Măsuri organizatorice și tehnice pentru asigurarea protecției informațiilor. Măsuri organizatorice și tehnice pentru protecția tehnică a informațiilor confidențiale

Se determină gradul de relevanță a problemei securității informațiilor la ora actuală. Sunt prezentate principalele definiții legate de inginerie și protecție tehnică. Sunt descrise etapele asigurării protecției informațiilor necesare întreprinderilor. S-a realizat distribuirea obiectelor protejate în clasele corespunzătoare. Sunt descrise posibilele canale de scurgere de informații și este prezentată o clasificare a canalelor tehnice de scurgere de informații. Cerințe stabilite pentru domeniul și natura unui set de măsuri menite să protejeze informații confidențiale de la scurgeri prin canalele tehnice în timpul funcționării obiectului protejat. Sunt indicați principalii funcționari ai întreprinderii responsabile cu implementarea securitatea informatiei. Vizualizări luate în considerare mijloace tehnice primirea, prelucrarea, stocarea și transmiterea informațiilor. Sunt descrise principalele metode și mijloace de protejare a informațiilor împotriva scurgerilor prin canale tehnice - organizatorice, de căutare și tehnice. Sunt prezentate metode de protecție activă și pasivă a informațiilor.

protejarea datelor

facilităţi

canale de scurgere

clasificare

informație

1. Khorev A.A. Organizarea protecției informațiilor împotriva scurgerilor prin canale tehnice // Tehnica specială. - 2006. - Nr. 3.

2. Khalyapin D.B. Protejarea datelor. Ești auzit? Protejeaza-te. - M .: NO SHO Bayard, 2004.

3. Averchenkov V.I., Rytov M.Yu. Serviciul de securitate a informațiilor: organizare și management: tutorial pentru universități [ resursă electronică] - M.: FLINTA, 2011.

4. Torokin A.A. Fundamentele ingineriei și protecția tehnică a informațiilor. – M.: Gelius, 2005.

5. Buzov G.A. Protecție împotriva scurgerilor de informații prin canale tehnice. M.: Linia fierbinte, 2005.

Informația este acum cheia. Informații - informații despre persoane, fapte, evenimente, fenomene și procese, indiferent de forma de prezentare a acestora. Deținerea de informații în orice moment a oferit avantaje părții care avea informații mai exacte și mai extinse, mai ales dacă se referea la informații despre rivali sau concurenți. „Cine deține informațiile deține lumea” (Nathan Rothschild - bancher și politician britanic).

Problema securității informației a existat dintotdeauna, dar în prezent, datorită saltului uriaș în progresul științific și tehnologic, ea a căpătat o relevanță deosebită. Prin urmare, sarcina specialiștilor în securitatea informațiilor este să stăpânească întreaga gamă de tehnici și metode de securitate a informațiilor, metode de modelare și proiectare a sistemelor de securitate a informațiilor. Una dintre modalitățile de protejare a informațiilor este protecția tehnică și tehnică a informațiilor. Ingineria și protecția tehnică reprezintă un ansamblu de organisme speciale, mijloace tehnice și măsuri pentru utilizarea acestora în interesul protejării informațiilor confidențiale.

Scurgerea de informații este înțeleasă ca un proces neautorizat de transfer de informații de la o sursă la un concurent. Calea fizică a transferului de informații de la sursa sa la un destinatar neautorizat se numește canal de scurgere. Canalul în care se efectuează transferul neautorizat de informații folosind mijloace tehnice se numește canal tehnic de scurgere de informații (TCLE). Clasificarea canalelor tehnice de scurgere de informații este prezentată în figură.

Pentru a asigura o protecție de înaltă calitate a informațiilor împotriva scurgerilor prin canale tehnice, în primul rând, este necesară o abordare diferențiată a informațiilor protejate. Pentru a face acest lucru, ele trebuie împărțite în categorii și clase adecvate. În acest caz, clasificarea obiectelor se realizează în conformitate cu sarcinile de protecție tehnică a informațiilor. De asemenea, stabilește cerințe privind domeniul de aplicare și natura unui set de măsuri care vizează protejarea informațiilor confidențiale împotriva scurgerii prin canale tehnice în timpul funcționării obiectului protejat.

Clasa de protecție A include obiectele asupra cărora se realizează disimularea completă a semnalelor informaționale care decurg din prelucrarea informațiilor sau negociere (ascunderea faptului de prelucrare a informațiilor confidențiale la instalație).

Clasificarea canalelor tehnice de scurgere de informații

Clasa de protectie B include obiectele asupra carora sunt ascunsi parametrii semnalelor informative care apar in timpul procesarii sau negocierii informatiilor, pentru care este posibila restaurarea informatiilor confidentiale (ascunderea informatiilor procesate la obiect).

În funcție de natura sursei de informații confidențiale, canalele de scurgere sunt clasificate după cum urmează:

• canale electromagnetice de scurgere de informații în domeniul de frecvență radio al undelor electromagnetice, în care semnul tehnic de recunoaștere (demascare) a obiectelor protejate este radiația electromagnetică, ai căror parametri caracterizează calitativ sau cantitativ un obiect specific de protecție;
• canale electromagnetice de scurgere de informații în domeniul infraroșu al undelor electromagnetice, în care caracteristica tehnică de demascare a obiectului de protecție este radiația proprie a obiectelor din acest interval;
• canal acustic de scurgere de informații. Folosit pentru a obține informații în vorbirea acustică și inteligența semnalului;
• canale hidroacustice de scurgere de informații. Este utilizat la primirea de informații despre transmiterea comunicațiilor de informații sonore, recunoașterea câmpurilor de zgomot și a semnalelor hidroacustice;
• canale de scurgere a informațiilor seismice, care permit, prin detectarea și analiza câmpurilor de deformare și forfecare de pe suprafața pământului, să se determine coordonatele și puterea diferitelor explozii, precum și să intercepteze negocierile în desfășurare la mică distanță;
• canale de scurgere de informații magnetometrice care oferă informații despre obiecte prin detectarea modificărilor locale camp magnetic Pământul afectat de obiect;
• canale chimice de scurgere de informații, permițând obținerea de informații despre obiect prin contact sau analiza de la distanță a modificărilor compoziție chimică mediul care inconjoara obiectul.

Procesul de asigurare a securității informațiilor poate fi împărțit în mai multe etape.

Prima etapă (analiza obiectului de protecție) este de a determina ceea ce trebuie protejat.

Analiza se realizează în următoarele domenii:

• se determină informațiile care trebuie protejate în primul rând;
• ies în evidență cel mai mult elemente importante informații (critice) protejate;
• se determină durata de viață a informațiilor critice (timpul necesar unui concurent pentru a implementa informațiile obținute);
• sunt determinate elementele cheie ale informațiilor (indicatorii) care reflectă natura informațiilor protejate;
• indicatorii sunt clasificați în funcție de domeniile funcționale ale întreprinderii (procese de producție și tehnologice, sistemul de logistică pentru producție, divizii, management etc.).

Al doilea pas este identificarea amenințărilor:

• se stabilește - cine poate fi interesat de informațiile protejate;
• sunt evaluate metodele utilizate de concurenți pentru a obține aceste informații;
• sunt evaluate canalele probabile de scurgere de informații;
• se dezvoltă un sistem de măsuri pentru a suprima acțiunile unui concurent.

Cel de-al treilea analizează eficacitatea adoptatului și în mod constant subsisteme de operare securitate (securitatea fizică a documentației, fiabilitatea personalului, securitatea liniilor de comunicație utilizate pentru transferul informațiilor confidențiale etc.).

În al patrulea rând - definirea măsurilor de protecție necesare. Pe baza primelor trei etape ale studiilor analitice se determină măsurile și mijloacele suplimentare necesare pentru asigurarea securității întreprinderii.

În al cincilea rând - liderii firmei (organizației) iau în considerare propunerile depuse pentru toate măsurile de securitate necesare și calculează costul și eficacitatea acestora.

Al șaselea - implementare măsuri suplimentare securitate, ținând cont de prioritățile stabilite.

Al șaptelea este implementarea controlului și aducerea măsurilor de securitate implementate în atenția personalului companiei.

În cadrul organizației, procesul de protecție a informațiilor trece, într-o măsură sau alta, prin etapele de mai sus.

Sistemul de securitate al întreprinderii este înțeles în prezent ca un ansamblu organizat de organisme speciale, servicii, mijloace, metode și măsuri care asigură protecția intereselor vitale ale individului, întreprinderii și statului de amenințările interne și externe.

Sistemul de securitate al companiei este format din următoarele elemente principale (funcționari și organisme):

• Șeful companiei care se ocupă de problemele de securitate a informațiilor.
• Consiliul de Securitate al Companiei.
• Serviciul de securitate al companiei.
• Departamentele firmei implicate în asigurarea securității firmei.

Managementul siguranței este atribuit, de regulă, șefului companiei și adjunctului acestuia pt probleme generale(1-adjunct), căruia îi este direct subordonat serviciul de securitate.

Pentru a organiza protecția informațiilor la întreprindere este necesară formarea unui Consiliu de Securitate. Este un organ colegial aflat în fruntea societății, a cărui componență este desemnată de acesta dintre funcționarii calificați și responsabili de securitatea informațiilor. Consiliul de Securitate elaborează propuneri pentru manager cu privire la principalele probleme de asigurare a protecției informațiilor, inclusiv:

• domeniile de activitate ale companiei pentru asigurarea securității;
• îmbunătățirea sistemului de securitate;
• interacțiunea cu autoritățile, clienții, partenerii, concurenții și consumatorii de produse etc.

Alături de mijloacele tehnice de primire, prelucrare, stocare și transmitere a informațiilor (TSPI), în sediul sunt instalate mijloace și sisteme tehnice care nu sunt direct implicate în prelucrarea informațiilor confidențiale, dar sunt utilizate împreună cu TSPI și sunt situate în zona câmpului electromagnetic creat de acestea. Astfel de mijloace și sisteme tehnice sunt numite mijloace și sisteme tehnice auxiliare (ATSS).

În organizații, lucrați la inginerie și protectie tehnica Informația constă de obicei în două etape:

• construirea sau modernizarea sistemului de protectie;
• menținerea securității informațiilor la nivelul cerut.

