремблери – Маскувальники аналогово-цифрові динамічні.

     Вокодери – пристрої, що передають мову в цифровому вигляді і зашифрованому.

     Методи  захисту інформації на практиці реалізуються із застосуванням засобів захисту. 

     3.4. Засоби захисту інформації 

     Засоби  захисту інформації можна розділити  на:

     1. Засоби, призначені для захисту  інформації. Ці засоби не призначені  для безпосередньої обробки, зберігання, накопичення і передачі інформації, що захищається, але що знаходяться  в одному приміщенні з ними.

     Діляться  на:

     пасивні – фізичні (інженерні) засоби, технічні засоби виявлення, ПС, СКУД, ВН, прилади  контролю радіоефіру, ліній зв'язку і т.п.;

     активні – джерела безперебійного живлення, шумогенератори, скремблери, пристрої відключення лінії зв'язку, програмно-апаратні засоби маскування інформації і ін.

     2. Засоби, призначені для безпосередньої  обробки, зберігання, накопичення  і передачі інформації, що захищається,  виготовлені в захищеному виконанні.  НІЇЕВМ РБ розробляє і випускає  захищені ношені, возяться і стаціонарні  ПЕВМ.

     3. Засоби, призначені для контролю  ефективності захисту інформації.

     Пасивні засоби захисту акустичного і  віброакустичного каналів просочування мовної інформації.

     Для запобігання просочування мовної інформації по акустичному і віброакустичному каналам здійснюються заходи щодо виявлення каналів витоку. В більшості випадків для несанкціонованого знімання інформації з приміщення супротивник застосовує відповідні задуму заставні пристрої.

     Всю процедуру пошуку ЗУ можна умовно розбити на декілька етапів:

     • фізичний пошук і візуальний огляд;

     • виявлення радіозаставних пристроїв як електронних засобів;

     • перевірка наявності каналів  просочування інформації. 

     3.5. Фізичний пошук і візуальний огляд 

     Огляд здійснюється шляхом обстеження всіх предметів в зоні контролю, розміри  яких достатньо великі для того, щоб можна було розмістити в них  технічні засоби негласного знімання інформації (настільні прилади, рами картин, телефони, квіткові горщики, книги, живлені від сіті пристрою: комп'ютери, ксерокси, радіоприймачі і т.д.).

     Фізичний  пошук і візуальний огляд об'єктів  проводять із застосуванням спеціальних  засобів відеоспостереження і металодетекторів. 

     3.6. Виявлення радіозаставних пристроїв (РЗУ) 

     Незнайдених при візуальному огляді здійснюють по їх демаскуючих ознаках із застосуванням  спеціальних засобів виявлення. РЗУ, як правило, містять в своїй  конструкції електронні схеми і, при своїй роботі випромінюють радіосигнал.