- строго контролируемый
доступ лиц в режимные зоны (зоны обращения
и хранения финансов);
- максимальное ограничение
посещений режимных зон лицами, не участвующими
в работе;
- максимальное сокращение
количества лиц, обладающих досмотровым
иммунитетом;
- организацию и
осуществление присутственного (явочного)
и дистанционного - по техническим каналам
(скрытого) контроля за соблюдением режима
безопасности;
- организацию тщательного
контроля любых предметов и веществ, перемещаемых
за пределы режимных зон;
- обеспечение защищенного
хранения документов, финансовых средств
и ценных бумаг;
- соблюдение персональной
и коллективной материальной и финансовой
ответственности в процессе открытого
обращения финансовых ресурсов и материальных
ценностей;
- организацию тщательного
контроля на каналах возможной утечки
информации;
- оперативное выявление
причин тревожных ситуаций в режимных
зонах, пресечение их развития или ликвидацию
во взаимодействии с силами охраны.
Система мер
возврата утраченных материальных и
финансовых ресурсов слагается из совместных
усилий объектовых служб безопасности
и государственных органов охраны
правопорядка и безопасности.
- обнаружение противоправного
изъятия финансовых средств из обращения
или хранения;
- оперативное информирование
правоохранительных органов о событиях
и критических ситуациях;
- возможность установления
субъекта и время акции;
- проведение поиска
возможного "схрона" утраченных средств
в районе объекта.
Дальнейший
поиск и возврат пропавших
ресурсов организуется в установленном
порядке через соответствующие
органы правопорядка и безопасности.
Система обеспечения
безопасности информационных ресурсов
должна предусматривать комплекс организационных,
технических, программных и криптографических
средств и мер по защите информации
в процессе традиционного документооборота
при работе исполнителей с конфиденциальными
документами и сведениями, при обработке
информации в автоматизированных системах
различного уровня и назначения, при передаче
по каналам связи, при ведении конфиденциальных
переговоров.
При этом основными
направлениями реализации технической
политики обеспечения информационной
безопасности в этих сферах деятельности
являются:
- защита информационных
ресурсов от хищения, утраты, уничтожения,
разглашения, утечки, искажения и подделки
за счет несанкционированного доступа
(НСД) и специальных воздействий;
- защита информации
от утечки вследствие наличия физических
полей за счет акустических и побочных
электромагнитных излучений и наводок
(ПЭМИН) на электрические цели, трубопроводы
и конструкции зданий.
В рамках указанных
направлений технической политики
обеспечения информационной безопасности
необходима:
- реализация разрешительной
системы допуска исполнителей (пользователей)
к работам, документам и информации конфиденциального
характера;
- ограничение доступа
исполнителей и посторонних лиц в здания,
помещения, где проводятся работы конфиденциального
характера, в том числе на объекты информатики,
на которых обрабатывается (хранится)
информация конфиденциального характера;
- разграничение
доступа пользователей к данным автоматизированных
систем различного уровня и назначения;
- учет документов,
информационных массивов, регистрация
действий пользователей информационных
систем, контроль за несанкционированным
доступом и действиями пользователей;
- криптографическое
преобразование информации, обрабатываемой
и передаваемой средствами вычислительной
техники и связи;
- снижение уровня
и информативности ПЭМИН, создаваемых
различными элементами технических средств
обеспечения производственной деятельности
и автоматизированных информационных
систем;
- снижение уровня
акустических излучений;
- электрическая
развязка цепей питания, заземления и
других цепей технических средств, выходящих
за пределы контролируемой территории;
- активное зашумление
в различных диапазонах;
- противодействие
оптическим и лазерным средствам наблюдения;
- проверка технических
средств и объектов информатизации на
предмет выявления включенных в них закладных
устройств;
- предотвращение
внедрения в автоматизированные информационные
системы программ вирусного характера.
- обоснованность
доступа, когда исполнитель (пользователь)
должен иметь соответствующую форму допуска
для ознакомления с документацией (информацией)
определенного уровня конфиденциальности
и ему необходимо ознакомление с данной
информацией или необходимы действия
с ней для выполнения производственных
функций;
- персональную ответственность,
заключающуюся в том, что исполнитель
(пользователь) должен нести ответственность
за сохранность доверенных ему документов
(носителей информации, информационных
массивов), за свои действия в информационных
системах;
- надежность хранения,
когда документы (носители информации,
информационные массивы) хранятся в условиях,
исключающих несанкционированное ознакомление
с ними, их уничтожение, подделку или искажение;
- разграничение
информации по уровню конфиденциальности,
заключающееся в предупреждении показания
сведений более высокого уровня конфиденциальности
в документах (носителях информации, информационных
массивах) с более низким уровнем конфиденциальности,
а также предупреждение передачи конфиденциальной
информации по незащищенным линиям связи;
- контроль за действиями
исполнителей (пользователей) с документацией
и сведениями, а также в автоматизированных
системах и системах связи;
- очистку (обнуление,
исключение информативности) оперативной
памяти, буферов при освобождении пользователем
до перераспределения этих ресурсов между
другими пользователями;
- целостность технической
и программной среды, обрабатываемой информации
и средств защиты, заключающаяся в физической
сохранности средств информатизации,
неизменности программной среды, определяемой
предусмотренной технологией обработки
информации, выполнении средствами защиты
предусмотренных функций, изолированности
средств защиты от пользователей.