Formarea unui sistem de securitate a informațiilor se realizează într-un nou organizații înființate, în rest, sistemul existent este în curs de modernizare.

În funcție de obiective, procedura de realizare a măsurilor de asigurare a securității informațiilor și a echipamentelor utilizate, metodele și mijloacele de protecție împotriva scurgerii de informații prin canale tehnice pot fi împărțite în organizatorice, de căutare și tehnice.

Modalități organizaționale de protejare

Aceste măsuri sunt efectuate fără utilizarea de echipamente speciale și implică următoarele:

• stabilirea unei zone controlate în jurul obiectului;
• introducerea restricțiilor de frecvență, energie, temporale și spațiale în modurile de funcționare a mijloacelor tehnice de primire, prelucrare, stocare și transmitere a informațiilor;
• deconectarea pe perioada ședințelor închise a mijloacelor și sistemelor tehnice auxiliare (VTSS), care au calitățile convertoarelor electro-acustice (telefon, fax etc.), de la liniile de legătură;
• utilizați numai certificate TSPI și HTSS;
• implicarea în construcția și reconstrucția spațiilor alocate (protejate), instalarea echipamentelor TSPI, precum și în activitatea de protejare a informațiilor, numai organizațiile autorizate de serviciile relevante să opereze în acest domeniu;
• categorizarea și certificarea obiectelor de informatizare și a spațiilor alocate pentru respectarea cerințelor de asigurare a protecției informațiilor atunci când se lucrează cu informații de diferite grade de secretizare;
• regim de restricție a accesului la unitățile de cazare TSPI și la spațiile alocate.

Activități de căutare

Dispozitivele portabile de ascultare (ipotecare) sunt identificate în timpul anchetelor și inspecțiilor speciale. Inspecția unităților de cazare TSPI și a spațiilor alocate se efectuează fără utilizarea echipamentului prin inspecție vizuală. În timpul unei verificări speciale efectuate folosind pasiv (recepție) și activ instrumente de căutare, executat:

• controlul spectrului radio și al radiațiilor electromagnetice false ale TSPI;
• detecție cu ajutorul indicatorilor câmpului electromagnetic, interceptoare, frecvențemetre, scanere sau sisteme software și hardware din culise instalate dispozitive de ascultare;
• o verificare specială a spațiilor alocate, TSPI și HTSS folosind locatoare neliniare și unități mobile de raze X.

Protectie tehnica

Astfel de evenimente se desfășoară folosind tehnici și mijloace de protecție atât pasive, cât și active. La pasiv modalități tehnice protecțiile includ:

• instalarea sistemelor de restricționare și control al accesului la unitățile de cazare TSPI și în spațiile alocate;
• ecranarea TSPI și liniile de legătură ale mijloacelor;
• împământarea TSPI și ecranele liniilor de conectare ale dispozitivelor;
• izolarea fonică a spațiilor alocate;
• încorporare în VTSS, având efect de „microfon” și având o ieșire dincolo de zona controlată, filtre speciale;
• introducerea surselor autonome și stabilizate, precum și a dispozitivelor de alimentare neîntreruptă în circuitul de alimentare TSPI;
• instalarea în circuitele de alimentare cu energie electrică ale TSPI, precum și în rețelele electrice ale spațiilor dedicate a filtrelor de suprimare a zgomotului.

Influența activă asupra canalelor de scurgere se realizează prin implementarea:

• zgomot spațial generat de generatoarele de zgomot electromagnetic;
• interferențe țintite generate la frecvențele de funcționare ale canalelor radio ale dispozitivelor de interceptare cu emițătoare speciale;
• interferențe acustice și de vibrații generate de dispozitivele de protecție vibroacustică;
• suprimarea înregistratoarelor de voce prin dispozitive de emisie radio direcțională de înaltă frecvență;
• rețele electrice zgomotoase, conductori străini și linii de legătură ale VTSS care trec dincolo de zona controlată;
• moduri de distrugere termică dispozitive electronice.

Ca urmare a utilizării fondurilor pentru realizarea măsurilor de asigurare a protecției inginerești și tehnice a informațiilor, organizația va reduce semnificativ probabilitatea realizării amenințărilor, ceea ce contribuie, fără îndoială, la păstrarea capitalului material și intelectual al întreprinderii.

Recenzători:

Kitova O.V., Doctor în Economie, Profesor, Șef al Departamentului de Informatică, FSBEI HPE „Universitatea Rusă de Economie numită după G.V. Plekhanov” al Ministerului Educației și Științei al Federației Ruse, Moscova;

Petrov L.F., Doctor în Științe Tehnice, Profesor al Departamentului de Metode Matematice în Economie, G.V. Plekhanov” al Ministerului Educației și Științei al Federației Ruse, Moscova.

Lucrarea a fost primită de redactori pe 18 martie 2014.

Link bibliografic

Măsurile tehnice asigură blocarea dezvăluirii și scurgerii de informații confidențiale prin mijloacele tehnice de asigurare a activităților de producție și de muncă, precum și contracararea mijloacelor tehnice de spionaj industrial cu ajutorul mijloacelor tehnice speciale instalate pe elementele structurale ale clădirilor, incintelor și mijloace tehnice care pot forma canale de scurgere de informații.

Măsurile tehnice asigură achiziționarea, instalarea și utilizarea în procesul de producție a unor mijloace tehnice speciale, protejate de radiații false și interferențe, pentru prelucrarea informațiilor sau mijloacelor confidențiale.

Mijloace de protecţie tehnică: - mijloace de protecţie: securitate şi securitate-alarma incendiu; televiziune de securitate; sisteme de control acces; mijloace de securitate liniară - mijloace de protecție a informațiilor: mijloace de detectare și identificare a KU în UA; mijloace de protecție și contramăsuri; mijloace de cercetare sistematică. - mijloace de protejare a programelor: software; hardware; combinate. - mijloace de control: radiologic; toxicologice; pirotehnic; detectoare de metale. 8

4.4. Managementul personalului

În activitatea de protejare a activităților de afaceri de diferite tipuri de amenințări, un loc important îl ocupă personalul întreprinderii. Importanța lucrului cu personalul este determinată de faptul că, dacă un angajat dorește să dezvăluie informații care sunt secrete comerciale, nici măcar mijloacele costisitoare de protecție nu vor putea preveni acest lucru.

Organizarea protecției efective a securității economice a întreprinderii din partea personalului cuprinde trei etape principale de lucru cu angajații admiși la informații confidențiale: preliminar (în perioada premergătoare angajării); curent (în perioada de muncă a salariatului); definitivă (în timpul concedierii unui salariat).

Etapa preliminară este cea mai responsabilă și, în consecință, mai dificilă. În primul rând, pe baza fișei postului și a caracteristicilor activității, se elaborează cerințe pentru candidatul pentru post. Acestea includ nu numai cerințe formale - sex, vârstă, educație, experiență de muncă, ci și o serie de calități morale și psihologice pe care un candidat trebuie să le posede. Acest lucru vă permite să clarificați ce fel de angajat are nevoie compania și candidatul însuși - să-și compare propriile calități cu cele cerute.

Apoi se face selecția candidaților pentru postul vacant. Metodele de selecție a candidaților pot fi variate. Ar trebui să se acorde prioritate acelor metode care minimizează posibilitatea pătrunderii de către persoane fără scrupule, sau care reprezintă interesele concurenților sau structurilor criminale. Acestea includ: aplicarea la serviciile de ocupare a forței de muncă, agențiile de recrutare forta de muncași alte organizații similare; căutarea de candidați în rândul studenților și absolvenților instituțiilor de învățământ superior; selectarea candidaților la recomandările firmelor partenere; selectarea candidaților la recomandările angajaților de încredere ai companiei.

Selecția bazată pe o cerere aleatorie a candidaților direct la firmă poate reprezenta o amenințare la adresa securității economice a acesteia în viitor. Potrivit, mai ales când selectie aleatorie candidat, face o cerere pentru un loc de muncă anterior pentru a obține o descriere a calităților sale morale și de afaceri, precum și date privind condamnările anulate. Pentru o cunoaștere mai completă a personalității candidatului, se poate apela la serviciile organelor de afaceri interne. Organele de afaceri interne furnizează informații despre prezența (absența) cazierului judiciar al candidatului și despre persoanele căutate.

După examinarea documentelor candidatului (documente personale, studii, poziție anterioară și experiență de muncă, caracteristici și recomandări), iar acestea din urmă cu cerințele pentru acesta și recunoașterea respectării reciproce, se realizează un interviu cu angajatul departamentului de personal al candidatului. Candidatul completează chestionarul, răspunde la întrebări, inclusiv profesionale și teste psihologice. Calitățile psihologice ale candidatului nu sunt mai puțin importante decât cele profesionale. Selecția psihologică permite nu numai aflarea calităților morale și etice ale candidatului, slăbiciunile acestuia, stabilitatea psihică, dar și posibilele sale înclinații criminale, capacitatea de a păstra secrete.

În cazul în care candidatul trece cu succes proba și îl recunoaște ca fiind adecvat pentru post, se încheie (semnează) două documente:

Contract de munca (contract). Contractul trebuie să conțină o clauză privind obligația angajatului de a nu dezvălui informații confidențiale (secretul comercial) și de a respecta măsurile de securitate;

Un acord (obligații) privind nedivulgarea informațiilor confidențiale (secrete comerciale), care este un document legal în care un candidat pentru o funcție vacantă promite să nu dezvăluie informațiile pe care le va cunoaște în timpul activității sale în companie, precum și răspunderea pentru dezvăluirea sau nerespectarea regulilor de siguranță.

Activitatea directă a unui angajat nou angajat, în vederea verificării conformității acestuia cu funcția ocupată și respectarea regulilor de lucru cu informații confidențiale, ar trebui să înceapă cu o perioadă de probă, la finalul căreia se ia o decizie finală privind angajarea unui candidat pentru un loc de muncă permanent.

