Информационная безопасность. Курс лекций - А. Артемов

• средства защиты помещений от визуальных способов технической разведки;

• средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);

• средства противопожарной охраны;

• средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т. п.);

• технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т. п. Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя:

• автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;

• программы защиты информации, работающие в комплексе с программами обработки информации;

• программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.).

Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии. Элемент включает:

• регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;

• определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;

• регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи;

• регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;

• регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.

Составные части криптографической защиты, коды, пароли и другие ее атрибуты разрабатываются и меняются специализированной организацией. Применение пользователями собственных систем шифровки не допускается.

В каждом элементе защиты могут быть реализованы на практике только отдельные составные части в зависимости от поставленных задач защиты в крупных и некрупных фирмах различного профиля, малом бизнесе. Структура системы, состав и содержание элементов, их взаимосвязь зависят от объема и ценности защищаемой информации, характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы. Например, в некрупной фирме с небольшим объемом защищаемой информации можно ограничиться регламентацией технологии обработки и хранения документов, доступа персонала к документам и делам. Можно дополнительно выделить в отдельную группу и маркировать ценные бумажные, машиночитаемые и электронные документы, вести их опись, установить порядок подписания сотрудниками обязательства о неразглашении тайны фирмы, организовывать регулярное обучение и инструктирование сотрудников, вести аналитическую и контрольную работу. Применение простейших методов защиты, как правило, дает значительный эффект.

В крупных производственных и исследовательских фирмах с множеством информационных систем и значительными объемами защищаемых сведений формируется многоуровневая система защиты информации, характеризующаяся иерархическим доступом к информации. Однако эти системы, как и простейшие методы защиты, не должны создавать сотрудникам серьезные неудобства в работе, т. е. они должны быть «прозрачными».

Содержание составных частей элементов, методы и средства защиты информации в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации фирмы всегда является строго конфиденциальной, секретной. При практическом использовании системы следует помнить, что лица, проектирующие и модернизирующие систему, контролирующие и анализирующие ее работу не могут быть пользователями этой системы.

Вывод: безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. Задачи обеспечения безопасности информации реализуются комплексной системой защиты информации, которая по своему назначению способна решить множество проблем, возникающих в процессе работы с конфиденциальной информацией и документами. Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является прежде всего организация в фирме аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы защиты и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.

Лекция 3

Аналитическая работа в сфере безопасности информационных ресурсов

Учебные вопросы:

1. Понятие информационно-аналитической работы.

2. Направления аналитической работы

3. Этапы аналитической работы.

4. Методы аналитической работы

Вопрос 1. Понятие информационно-аналитической работы

Аналитические методы обработки информации очень важны и успешно используются большинством фирм. Не в последнюю очередь в аналитической обработке нуждаются сведения, получаемые и используемые службой безопасности фирмы. Такие сведения отрывочны, противоречивы, зачастую недостоверны, но именно на их основе принимаются жизненно важные для фирмы решения. Информационно-аналитическая деятельность службы безопасности фирмы представляет собой системное получение, анализ и накопление информации с элементами прогнозирования по вопросам, относящимся к безопасности фирмы, и на этой основе консультирование и подготовка рекомендаций руководству о правомерной защите от противоправных посягательств. Служба безопасности проводит аналитическую работу не только с целью предотвратить утрату собственной информации, но и с целью получения информации о конкурентах. Являясь ядром такого понятия, как «разведка в бизнесе», аналитическая обработка информации позволяет получать по различным оценкам от 80 до 90 % необходимой информации при использовании только открытых источников.

Руководитель каждой фирмы имеет собственный взгляд на построение, направления работы и структуру информационно-аналитической службы (ИАС). На основе многолетнего опыта работы в этой области как отечественных, так и зарубежных специалистов сформировалось мнение, что в силу определенных причин наиболее эффективно такие службы функционируют как ядро службы безопасности. В первую очередь это объясняется тем, что основным потребителем аналитически обработанных данных является сама служба безопасности как подразделение, наиболее нуждающееся в аналитически обработанных данных, работающее на опережение и прогнозирование событий. Кроме того, в ходе аналитической работы очень часто используются (или могут быть получены) конфиденциальные сведения, что также подтверждает рациональность размещения ИАС в службе безопасности. Даже не являющиеся конфиденциальными аналитически обработанные данные представляют собой наиболее ценные информационные ресурсы фирмы.

В настоящее время ИАС фирмы рассматривается как основной поставщик аналитически обработанной информации для нужд всех подразделений фирмы. Основной задачей ИАС становится информационно-аналитическое обеспечение принятия решений по вопросам прежде всего основной деятельности. Таким образом, сотрудники фирмы или его подразделений могут заказать аналитический отчет по интересующему вопросу для принятия более рационального и взвешенного решения. В этой связи очень важной проблемой становится обеспечение информационной безопасности аналитически обработанных данных, представляющих собой ценный информационный ресурс фирмы наряду с другими конфиденциальными сведениями. Процесс заказа аналитического отчета должен быть четко регламентирован, чтобы только сотрудники определенного уровня имели право давать задания ИАС фирмы. Все заказы на аналитические исследования должны фиксироваться, причем темы исследований и авторы заказов на них должны тщательно регламентироваться. Доступ к аналитически обработанным данным должен быть строго ограничен.