Требование
обоснованности доступа реализуется
в рамках разрешительной системы
допуска к работам, документам и
сведениям, в которой устанавливается:
кто, кому, в соответствии с какими
полномочиями, какие документы и
сведения (носители информации, информационные
массивы) для каких действий или
для какого вида доступа может
предоставить и при каких условиях,
и которая предполагает определение
для всех пользователей автоматизированных
систем информационных и программных
ресурсов, доступных им для конкретных
операций (чтение, запись, модификация,
удаление, выполнение) с помощью заданных
программно-технических средств доступа.
- росписи исполнителей
в журналах, карточках учета, других разрешительных
документах, а также на самих документах;
- индивидуальной
идентификации пользователей и инициированных
ими процессов в автоматизированных системах;
- проверки подлинности
(аутентификации) исполнителей (пользователей)
на основе использования паролей, ключей,
магнитных карт, цифровой подписи, а также
биометрических характеристик личности
как при доступе в автоматизированные
системы, так и в выделенные помещения
(зоны).
- хранилищ конфиденциальных
документов, оборудованных техническими
средствами охраны в соответствии с установленными
требованиями, доступ в которые ограничен
и осуществляется в установленном порядке;
- выделения помещений,
в которых разрешается работа с конфиденциальной
документацией, оборудованных сейфами
и металлическими шкафами, а также ограничения
доступа в эти помещения;
- использования
криптографического преобразования информации
в автоматизированных системах.
- предварительно
учтенных тетрадей для ведения конфиденциальных
записей или носителей информации, предназначенных
для информации определенного уровня
секретности.
- организационных
мер контроля при работе исполнителей
с конфиденциальными документами и сведениями;
- регистрации (протоколирования)
действий пользователей с информационными
и программными ресурсами автоматизированных
систем с указанием даты и времени, идентификаторов
запрашивающего и запрашиваемых ресурсов,
вида взаимодействия и его результата,
включая запрещенные попытки доступа;
- сигнализации о
несанкционированных действиях пользователей.
Очистка памяти
осуществляется организационными и
программными мерами, а целостность
автоматизированных систем обеспечивается
комплексом программно- технических средств
и организационных мероприятий.
Основным
направлением защиты информации от утечки
за счет ПЭМИН является уменьшение
отношения информативного сигнала
к помехе до предела, определяемого
"Нормами эффективности защиты
АСУ и ЭВМ от утечки информации
за счет ПЭМИН", при котором восстановление
сообщений становится принципиально
невозможным. Решение этой задачи достигается
как снижением уровня излучений
информационных сигналов, так и увеличением
уровня помех в соответствующих
частотных диапазонах.
Первый
способ реализуется выбором системно-технических
и конструкторских решений при
создании технических средств ЭВТ
в "защищенном исполнении", а также
рациональным выбором места размещения
технических средств относительно направлений
возможного перехвата информативного
сигнала.
Второй
способ реализуется в основном за
счет применения активных средств защиты
в виде "генераторов шума" и
специальной системы антенн.
К основным
видам линий связи, используемых
для передачи информации, можно отнести
проводные (телефонные, телеграфные), радио
и радиорелейные, тропосферные и
космические линии связи.
При необходимости
передачи по ним конфиденциальной информации
основным направлением защиты информации,
передаваемой по всем видам линий
связи, от перехвата, искажения и
навязывания ложной информации является
использование крипто-логического
преобразования информации, а на небольших
расстояниях, кроме того, использование
защищенных волоконно-оптических линий
связи.
Для защиты
информации должны использоваться средства
криптографической защиты данных гарантированной
стойкости для определенного
уровня конфиденциальности передаваемой
информации и соответствующая ключевая
система, обеспечивающая надежный обмен
информацией и аутентификацию (подтверждение
подлинности) сообщений.
Одним из методов
технической разведки и промышленного
шпионажа является внедрение в конструкцию
технических средств информатизации
закладных устройств перехвата,
трансляции информации или вывода технических
средств из строя.
В целях
противодействия такому методу воздействия
на объекты информатики, для технических
средств информатизации, предназначенных
для обработки конфиденциальной
информации, в обязательном порядке
проводится проверка этих средств, осуществляемая
специализированными организациями
с помощью специальных установок
и оборудования, как правило, в
стационарных условиях в соответствии
с установленными требованиями.