În procesul de muncă constantă, este necesar să se determine procedura prin care angajații pot accesa informații confidențiale (secrete comerciale). Toți angajații companiei (întreprinderii) care se ocupă de informații confidențiale au dreptul de a se familiariza cu acestea din urmă numai în măsura în care este prevăzut de atributii oficialeși obligat să lucreze. În acest sens, fiecare poziție ar trebui să prevadă dreptul de a primi o anumită cantitate de informații confidențiale, a cărei ieșire va fi considerată o încălcare a obligațiilor și va reprezenta o anumită amenințare la adresa securității companiei. Mărimea acestei liste este determinată de șeful companiei sau de o comisie specială. În conformitate cu acesta, fiecare angajat primește acces la informații confidențiale de un anumit nivel.

O modalitate eficientă de a proteja informațiile, mai ales dacă compania are un număr de industrii (ateliere, divizii, site-uri), este limitarea accesului fizic (deplasarea) personalului către alte domenii care nu sunt legate de atribuțiile funcționale ale angajaților. Vizitarea teritoriilor „închise” se face numai cu permisiunea conducerii.

O tehnică originală de securitate a informațiilor folosită de unele firme este împărțirea informațiilor omogene în blocuri independente separate și familiarizarea angajaților cu doar unul dintre ele, ceea ce nu permite angajaților să prezinte starea generală a lucrurilor în acest domeniu.

Concluzie

Informațiile comerciale sunt informații despre situația actuală de pe piață pentru diverse bunuri și servicii. Aceasta include indicatori cantitativi și calitativi ai activităților comerciale ale companiei, diverse informații și date privind activitățile comerciale (prețuri, furnizori, concurenți, termene de livrare, calcule, gama de mărfuri etc.). Scopul informațiilor comerciale este că vă permite să vă analizați activitățile de afaceri, să le planificați și să monitorizați rezultatele. Sursele de informații comerciale sunt personalul, documentele, publicațiile, mediile tehnice, produsele.

Secret comercial - interese economice și informații despre diverse aspecte și domenii ale producției, activități economice, manageriale, științifice, tehnice, financiare ale companiei, ascunse în mod deliberat din motive comerciale, a căror protecție se datorează intereselor concurenței și posibilelor amenințări la adresa securitatea economică a companiei. Un secret comercial apare atunci când este de interes pentru comerț.

Într-o economie de piață, antreprenorii se confruntă cu noi provocări și probleme, de soluția adecvată a cărora depind perspectivele de afaceri. Prin urmare, în activitatea economică a întreprinderilor și organizațiilor s-au dezvoltat obiectiv priorități fundamental noi - protecția informațiilor în domeniul secretelor comerciale în vederea asigurării securității economice.

Principalele modalități de a proteja informațiile:

Legislativ. Se bazează pe respectarea acelor drepturi ale unui antreprenor la informații confidențiale, care sunt cuprinse în legislația rusă.

organizatoric. Include: introducerea unui post sau crearea unui serviciu responsabil cu clasificarea unor informații ca fiind confidențiale, respectarea regulilor de accesare și utilizare a acestor informații; separarea informațiilor în funcție de gradul de confidențialitate și organizarea accesului la informații confidențiale numai în conformitate cu funcția sau cu permisiunea conducerii; respectarea regulilor de utilizare a informațiilor; disponibilitatea unui sistem permanent de control asupra respectării regulilor de acces și utilizare a informațiilor.

Tehnic. Se folosesc mijloace de control și protecție (dispozitive de semnalizare, camere video, microfoane, instrumente de identificare, software pentru protejarea sistemelor informatice împotriva accesului neautorizat).

Lucrați cu personalul. Presupune munca activă a departamentelor de personal ale companiei în recrutarea, testarea, instruirea, plasarea, promovarea și stimularea personalului. Personalul ar trebui să fie informat în mod regulat cu privire la necesitatea respectării regulilor de utilizare a informațiilor confidențiale și a răspunderii pentru încălcări.

Lista surselor literare folosite

KHOREV Anatoly Anatolievici, doctor în științe tehnice, profesor

Dispoziții generale

Informațiile protejate se referă la informațiile care fac obiectul proprietății și care fac obiectul protecției în conformitate cu cerințele documentelor legale sau cu cerințele stabilite de proprietarul informațiilor. Aceasta este de obicei informații acces limitat care conțin informații clasificate ca secrete de stat, precum și informații caracter confidențial.

Protecția informațiilor cu acces restricționat (denumite în continuare informații protejate) împotriva scurgerii prin canale tehnice se realizează în baza Constituției. Federația Rusă, cerințele legilor Federației Ruse „Cu privire la informații, informatizare și protecția informațiilor”, „Cu privire la secretele de stat”, „Cu privire la secretele comerciale”, alte acte legislative ale Federației Ruse, „Regulamentele privind sistemul de stat protecția informațiilor în Federația Rusă împotriva informațiilor tehnice străine și împotriva scurgerii acesteia prin canale tehnice”, aprobat prin Decretul Guvernului Federației Ruse din 15 septembrie 1993 nr. 912-51, „Regulamente privind acordarea de licențe a activităților întreprinderilor, organizații și organizații pentru desfășurarea activităților legate de utilizarea informațiilor care constituie secret de stat, crearea de mijloace de protecție a informațiilor, precum și implementarea măsurilor și (sau) prestarea de servicii de protejare a secretului de stat”, aprobat prin Decret. al Guvernului Federației Ruse din 15 aprilie 1995 nr. 333, „Regulamente privind autorizarea de stat a activităților în domeniul protecției informațiilor” , aprobat prin Decretul Guvernului Federației Ruse din 27 aprilie 1994 nr. 10, „Regulamente privind activitățile de acordare a licențelor pentru dezvoltarea și (sau) producerea mijloacelor de protecție a informațiilor confidențiale” aprobate prin Decretul Guvernului Federației Ruse din 27 mai 2002 nr. 348, modificat și completat la 3 octombrie 2002 nr. 731 , „Regulamente privind certificarea cu mijloace de protecție a informațiilor”, aprobat prin Decretul Guvernului Federației Ruse din 26 iunie 1995 nr. 608, Decrete ale Guvernului Federației Ruse „Cu privire la activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale” (din 30 aprilie, 2002 nr. 290, cu modificările și completările din 23 septembrie 2002 nr. 689 și nr. 64 din 6 februarie 2003), „Cu privire la autorizarea anumitor tipuri de activități” (nr. 135 din 11 februarie 2002), precum și „Regulamentul privind atestarea obiectelor de informatizare pentru cerințele de securitate a informațiilor”, aprobat de președintele Comisiei Tehnice de Stat Rusia 25 noiembrie 1994 și alte documente de reglementare.

Cerințele și recomandările documentelor de reglementare se aplică pentru protecția resurselor informaționale de stat. Atunci când se efectuează lucrări de protejare a resurselor informaționale non-statale care constituie secret comercial, secret bancar etc., cerințele documentelor de reglementare sunt de natură consultativă.

Regimul de protecție a informațiilor cu acces restricționat care nu conțin informații care constituie secret de stat (denumite în continuare informații confidențiale) se stabilește de către proprietarul resurselor informaționale sau persoană autorizatăîn conformitate cu legislația Federației Ruse.

Măsurile de protecție a informațiilor confidențiale împotriva scurgerii prin canale tehnice (denumite în continuare protecția informațiilor tehnice) sunt parte integrantă activitățile întreprinderilor și se desfășoară împreună cu alte măsuri pentru asigurarea securității informațiilor acestora.

Protecția informațiilor confidențiale împotriva scurgerii prin canale tehnice ar trebui să se realizeze prin implementarea unui set de măsuri organizatorice și tehnice care alcătuiesc sistemul de protecție tehnică a informațiilor la obiectul protejat (ITSI), și ar trebui să fie diferențiate în funcție de stabilit. categoria obiectului de informatizare sau sediului alocat (protejat) (în continuare - obiect de protecţie).

Măsurile organizatorice de protejare a informațiilor de scurgeri prin canalele tehnice se bazează în principal pe luarea în considerare a unui număr de recomandări la alegerea spațiilor pentru instalarea mijloacelor tehnice de prelucrare a informațiilor confidențiale (TSIT) și desfășurarea negocierilor confidențiale, impunerea de restricții asupra TSOT utilizat, mijloace tehnice auxiliare și sisteme (HTSS) și amplasarea acestora, precum și introducerea anumit regim accesul angajaților unei întreprinderi (organizație, firmă) la obiectele de informatizare și spațiile alocate.

Măsurile tehnice de protejare a informațiilor împotriva scurgerilor prin canale tehnice se bazează pe utilizarea mijloacelor tehnice de protecție și implementarea unor soluții speciale de proiectare și inginerie.

Protecția tehnică a informațiilor se realizează de către unitățile de protecție a informațiilor (servicii de securitate) sau de specialiști individuali desemnați de șefii organizațiilor pentru a efectua astfel de lucrări. Pentru a dezvolta măsuri de protejare a informațiilor, pot fi implicate organizații terțe care au licențe de la FSTEC sau FSB din Rusia pentru dreptul de a desfășura lucrări relevante.

Lista măsurilor necesare de protecție a informațiilor se stabilește pe baza rezultatelor unei examinări speciale a obiectului de protecție, a testelor de certificare și a studiilor speciale ale mijloacelor tehnice destinate procesării informațiilor confidențiale.

Nivelul de protecție tehnică a informațiilor ar trebui să corespundă raportului dintre costurile de organizare a protecției informațiilor și cuantumul prejudiciului care poate fi cauzat proprietarului resurselor informaționale.

Obiectele protejate trebuie să fie certificate conform cerințelor de securitate a informațiilor în conformitate cu documentele de reglementare FSTEC din Rusia pentru respectarea normelor și cerințelor stabilite pentru protecția informațiilor. Pe baza rezultatelor certificării, se acordă permisiunea (certificatul de conformitate) pentru prelucrarea informațiilor confidențiale privind obiect dat.

Responsabilitatea pentru asigurarea cerințelor de protecție tehnică a informațiilor revine șefilor organizațiilor care operează obiecte protejate.

