Служебная тайна и конфиденциальность информации

     Пространственные  меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радио-электронных средств (РЭС).

     Режимные  меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и др.

     Энергетические - это снижение интенсивности излучения и работа РЭС на пониженных мощностях.

     Технические мероприятия это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИ которых не превышают границу охраняемой территории.

     Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию.

     Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.

     Подавление - это создание активных помех средствам злоумышленников.

     Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующие признаков деятельности и опознавания.

     Защитные  меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств фильтров и устройств зашумления.

3.4. Система защиты информации

 

       Под Системой безопасности будем  понимать организационную совокупность  специальных органов, служб, средств,  методов и мероприятий, обеспечивающих  защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз 

     Система безопасности

     Задачи:

• Разработка планов и мер по защите информации;
• Формирование, обеспечение и развитие органов, сил и средств обеспечения безопасности;
• Восстановление объектов защиты

     Цели:

• Выявление угрозы;
• Предотвращение угрозы;
• Нейтрализация угрозы;
• Пресечение угрозы;
• Локализация угрозы;
• Отражение угрозы;
• Уничтожение угрозы

     Система защиты информации (СЗИ) – это организованная совокупность специальных органов средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

     С позиций системного подхода к  защите информации предъявляются определенные требования. Защита информации должна быть:

        1. Непрерывной.

        2. Плановой. Каждая служба разрабатывает план защиты информации в сфере своей компетенции.

        3. Целенаправленной. Защищается то, что должно защищаться в интересах  конкретной цели.

        4. Конкретной. Защищаются конкретные  данные, объективно подлежащие защите.

        5. Активной.

        6. Надежной.

        7. Универсальной. Распространяется  на любые каналы утечки информации.

        8. Комплексной. Применяются все  необходимые виды и формы защиты.

            Для реализации данных требований  СЗИ может иметь следующее  обеспечение:

        1. Правовое.

        2. Организационное. Различные виды служб.

        3. Аппаратное. Технические средства  защиты информации.

        4. Информационное. Сведения, данные, показатели.

        5. Программное. Программы.

        6. Математическое. Математические методы.

        7. Лингвистическое. Языковые средства общения.

        8. Нормативно-методическое. Регламент  деятельности служб, практические  методики.

     Способы - это порядок и приемы использования  сил и средств для достижения поставленной цели по защите конфиденциальной информации.

     Способы защиты информации - это совокупность приемов, сил и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность информации, и противодействие внутренним и внешним угрозам.

     Обеспечение информационной безопасности достигается  системой мер, направленных на:

• предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;
• выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
• обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
• локализацию преступных действий и принятие мер по ликвидации угрозы или

конкретных  преступных действий;

• ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

     Предупреждение  возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой,  эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.

     Предупреждение  угроз возможно и путем получения (если хотите — и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.

     В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.

     Выявление имеет целью проведение мероприятий  по сбору, накоплению и аналитической  обработке сведений о возможной  подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции.

     Обнаружение угроз - это действия по определению  конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов.

     Пресечение  или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.

     Ликвидация  последствий имеет целью восстановление состояния предшествовавшего наступлению угрозы.

     Естественно предположить, что каждому виду угроз  присущи его специфические способы, силы и средства.

 

Заключение

     Поскольку человеческий фактор является ключевым для обеспечения должного уровня безопасности, то все сотрудники должны иметь представление о возможных угрозах и проблемах и должны в своей работе реализовывать политику информационной безопасности компании. Для достижения этого должно проводиться обучение сотрудников, имеющих доступ к важной информации.

     Службой безопасности компании должны быть обеспечены физическая безопасность и контроль доступа к ресурсам:

• Рабочие места сотрудников, лаборатории и серверные должны располагаться в отдельных помещениях;
• Доступ к ресурсам, а также безопасность внутри центра разработки компании должны эффективно контролироваться с целью обеспечения непрерывности производственных процессов;
• Доступ к помещениям с дорогостоящими системами и носителями конфиденциальной информации должны контролироваться круглосуточно.

     Также в компании должен быть разработан и внедрен план по обеспечению  непрерывности бизнес-процессов. План должен включать в себя регулярное проведение внутренних аудитов, учений по восстановлению после аварий и  ликвидации последствий чрезвычайных происшествий.

     Технические средства должны анализировать информацию, передаваемую по возможным каналам, и, в случае обнаружения конфиденциальной информации, препятствовать ее утечке в соответствии с правилами и  политикой информационной безопасности компании.

     Важно помнить, что универсальной 100%-й защиты от утечки информации не существует нигде и не будет существовать никогда. Следовательно, степень защиты информации от утечки может быть определена как соотношение затрат на защиту и стоимости самой защищаемой информации. 

 

Список  используемых источников

 
     

1. Бармен  Скотт. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.
2. Бастриков, М.В. Информационные технологии управления: Учебное пособие /М.В.Бастриков, О.П.Пономарев; Институт «КВШУ».– Калининград: Изд-во Ин-та «КВШУ», 2005
3. Домарев В. В. Безопасность информационных технологий. Системный подход — К.: ООО ТИД Диа Софт, 2004. — 992 с.
4. Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х тт.
5. Информационная безопасность и защита информации: Учебное пособие. - Ростов-на-Дону: Ростовский юридический институт МВД России, 2004. - 82 с.
6. Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8.
7. Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
8. «Служба защиты информации: первые шаги» //КомпьютерПресс 9'2008 (http://www.compress.ru/Index.aspx)
9. http://www.microtest.ru/solutions/cmd/2575/
10. http://ru.wikipedia.org/wiki/Информационная_безопасность