Pentru a detecta în timp util și a preveni scurgerea de informații prin canalele tehnice, starea și eficacitatea protecției informațiilor ar trebui monitorizate. Controlul consta in verificarea, conform metodelor actuale, a indeplinirii cerintelor documentelor de reglementare privind protectia informatiilor, precum si in aprecierea valabilitatii si eficacitatii masurilor luate. Protecția informațiilor este considerată eficientă dacă măsurile luate respectă cerințele și standardele stabilite. Organizarea muncii privind protecția informațiilor este atribuită șefilor departamentelor care operează obiecte protejate, iar controlul asigurării protecției informațiilor este atribuit șefilor departamentelor de protecție a informațiilor (servicii de securitate).

Instalarea mijloacelor tehnice de prelucrare a informațiilor confidențiale, precum și a mijloacelor de protecție a informațiilor, trebuie efectuată în conformitate cu proiectarea tehnică sau soluția tehnică. Elaborarea de soluții tehnice și proiecte tehnice pentru instalarea și instalarea TSOI, precum și a instrumentelor de securitate a informațiilor, este realizată de unități de protecție a informațiilor (servicii de securitate a întreprinderilor) sau organizații de proiectare care au Licenta FSTEC, pe baza specificațiilor tehnice de proiectare emise de clienți.

Solutii tehnice pentru protejarea informațiilor împotriva scurgerilor prin canale tehnice sunt parte integrantă a soluțiilor tehnologice, de planificare, arhitecturale și de proiectare și formează baza sistemului de protecție tehnică a informațiilor confidențiale.

Organizarea directă a lucrărilor la crearea CTSI este efectuată de un funcționar care oferă îndrumări științifice și tehnice pentru proiectarea obiectului de protecție.

Dezvoltarea și implementarea CTSI poate fi realizată atât de întreprinderi (organizații, firme), cât și de alte organizații specializate care au licențe de la FSTEC și (sau) FSB din Rusia pentru tipul corespunzător de activitate.

În cazul dezvoltării unui VTBI sau a acestuia componente individuale organizațiile specializate din organizația clienților determină diviziile sau specialiștii individuali responsabili cu organizarea și realizarea măsurilor de protecție a informațiilor, care ar trebui să ofere îndrumări metodologice și să participe la o anchetă specială a obiectelor protejate, justificarea analitică a necesității creării unui CTSI, convinând asupra alegerea TSOI, tehnic și instrumente software protecție, elaborarea specificațiilor tehnice pentru crearea CTSI, organizarea lucrărilor de implementare a CTSI și atestarea obiectelor de protecție.

Procedura de organizare a muncii privind crearea și funcționarea obiectelor de informatizare și a spațiilor alocate (protejate) la o întreprindere este stabilită într-un „Regulament privind procedura de organizare și desfășurare a muncii la o întreprindere pentru a proteja informațiile de scurgerea acesteia prin canalele tehnice. ”, ținând cont de condițiile specifice, care ar trebui să determine:

• procedura de determinare a informațiilor protejate;
• procedura de implicare a unităților organizatorice, a organizațiilor terțe specializate în dezvoltarea și exploatarea obiectelor de informatizare și a CTSI, sarcinile și funcțiile acestora la diferitele etape de creare și exploatare a obiectului protejat;
• procedura de interacțiune a tuturor organizațiilor, departamentelor și specialiștilor implicați în această activitate;
• procedura de dezvoltare, punere in functiune si exploatare a obiectelor protejate;
• responsabilitatea funcționarilor pentru oportunitatea și calitatea formării cerințelor de protecție a informațiilor, pentru calitatea și nivelul științific și tehnic al dezvoltării CTSI.

Întreprinderea (instituție, firmă) trebuie să documenteze o listă de informații supuse protecției în conformitate cu actele juridice de reglementare și să dezvolte un sistem permisiv adecvat pentru accesul personalului la astfel de informații.

Atunci când se organizează munca pentru protejarea scurgerilor prin canalele tehnice de informații la obiectul protejat, se pot distinge trei etape:

• prima etapă (pregătitoare, pre-proiect);
• a doua etapă (proiectarea VSTS);
• a treia etapă (etapa de punere în funcțiune a obiectului protejat și sistemul de protecție tehnică a informațiilor).

Etapa pregătitoare a creării unui sistem de protecție tehnică a informațiilor

În prima etapă, se fac pregătiri pentru crearea unui sistem de protecție tehnică a informațiilor la obiectele protejate, în cadrul căruia se efectuează o examinare specială a obiectelor protejate, o justificare analitică a necesității creării unui CTSI și a unui tehnic (privat). tehnic) sunt dezvoltate sarcina pentru crearea acestuia.

Atunci când se efectuează un studiu special al obiectelor protejate, cu implicarea specialiștilor relevanți, se efectuează o evaluare a potențialelor canale tehnice pentru scurgerea de informații.

Pentru a analiza posibilele canale tehnice de scurgere la instalație, sunt studiate următoarele:

• un plan (la scară) al zonei adiacente clădirii pe o rază de până la 150 - 300 m, indicând (dacă este posibil) dreptul de proprietate asupra clădirilor și limitele zonei controlate;
• planurile de etaj ale clădirii indicând toate încăperile și caracteristicile pereților, tavanelor, materialelor de finisare, tipurile de uși și ferestre ale acestora;
• plan-schemă de comunicații inginerești a întregii clădiri, inclusiv sistemul de ventilație;
• plan-schemă a sistemului de împământare a obiectului cu indicarea locației conductorului de împământare;
• plan-schemă a sistemului de alimentare cu energie electrică a clădirii indicând amplasarea transformatorului de izolație (substație), toate scuturile și cutiile de joncțiune;
• plan de amenajare pentru așezarea liniilor telefonice, indicând locațiile cutiilor de joncțiune și montaj aparate telefonice;
• plan-schemă de sisteme de securitate și de alarmă la incendiu indicând locațiile de instalare și tipurile de senzori, precum și cutiile de joncțiune.

Se stabilește: când a fost construit obiectul (clădirea), ce organizații au fost implicate în construcție, ce organizații au fost amplasate anterior în acesta.

La analizarea condițiilor de amplasare a unui obiect, se determină limita zonei controlate, a parcărilor, precum și a clădirilor care se află în linie directă de vedere de la ferestrele spațiilor protejate din afara zonei controlate. Proprietatea acestor clădiri și modul de acces la acestea sunt determinate (dacă este posibil).

Prin observare vizuală sau fotografiere de la ferestrele incintei protejate se stabilesc ferestrele clădirilor din apropiere, precum și parcări aflate în linie directă de vedere. Se face o evaluare a posibilității de a efectua recunoașteri din acestea folosind microfoane direcționale și sisteme de recunoaștere acustică cu laser, precum și mijloace de observare vizuală și fotografiere.

Se stabilește locația postului de transformare, a tabloului de distribuție, a tablourilor de distribuție. Se determină clădirile și spațiile situate în afara zonei controlate, care sunt alimentate de la aceeași magistrală de joasă tensiune a postului de transformare ca și obiectele protejate. Lungimea liniilor electrice de la obiectele protejate la locuri posibile conectarea mijloacelor de interceptare a informațiilor (tablete de distribuție, spații etc.) situate în afara zonei controlate. Se evaluează posibilitatea de a primi informații transmise prin marcaje de rețea (atunci când sunt instalate în spații protejate) în afara zonei controlate.

Se determină spațiile adiacente zonei protejate și situate în afara zonei controlate. Proprietatea și modul lor de acces sunt setate. Se determină posibilitatea de acces din exterior la ferestrele incintei protejate. Se face o evaluare a posibilității de scurgere a informațiilor de vorbire din spațiile protejate prin canale de vibrații acustice.

Se determină linii de legătură ale mijloacelor și sistemelor tehnice auxiliare (linii comunicare telefonică, alerte, sisteme de securitate și alarmă de incendiu, ceasuri etc.) care depășesc zona controlată, locația cutiilor de joncțiune ale acestora. Se măsoară lungimea liniilor de la obiectele protejate până la locurile de posibilă conectare a mijloacelor de interceptare a informațiilor în afara zonei controlate. Se face o evaluare a posibilității de scurgere a informațiilor de vorbire din spațiile protejate prin canale acustoelectrice.

Se determină comunicațiile de inginerie și conductoarele străine care trec dincolo de zona controlată, lungimea acestora se măsoară de la obiectele protejate până la locurile de posibilă conectare a mijloacelor de interceptare a informațiilor.

Este stabilită locația conductorului de împământare, la care este conectată bucla de împământare a obiectului protejat. Se determină spațiile situate în afara zonei controlate, care sunt conectate la același conductor de împământare.

Se determină locurile de instalare la obiectele de informatizare ale OTS și așezarea liniilor de legătură ale acestora.

Se evaluează posibilitatea interceptării informațiilor prelucrate de OTS prin mijloace tehnice speciale prin canale electromagnetice și electrice de scurgere de informații.

ÎN conditii moderne se recomandă efectuarea unui control tehnic pentru evaluarea proprietăților reale de ecranare a structurilor clădirii, izolarea fonică și vibrațională a încăperilor pentru a ține cont de rezultatele acestora la elaborarea măsurilor de protecție a TSOI și a încăperilor alocate.

Un sondaj de pre-proiectare poate fi încredințat unei organizații specializate care deține licența corespunzătoare, dar în acest caz, este recomandabil să se efectueze analiza suportului informațional în ceea ce privește informațiile protejate de către reprezentanții organizației client cu asistența metodologică a o organizatie specializata.

Familiarizarea specialiștilor acestei organizații cu informațiile protejate se realizează în conformitate cu procedura stabilită în organizație - client.

După efectuarea unui studiu special înainte de proiect al obiectului protejat de către un grup (comisie) numit de șeful întreprinderii (organizație, firmă), se efectuează o justificare analitică a necesității creării unui CTSI, în care:

• se stabilește o listă de informații care trebuie protejate (lista de informații confidențiale este aprobată de șeful organizației);
• se realizează clasificarea informațiilor confidențiale supuse protecției;
• se stabilește o listă a persoanelor admise la informații confidențiale supuse protecției;
• se determină gradul de participare a personalului la prelucrarea (discuție, transmitere, stocare etc.) a informațiilor, natura interacțiunii acestora între ele și cu serviciul de securitate;
• este în curs de elaborare o matrice a accesului personalului la informații confidențiale supuse protecției;
• este determinat (precizat) modelul unui adversar probabil (intrus, intrus);
• se realizează clasificarea și clasificarea obiectelor de informatizare și a spațiilor alocate;
• fundamentarea necesităţii de a atrage organizaţii specializate cu licentele necesare dreptul de a efectua lucrări privind protecția informațiilor, pentru proiectarea și implementarea CTSI;
• se efectuează o evaluare a costurilor materiale, forței de muncă și financiare pentru dezvoltarea și implementarea CTSI;
• sunt determinate termeni provizorii pentru dezvoltarea și implementarea CTSI.

Principala caracteristică a informațiilor confidențiale este valoarea lor pentru un potențial adversar (concurenți). Prin urmare, la stabilirea listei de informații confidențiale, proprietarul acesteia trebuie să determine această valoare prin măsura prejudiciului care poate fi cauzat întreprinderii dacă aceasta este scursă (dezvăluită). În funcție de cantitatea daunelor (sau a consecințelor negative) care poate fi cauzată de scurgerea (dezvăluirea) informațiilor, se introduc următoarele categorii de importanță a informațiilor:

• 1 categorie
- informații, a căror scurgere poate duce la pierderea independenței economice sau financiare a întreprinderii sau la pierderea reputației acesteia (pierderea încrederii consumatorilor, subcontractanților, furnizorilor etc.);
• 2 categorie
– informații, a căror scurgere poate duce la prejudicii economice semnificative sau la scăderea reputației sale;
• 3 categorie
- informații a căror dezvăluire poate cauza prejudicii economice întreprinderii.

În ceea ce privește difuzarea informațiilor, aceasta poate fi împărțită în două grupe:

• primul grup (1)
- informații confidențiale care circulă numai în întreprindere și nu sunt destinate transferului către o altă parte;
• al doilea grup (2)
- informații confidențiale care ar trebui să fie transferate celeilalte părți sau primite de la cealaltă parte.

Prin urmare, este recomandabil să se stabilească șase niveluri de confidențialitate a informațiilor (Tabelul 1).

Tabelul 1. Niveluri de confidențialitate a informațiilor

La stabilirea unui regim de acces la informațiile confidențiale, este necesar să ne ghidăm după principiul - cu cât prejudiciul rezultat din dezvăluirea informațiilor este mai mare, cu atât cercul de persoane care sunt admise în aceasta este mai restrâns.

Modalitățile de acces la informații confidențiale ar trebui să fie legate de responsabilitățile postului ale angajaților.

Pentru a limita cercul persoanelor admise la informații care constituie secret comercial, se recomandă introducerea următoarelor modalități de acces la acestea:

• modul 1
- oferă acces la întreaga listă de informații confidențiale. Se stabilește de către conducerea întreprinderii;
• modul 2
- ofera acces la informatii atunci cand desfasoara anumite tipuri de activitati (financiare, de productie, de personal, de securitate etc.). Înființat pentru managementul departamentelor și serviciilor;
• modul 3
- oferă acces la o listă specifică de informații atunci când desfășoară activități specifice. Se stabilește pentru angajații - specialiști ai unui anumit departament (serviciu) în conformitate cu responsabilitățile postului lor.

Astfel, după întocmirea unei liste de informații confidențiale, este necesar să se stabilească nivelul de confidențialitate a acestora, precum și modul de acces al angajaților la acestea.

Este recomandabil să se restricționeze accesul angajaților unei întreprinderi (firme) la informații confidențiale fie prin niveluri (inele) de confidențialitate în conformitate cu modurile de acces, fie prin așa-numitele matrici de autoritate, în care pozițiile angajaților unei întreprinderi. (firmă) sunt enumerate în rânduri, iar coloanele - informații, incluse în lista informațiilor care constituie secret comercial. Elementele matricei conțin informații despre nivelul de autoritate al funcționarilor relevanți (de exemplu, „+” – accesul la informații este permis, „-” – accesul la informații este interzis).

În continuare, este determinat (clarificat) un model al unui potențial adversar (intrus, intrus), care include determinarea nivelului de echipament al adversarului interesat în obținerea de informații și a capacităților acestuia de a utiliza anumite mijloace tehnice de recunoaștere pentru a intercepta informații.

În funcție de sprijinul financiar, precum și de capacitatea de a accesa anumite mijloace de recunoaștere, inamicul are diverse opțiuni pentru interceptarea informațiilor. De exemplu, mijloace de recunoaștere a radiațiilor electromagnetice false și a interferențelor, dispozitive electronice pentru interceptarea informațiilor încorporate în mijloace tehnice, laser sisteme acustice recunoașterea poate folosi, de regulă, recunoașterea și servicii speciale state.

Pentru a asigura o abordare diferențiată a organizării protecției informațiilor împotriva scurgerilor prin canale tehnice, obiectele protejate trebuie să fie repartizate în categorii și clase corespunzătoare.

Clasificarea obiectelor se realizează în funcție de sarcinile de protecție tehnică a informațiilor și stabilește cerințe pentru sfera și natura unui set de măsuri menite să protejeze informațiile confidențiale împotriva scurgerii prin canalele tehnice în timpul funcționării obiectului protejat.

Obiectele protejate trebuie împărțite în două clase de protecție (Tabelul 2).

LA clasa de protectie A includ obiecte asupra cărora se efectuează disimularea completă a semnalelor informaționale care apar în timpul procesării informațiilor sau negocierii (ascunderea faptului de prelucrare a informațiilor confidențiale la instalație).

Clasa de protectie B include obiectele asupra carora sunt ascunsi parametrii semnalelor informative care apar in timpul procesarii sau negocierii informatiilor, pentru care este posibila restabilirea informatiilor confidentiale (ascunderea informatiilor procesate la obiect).

Tabel 2. Clase de protecție a obiectelor de informatizare și a spațiilor dedicate

La stabilirea categoriei unui obiect protejat se ia în considerare clasa de protecție a acestuia, precum și capacitățile financiare ale întreprinderii de a închide potențialele canale tehnice pentru scurgerea de informații. Obiectele protejate pot fi împărțite în trei categorii.

Clasificarea obiectelor protejate de informatizare si a spatiilor alocate se realizeaza de catre comisii numite de conducatorii intreprinderilor in fruntea carora se afla. În componența comisiilor sunt, de regulă, reprezentanți ai unităților responsabile cu asigurarea securității informațiilor și reprezentanți ai unităților care exploatează obiecte protejate.

• se determină obiectele de informatizare și spațiile alocate pentru a fi protejate;
• se determină nivelul de confidențialitate al informațiilor prelucrate de TSOI sau discutate într-o sală dedicată și se face o evaluare a costului prejudiciului care poate fi cauzat unei întreprinderi (organizație, firmă) din cauza scurgerii acesteia;
• pentru fiecare obiect de protecție se stabilește o clasă de protecție (A sau B) și se determină potențiale canale tehnice de scurgere de informații și mijloace tehnice speciale care pot fi utilizate pentru interceptarea informațiilor (Tabelele 3, 4);
• se determină componența rațională a mijloacelor de protecție și se elaborează măsuri organizatorice pentru închiderea unui canal tehnic specific de scurgere de informații pentru fiecare obiect de protecție;
• pentru informațiile clasificate ca fiind confidențiale și furnizate de cealaltă parte, se determină suficiența măsurilor luate pentru a le proteja (măsurile sau normele de protecție a informațiilor se stabilesc prin acordul relevant);
• se face o evaluare a costului măsurilor (organizaționale și tehnice) de închidere a unui canal tehnic specific de scurgere de informații pentru fiecare obiect de protecție;
• luând în considerare evaluarea capacităților unui potențial adversar (concurent, intrus) de a utiliza anumite mijloace tehnice de informații pentru a intercepta informații, precum și luând în considerare costul închiderii fiecărui canal de scurgere de informații și costul daunelor care pot să fie cauzată unei întreprinderi ca urmare a scurgerii acesteia, oportunității închiderii acelor sau altor canale tehnice de scurgere de informații;
• după ce se hotărăște care canale tehnice de scurgere de informații trebuie închise, se stabilește categoria obiectului de informatizare sau a incintei alocate (Tabelul 5).

Rezultatele lucrărilor comisiei sunt oficializate printr-un act, care este aprobat de funcționarul care a numit comisia.

Tabel 3. Canale tehnice potențiale pentru scurgerea informațiilor procesate de un PC

Tabelul 4. Canale tehnice potențiale pentru scurgerea de informații despre vorbire

După stabilirea categoriei obiectului de protecție, se evaluează posibilitățile de creare și implementare a CTSI de către întreprindere (organizație, firmă), sau se justifică necesitatea implicării unor organizații specializate care dețin licențele necesare pentru dreptul să desfășoare lucrări de protecție a informațiilor pentru proiectarea și implementarea CTSI. Se efectuează o evaluare a costurilor materiale, forței de muncă și financiare pentru dezvoltarea și implementarea CTBS și se determină termenii aproximativi pentru dezvoltarea și implementarea CTBS.

Rezultatele justificării analitice pentru necesitatea creării unui VTBI sunt documentate într-o notă explicativă, care trebuie să conțină:

• o listă de informații confidențiale care indică nivelul lor de confidențialitate;
• o listă a angajaților întreprinderii admiși la informații confidențiale, indicând modul lor de acces și, dacă este necesar, o matrice de acces;
• caracteristica informatieiși structura organizatorică a obiectelor de protecție;
• o listă a obiectelor de informatizare de protejat, cu indicarea categoriilor acestora;
• o listă a spațiilor alocate care urmează să fie protejate, cu indicarea categoriilor acestora;
• o listă și descrierea mijloacelor tehnice de prelucrare a informațiilor confidențiale, indicând locul de instalare a acestora;
• o listă și descrierea mijloacelor și sistemelor tehnice auxiliare, indicând locul lor de instalare;
• nivelul așteptat de echipare al unui potențial adversar (concurent, intrus);
• canalele tehnice de scurgere de informații să fie închise (eliminate);
• măsuri organizatorice de închidere a canalelor tehnice de scurgere de informații;
• o listă și descrierea mijloacelor tehnice de protecție a informațiilor propuse pentru utilizare, cu indicarea locului de instalare a acestora;
• metode și procedură de monitorizare a eficacității protecției informațiilor;
• fundamentarea necesității implicării organizațiilor specializate care dețin licențele necesare pentru dreptul de a desfășura lucrări de protecție a informațiilor pentru proiectare;
• evaluarea costurilor materiale, forței de muncă și financiare pentru dezvoltarea și implementarea CTSI;
• termeni orientativi pentru dezvoltarea și implementarea CTSI;
• o listă de măsuri pentru asigurarea confidențialității informațiilor în faza de proiectare a VTBI.

Nota explicativă este semnată de șeful grupului (comisiei) care a efectuat justificarea analitică, convenită cu șeful serviciului de securitate și aprobată de șeful întreprinderii.

Pe baza justificării analitice și a documentelor normative și metodologice actuale pentru protejarea informațiilor împotriva scurgerii prin canale tehnice, ținând cont de clasa și categoria stabilită a obiectului protejat, se stabilesc cerințe specifice pentru protecția informațiilor, care sunt cuprinse în documentul tehnic (privat). tehnic) sarcină pentru dezvoltarea CTSI.

Termenii de referință (TOR) pentru dezvoltarea VTBI ar trebui să conțină:

• justificarea dezvoltării;
• datele inițiale ale obiectului protejat sub aspect tehnic, software, informațional și organizatoric;
• un link către documentele normative și metodologice, ținând cont de care VTBI va fi elaborat și pus în funcțiune;
• cerințe specifice pentru CTSI;
• o listă a mijloacelor tehnice de protecție a informațiilor destinate utilizării;
• compoziția, conținutul și calendarul lucrărilor pe etapele de dezvoltare și implementare;
• o listă de antreprenori - executanți de diferite tipuri de lucrări;
• o listă a produselor științifice și tehnice și a documentației prezentate clientului.

Caietul de sarcini pentru proiectarea CTSI al obiectului protejat se întocmește ca document separat, convenit cu organizația de proiectare, serviciul de securitate (specialist) al organizației client în ceea ce privește suficiența măsurilor de protecție tehnică a informatii si aprobate de client.

Etapa de proiectare a unui sistem de protecție tehnică a informațiilor

Pentru a dezvolta un proiect tehnic pentru crearea unui sistem tehnic de securitate a informațiilor, ar trebui să fie implicate organizații licențiate de FSTEC al Federației Ruse.

Proiectul tehnic al VSTI trebuie să conțină:

• Pagina titlu;
• scheme ale sistemelor de protecție activă (dacă sunt prevăzute termeni de referinta pentru proiectare);
• instructiuni si manuale de functionare a mijloacelor tehnice de protectie pentru utilizatori si responsabili cu asigurarea securitatii informatiilor la obiectul de informatizare.

Proiectul tehnic, desenele de lucru, devizele și alte documentații de proiect trebuie luate în considerare în la momentul potrivit.

Proiectarea tehnică este coordonată cu serviciul de securitate (specialist) al clientului, autoritatea de protecție a informațiilor a organizației de proiectare, reprezentanții antreprenorilor - executanți ai tipurilor de lucrări și este aprobată de șeful organizației de proiectare.

La elaborarea unui proiect tehnic, trebuie luate în considerare următoarele recomandări:

• în spațiile alocate este necesară instalarea de mijloace tehnice certificate de prelucrare a informațiilor și mijloace tehnice auxiliare;
• pentru amplasarea TSOI, este recomandabil să alegeți subsoluri și semisubsoluri (au proprietăți de ecranare);

• birourile șefilor organizației, precum și spațiile deosebit de importante alocate, se recomandă a fi amplasate la etajele superioare (cu excepția ultimului) din partea mai puțin periculoasă din punct de vedere al inteligenței;
• este necesar să se asigure furnizarea tuturor comunicațiilor (alimentare cu apă, încălzire, canalizare, telefonie, electricitate etc.) către clădire într-un singur loc. Este oportun să introduceți comunicațiile în clădire imediat în camera de distribuție și să vă asigurați că intrarea acesteia este închisă și este instalat un sistem de alarmă sau de securitate;
• dacă transformatorul de izolare (stația de transformare), de la care sunt alimentate cu energie instalațiile tehnice protejate și spațiile alocate, se află în afara zonei controlate, este necesar să se prevadă deconectarea de la magistralele de joasă tensiune ale stației, de la care obiectele protejate sunt alimentate, consumatorii situati in afara zonei controlate;
• se recomandă așezarea cablurilor de alimentare electrică de la un scut de alimentare comun conform principiului cablajului vertical la podele cu cablaj de podea orizontal și cu instalarea unui ecran de alimentare propriu pe fiecare etaj. În mod similar, ar trebui pus cabluri de conectare mijloace tehnice auxiliare, inclusiv cabluri ale sistemelor de comunicații;
• numărul de intrări de comunicații în zona spațiilor protejate trebuie să fie minim și să corespundă numărului de comunicații. Conductoarele străine neutilizate care trec prin incinta protejată, precum și cablurile (liniile) mijloacelor tehnice auxiliare neutilizate trebuie demontate;
• așezarea circuitelor de informare, precum și a circuitelor de alimentare cu energie și de împământare a mijloacelor tehnice protejate trebuie să fie planificate astfel încât rularea lor în paralel cu diverși conductori străini care depășesc zona controlată să fie exclusă sau redusă la limite acceptabile;
• pentru împământarea echipamentelor tehnice (inclusiv a celor auxiliare) instalate în spații dedicate, este necesar să se prevadă o buclă de masă proprie separată, situată în zona controlată. Dacă acest lucru nu este posibil, este necesar să se asigure zgomotul liniar al sistemului de împământare al obiectului;
• este necesar să se excludă ieșirile conductoarelor străine (diverse conducte, conducte de aer, structuri metalice ale clădirii etc.), în care sunt prezente semnale informative induse, în afara zonei controlate. Dacă acest lucru nu este posibil, este necesar să se prevadă zgomotul liniar al conductorilor străini;
• se recomandă efectuarea așezării conductelor și a comunicațiilor cablajelor orizontale cale deschisă sau in spatele panourilor false care permit demontarea si verificarea acestora;
• la ieșirile de conducte comunicatii tehniceîn afara incintei alocate, se recomandă instalarea de inserții flexibile izolatoare de vibrații cu umplerea spațiului dintre ele și structura clădirii soluție pe toată grosimea structurii. Dacă este imposibil să instalați inserții, va fi necesar să echipați conductele cu un sistem de zgomot de vibrații;
• este necesar să se prevadă așezarea unor coloane verticale de comunicații în diverse scopuriîn afara zonei spațiilor alocate;
• structurile de închidere ale spațiilor alocate învecinate cu alte sedii ale organizației nu ar trebui să aibă deschideri, nișe, precum și prin canale de stabilire a comunicațiilor;
• este recomandabil ca sistemul de ventilație de alimentare și evacuare și schimbul de aer al zonei spațiilor alocate să fie separat, nu ar trebui să fie conectat la sistemul de ventilație al altor sedii ale organizației și să aibă propria admisie și evacuare a aerului;
• se recomandă ca conductele sistemului de ventilație să fie realizate din materiale nemetalice. Suprafața exterioară a conductelor sistemului de ventilație care iese dintr-o zonă dedicată sau din încăperi importante separate trebuie să asigure finisarea acestora cu material fonoabsorbant. Se recomandă instalarea de inserții moi izolatoare de vibrații din material flexibil, cum ar fi prelată sau țesătură groasă, la punctele de ieșire ale conductelor sistemului de ventilație din incinta alocată. Ieșirile conductelor de ventilație în afara zonei spațiilor alocate trebuie să fie închise cu o plasă metalică;
• în încăperile dotate cu sistem de amplificare a sunetului, se recomandă utilizarea căptușirii suprafețelor interioare ale structurilor de închidere cu materiale fonoabsorbante;
• ușile din încăperile deosebit de importante trebuie să fie dotate cu vestibule;
• panourile decorative ale bateriilor de încălzire trebuie să fie detașabile pentru inspecție;
• in incaperile alocate deosebit de importante nu se recomanda folosirea tavanelor suspendate, in special a unei structuri neseparabile;
• pentru vitrarea spațiilor deosebit de importante alocate, se recomandă utilizarea ferestrelor cu geam termopan de protecție solară și termopan;
• este recomandabil să se realizeze podele ale spațiilor deosebit de importante alocate fără plinte;
• nu se recomandă utilizarea corpurilor de iluminat fluorescent în încăperile alocate. Corpurile de iluminat cu lămpi cu incandescență ar trebui să fie selectate pentru tensiune de rețea completă, fără a utiliza transformatoare și redresoare.

Punerea în funcțiune a sistemului de protecție tehnică a informațiilor

Pe a treia etapă instalare și organizatii de constructii implementarea măsurilor de protecție a informațiilor prevăzute de proiectul tehnic. Organizațiile autorizate de FSTEC din Federația Rusă ar trebui să fie implicate în instalarea de mijloace tehnice de prelucrare a informațiilor, mijloace tehnice auxiliare, precum și în realizarea măsurilor tehnice de protecție a informațiilor.

Organizația de instalare sau clientul efectuează achiziționarea de TCOI certificat și o verificare specială a TCOI necertificat pentru a detecta eventualele dispozitive electronice de interceptare a informațiilor („marcaje”) și studiile speciale ale acestora.

Conform rezultatelor studiilor speciale ale OTS, sunt specificate măsuri de protecție a informațiilor. Dacă este necesar, se fac modificări corespunzătoare în proiectarea tehnică, care sunt convenite cu organizația de proiectare și clientul.

Se realizează procurarea mijloacelor tehnice, software și software-hardware certificate de protecție a informațiilor și instalarea acestora în conformitate cu proiectul tehnic.

Serviciul de securitate (specialist) organizează controlul asupra implementării tuturor măsurilor de protecție a informațiilor prevăzute de proiectul tehnic.

În timpul instalării și instalării echipamentelor TSOI și de securitate a informațiilor, o atenție deosebită trebuie acordată asigurării regimului și protecției obiectului protejat.

• organizarea protecţiei şi protecţiei fizice a incintelor obiectului de informatizare şi a spaţiilor alocate, excluzând acces neautorizat la TSOI, furtul și funcționarea defectuoasă a acestora, furtul purtătorilor de informații;
• în timpul reconstrucției instalației, trebuie să se organizeze controlul și contabilizarea persoanelor și vehiculelor care au sosit și au părăsit teritoriul lucrării în curs de desfășurare;
• se recomanda organizarea admiterii constructorilor in teritoriu si in cladire cu permise temporare sau liste zilnice;
• copii ale desenelor de construcție, în special planuri ale spațiilor, scheme ale liniilor de alimentare cu energie electrică, sisteme de comunicații, securitate și alarmă de incendiu etc. trebuie luate în considerare, iar numărul lor este limitat. La finalizarea lucrărilor de instalare, copii ale desenelor, planurilor, schemelor etc. sunt supuse distrugerii în conformitate cu procedura stabilită;
• este necesar să se asigure depozitarea componentelor şi materiale de construcțiiîntr-un depozit sub pază;
• nu se recomanda admiterea cazurilor de operatiuni de montaj si lucrari de finisare efectuate de muncitori singuri, in special pe timp de noapte;
• în stadiul lucrărilor de finisare este necesar să se asigure protecția de noapte a clădirii.

Unele dintre măsurile de organizare a controlului în această perioadă includ:

• înainte de instalare, este necesar să se asigure o verificare sub acoperire a tuturor structurilor montate, în special a echipamentelor de instalare, pentru prezența diferitelor semne și a diferențelor acestora între ele, precum și a dispozitivelor încorporate;
• este necesar să se organizeze o inspecție periodică a zonelor spațiilor alocate seara sau în timpul orelor de lucru în lipsa constructorilor în acesta pentru a identifica zonele și locurile suspecte;
• organiza controlul asupra cursului tuturor tipurilor lucrari de constructie la fața locului și în clădire. Funcția principală a controlului este de a confirma corectitudinea tehnologiei lucrărilor de construcție și instalare și respectarea acestora proiect tehnic;
• organizează o inspecție a locurilor și tronsoanelor de structuri care, conform tehnologiei, sunt supuse închiderii de către alte structuri. Un astfel de control poate fi organizat legal sub legenda necesității verificării calității instalației și a materialelor, sau pe ascuns;
• este necesar să se verifice cu atenție conformitatea schemelor de cablare și a numărului de fire pozate cu proiectul tehnic. O atenție deosebită trebuie acordată etapei de introducere a comunicațiilor prin cablu și a cablurilor în zona spațiilor alocate. Toate firele și cablurile de rezervă așezate trebuie așezate pe plan-schemă indicând locurile de început și sfârșit.

La efectuarea controlului, trebuie acordată o atenție deosebită următoarelor puncte:

• modificarea componenței cantitative a echipelor, neconsecventă cu clientul, modificarea componenței lor personale, în special în timpul proceselor pe termen lung de același tip;
• prezența abaterilor de la tehnologia convenită sau standard de lucrări de construcție și instalare;
• întârzierile mari în executarea operațiunilor standard de instalare sunt inacceptabile;
• înlocuirea neașteptată a tipurilor de materiale de construcție și elemente structurale;
• schimbarea schemelor și ordinea de instalare a structurilor;
• efectuarea muncii la prânz sau după orele de program, în special noaptea;
• factori psihologici în comportamentul constructorilor individuali în prezența supraveghetorilor etc.

Inainte de instalare in spatiile alocate si pe obiectele de informatizare a mobilierului si obiectelor de interior dispozitive tehnice iar echipamentele de birou ar trebui verificate pentru absența dispozitivelor încorporate. În același timp, este recomandabil să verificați mijloacele tehnice pentru nivelurile de radiații electromagnetice parasite. Este indicat să se efectueze o astfel de verificare într-o cameră special echipată sau într-un depozit intermediar.

După terminare, se recomandă efectuarea unei analize cuprinzătoare a clădirii pentru posibilitatea scurgerii de informații prin canalele acustice și de vibrații. Pe baza rezultatelor măsurătorilor, ținând cont de situația reală în ceea ce privește regimul de securitate, ar trebui elaborate recomandări suplimentare pentru consolidarea măsurilor de protecție în cazul nerespectării cerințelor de protecție.

Înainte de începerea instalării TSOI și a mijloacelor de securitate a informațiilor, clientul stabilește unitățile și persoanele planificate pentru a fi desemnate responsabile pentru funcționarea CTSI. În procesul de instalare a echipamentelor de protecție și de testare a acestora, persoanele desemnate sunt instruite în specificul muncii de protecție a informațiilor.

Împreună cu reprezentanți ai designului și organizații de instalare responsabilii cu funcționarea CTSI realizează elaborarea documentației operaționale pentru obiectul de informatizare și spațiile alocate (pașapoarte tehnice de obiecte, instrucțiuni, comenzi și alte documente).

Pașaportul tehnic pentru obiectul protejat este elaborat de persoana desemnată responsabilă pentru funcționarea și securitatea informațiilor la acest obiect și cuprinde:

• o notă explicativă care să cuprindă caracteristicile informaționale și structura organizatorică a obiectului de protecție, informații privind măsurile organizatorice și tehnice de protecție a informațiilor împotriva scurgerilor prin canale tehnice;
• o listă a obiectelor de informatizare care trebuie protejate, cu indicarea amplasamentelor acestora și a categoriei de protecție stabilite;
• o listă a spațiilor alocate pentru a fi protejate, indicând locațiile acestora și categoria de protecție stabilită;
• o listă a TSOI instalate care indică prezența unui certificat (instrucțiuni de funcționare) și locurile de instalare a acestora;
• o listă de VTSS instalate care indică prezența unui certificat și locurile de instalare a acestora;
• o listă a mijloacelor tehnice de protecție a informațiilor care urmează să fie instalate, indicând disponibilitatea unui certificat și locurile de instalare a acestora;
• o diagramă (la scară) care indică planul clădirii în care sunt amplasate obiectele protejate, limitele zonei controlate, stația de transformare, dispozitivul de împământare, căile de așezare a comunicațiilor inginerești, liniile de alimentare cu energie electrică, liniile de comunicație, foc și alarmă anti-efracție, locuri de instalare a dispozitivelor de separare etc.;
• planuri tehnologice ale clădirii (la scară) indicând locațiile obiectelor de informatizare și spațiile alocate, caracteristicile pereților acestora, tavanelor, materialelor de finisare, tipurile de uși și ferestre;
• planuri ale obiectelor de informatizare (la scară) indicând locurile de instalare a TSOI, VTSS și pozarea liniilor de legătură ale acestora, precum și trasee de așezare a comunicațiilor inginerești și a conductorilor străini;
• plan-schemă de comunicații inginerești a întregii clădiri, inclusiv sistemul de ventilație;
• plan-schemă a sistemului de împământare al obiectului, indicând locația electrodului de împământare;
• un plan-schemă a sistemului de alimentare cu energie al clădirii indicând amplasarea transformatorului de izolație (substație), toate scuturile și cutiile de joncțiune;
• un plan-schemă pentru așezarea liniilor telefonice cu indicarea locației cutiilor de joncțiune și instalarea aparatelor telefonice;
• un plan-schemă de sisteme de securitate și alarmă de incendiu indicând locațiile de instalare și tipurile de senzori, precum și cutiile de joncțiune;
• scheme ale sistemelor de protecție activă (dacă sunt prevăzute).

Anexat la pașaportul tehnic:

• instrucțiuni de funcționare (certificate de conformitate cu cerințele de securitate a informațiilor) TSOI;
• certificate de conformitate cu cerințele de securitate a informațiilor la VTSS;
• certificate de conformitate cu cerințele de securitate a informațiilor pentru mijloacele tehnice de protecție a informațiilor;
• certificate pentru lucrări ascunse;
• protocoale de măsurare a izolației fonice a spațiilor alocate și a eficacității structurilor de ecranare și a cabinelor;
• protocoale de măsurare a valorii rezistenței la sol;
• protocoale de măsurare a atenuării reale a semnalelor informaţionale la locurile de posibilă amplasare a echipamentelor de recunoaştere.

După instalarea și instalarea mijloacelor tehnice de protecție a informațiilor, operarea de probă a acestora se realizează în combinație cu alte hardware și software pentru a verifica performanța acestora ca parte a obiectului de informatizare și testare. proces tehnologic prelucrarea (transferul) informaţiei.

Pe baza rezultatelor operațiunii de probă, se efectuează teste de acceptare a instrumentelor de securitate a informațiilor odată cu executarea actului relevant.

La finalizarea punerii în funcţiune a CTSI, se realizează certificarea facilităţilor de informatizare şi a spaţiilor alocate conform cerinţelor de securitate. Este o procedură de confirmare oficială a eficacității unui set de măsuri și mijloace de protecție a informațiilor implementate în unitate.

Dacă este necesar, prin decizia șefului organizației, se poate desfășura activități de căutare a dispozitivelor electronice de recuperare a informațiilor („dispozitive încorporate”), eventual încorporate în spații dedicate, desfășurate de organizații care dețin licențele corespunzătoare de la FSB. a Rusiei.

În perioada de funcționare, trebuie efectuate periodic sondaje și verificări speciale ale spațiilor alocate și ale obiectelor de informatizare. Examinările speciale ar trebui efectuate sub legendă pentru angajații organizației sau în absența acestora (este permisă prezența unui cerc limitat de persoane dintre liderii organizației și personalul de securitate).

Literatură

1. Abalmazov E.I. Metode și mijloace tehnice și tehnice de contracarare a amenințărilor informaționale. – M.: Grotek, 1997, p. 248.
2. Gavrish V.F. Un ghid practic pentru protejarea secretelor comerciale. - Simferopol: Taurida, 1994, p. 112.
3. GOST R 51275-99. Protejarea datelor. Obiect de informatizare. Factori care afectează informația. Dispoziții generale. (Adoptată și pusă în aplicare prin Decretul Standardului de Stat al Rusiei din 12 mai 1999 nr. 160).
4. Doctrina Securității Informaționale a Federației Ruse (Adoptată la 9 septembrie 2000 Nr. PR-1895).
5. Organizarea și metodele moderne de protecție a informațiilor. Informații și manual de referință. - M .: Asociația „Siguranță”, 1996, p. 440 de ani.
6. Contracararea spionajului economic: o colecție de publicații ale revistei „Protecția informațiilor. Încrezător” 1994 – 2000. Sankt Petersburg: Încrezător, 2000, p. 344.
7. Maksimov Yu.N., Sonnikov V.G., Petrov V.G. și alte metode și mijloace tehnice de protejare a informațiilor. - Sankt Petersburg: SRL Editura Polygon, 2000, p. 320.
8. Torokin A.A. Ingineria si protectia tehnica a informatiilor: Proc. indemnizație pentru studenții care studiază în specialități din regiune. informa. Securitate. – M.: Helios ARV, 2005, p. 960.
9. Khorev A.A. Metode și mijloace de protecție a informațiilor: Proc. indemnizatie. – M.: MO RF, 2000, p. 316.

Toată lumea a încetat deja să fie surprins de faptul că în mod constant apar la vânzare informații care constituie un secret comercial al unei organizații. Astăzi nu va fi greu de achiziționat baza de clienti sau datele personale ale angajaților companiei care vă interesează. Acest lucru se datorează faptului că liderii organizațiilor nu depun eforturi suficiente pentru a proteja informațiile legate de secretele comerciale. Mai mult, nu uitați de vânătorii din viața reală pentru astfel de informații. Progresul stiintific si tehnologic a introdus in viata noastra un numar mare de mijloace tehnice care permit inregistrarea convorbirilor telefonice, intalnirilor, a devenit posibila citirea informatiilor de pe ecranul unui calculator, geografic fiind in afara locatiei companiei.

Dar principala sursă de scurgere de informații sunt angajații. Ei sunt cei care „scurge” informațiile care sunt secrete comerciale. Pot exista o mulțime de motive pentru acest lucru - și obținerea de venituri suplimentare, și din neglijență sau accident.

Astăzi, companiile specializate în protecția tehnică a informațiilor valoroase oferă o serie de produse capabile să blocheze în mod dinamic dispozitivele prin care atacatorii pot descărca informații.

Dar este mai dificil să construiești protecție împotriva factorului uman. Este necesar să se explice clar angajaților ce informații sunt clasificate ca secret comercial și care este gradul de responsabilitate pentru dezvăluirea acestora. Limitați accesul la informațiile care constituie secret comercial: stabiliți procedura de manipulare a acestor informații, monitorizați respectarea acestei proceduri. Proiecta instructiune speciala asupra confidențialității.

Este obligatoriu să încheiați cu angajații contracte de munca, și cu contrapărțile (în latină contrahens - contractant - persoane, instituții, organizații legate de obligațiile acord general cooperarea in procesul de indeplinire a contractului) contracte de drept civil, care trebuie sa contina conditii de protectie a informatiilor confidentiale. Obligatia de nedivulgare poate fi intocmita sub orice forma, important este ca aceasta sa contina o lista de informatii care constituie secret comercial in firma dumneavoastra.

De asemenea, organizați o muncă specială de birou care să asigure siguranța media care conțin secrete comerciale și introduceți un sistem de separare a informațiilor în blocuri. Fiecare angajat ar trebui să știe exact cât este necesar pentru a-și îndeplini sarcinile.

O altă modalitate de a proteja drepturile deținătorului unui secret comercial este stabilirea de sancțiuni pentru încălcarea obligațiilor de confidențialitate de către contrapartidele din contractele de drept civil. Ca regulă generală, protecția drepturilor civile încălcate se realizează în instanță (recunoașterea dreptului, suprimarea acțiunilor ilegale, compensarea pierderilor). Pe lângă metodele de protecție civilă, secretele comerciale pot fi protejate prin dreptul muncii, dreptul penal și concurența neloială.

Dintre posibilitățile prevăzute de dreptul muncii, drepturile titularului unui secret comercial pot fi protejate prin acțiuni precum tragerea la răspundere materială și tragerea la răspundere disciplinară până la încetarea raportului de muncă. În plus, dacă există semne ale unei infracțiuni prevăzute de ramurile relevante ale dreptului, este posibilă atragerea la răspundere penală a infractorilor.

La stocarea informațiilor în formă electronică se pot distinge trei domenii de lucru privind protecția informațiilor: cercetarea teoretică, dezvoltarea instrumentelor de protecție și justificarea modalităților de utilizare a instrumentelor de protecție în sistemele automatizate.

În termeni teoretici, atenția principală se acordă studiului vulnerabilității informațiilor din sistemele electronice de procesare a informațiilor, fenomenului și analizei canalelor de scurgere a informațiilor, fundamentarii principiilor protecției informațiilor în sistemele automate mari și dezvoltării unor metode de evaluarea fiabilității protecției.

Până în prezent, au fost dezvoltate multe mijloace, metode, măsuri și măsuri diferite pentru a proteja informațiile acumulate, stocate și prelucrate în sisteme automate. Acestea includ hardware și software, închiderea criptografică a informațiilor, măsuri fizice, evenimente organizate, măsuri legislative. Uneori, toate aceste mijloace de protecție sunt împărțite în tehnice și netehnice, în plus, hardware și software și închiderea criptografică a informațiilor sunt clasificate ca tehnice, iar restul enumerate mai sus sunt netehnice.

a) metode de protecție hardware.

Protecția hardware include diverse dispozitive electronice, electro-mecanice, electro-optice. Până în prezent, a fost dezvoltat un număr semnificativ de hardware pentru diverse scopuri, dar următoarele sunt cele mai utilizate pe scară largă:

Registre speciale pentru stocarea detaliilor de securitate: parole, coduri de identificare, vulturi sau niveluri de secret,

Generatoare de cod concepute pentru generare automată codul de identificare al dispozitivului,

Dispozitive pentru măsurarea caracteristicilor individuale ale unei persoane (voce, amprente) pentru a o identifica,

Biți speciali de securitate, a căror valoare determină nivelul de securitate al informațiilor stocate în memoria căreia îi aparțin acești biți,

Scheme de întrerupere a transmiterii informațiilor în linia de comunicație pentru a verifica periodic adresa de ieșire a datelor.

Un grup special și cel mai răspândit de dispozitive de protecție hardware sunt dispozitivele pentru criptarea informațiilor (metode criptografice).

b) metode de protecţie software.

Software-ul de securitate include programe speciale, care sunt concepute pentru a îndeplini funcții de protecție și sunt incluse în software sisteme de prelucrare a datelor. Protecție software este cel mai comun tip de protecție, care este facilitat de proprietăți pozitive ale acestui instrument precum versatilitatea, flexibilitatea, ușurința de implementare, posibilitățile aproape nelimitate de schimbare și dezvoltare etc. De scop functional ele pot fi împărțite în următoarele grupe:

Identificarea mijloacelor tehnice (terminale, dispozitive de control al grupului I/O, calculatoare, medii de stocare), sarcini și utilizatori,

Stabilirea drepturilor mijloacelor tehnice (zile și orele de funcționare, sarcini permise pentru utilizare) și ale utilizatorilor,

Monitorizarea funcționării mijloacelor tehnice și a utilizatorilor,

Înregistrarea funcționării mijloacelor tehnice și a utilizatorilor la prelucrarea informațiilor cu utilizare limitată,

Distrugerea informațiilor din memorie după utilizare,

Alarme pentru acțiuni neautorizate,

Programe auxiliare în diverse scopuri: monitorizarea funcționării mecanismului de protecție, aplicarea unei ștampile de secret pe documentele emise.

c) backup.

Copierea de rezervă a informațiilor constă în stocarea unei copii a programelor pe un suport. Pe aceste medii, copiile programelor pot fi în formă normală (necomprimată) sau arhivată. Backup-ul este efectuat pentru a salva programele de deteriorare (atât intenționată, cât și accidentală) și pentru a stoca fișiere utilizate rar.

d) criptarea criptografică a informațiilor.

Închiderea criptografică (criptarea) informațiilor constă într-o astfel de transformare a informațiilor protejate, în care aspect nu este posibil să se determine conținutul datelor private. Protecție criptografică experții acordă o atenție deosebită, considerându-l cel mai fiabil, iar pentru informațiile transmise pe o linie de comunicare la distanță, singurul mijloc de protejare a informațiilor împotriva furtului.

Principalele direcții de lucru privind aspectul considerat al protecției pot fi formulate după cum urmează:

Alegerea sistemelor de criptare raționale pentru închiderea fiabilă a informațiilor,

Fundamentarea modalităților de implementare a sistemelor de criptare în sisteme automate,

Elaborarea regulilor de utilizare a metodelor criptografice de protecție în procesul de funcționare a sistemelor automate,

Evaluarea eficacității protecției criptografice.

Cifrurilor concepute pentru a închide informațiile din computere și sisteme automate sunt impuse o serie de cerințe, printre care: rezistență suficientă (fiabilitatea închiderii), ușurința de criptare și decriptare din metoda de reprezentare în interiorul mașinii a informațiilor, insensibilitate la mici erori de criptare, posibilitatea procesarea intramașină a informațiilor criptate, redundanța nesemnificativă a informațiilor din cauza criptării și o serie de altele. Într-o oarecare măsură, aceste cerințe sunt îndeplinite de unele tipuri de substituție, permutare, cifruri gamma, precum și de cifruri bazate pe transformări analitice ale datelor criptate.

Deosebit de eficiente sunt cifrurile combinate, atunci când textul este criptat secvenţial cu două sau un numar mare sisteme de criptare (de exemplu, substituție și gamma, permutare și gamma). Se crede că în acest caz puterea criptării depășește puterea totală a cifrurilor compozite.

Fiecare dintre sistemele de criptare poate fi implementat într-un sistem automatizat fie prin software, fie folosind echipamente speciale. Implementare software in comparatie cu hardware-ul este mai flexibil si mai ieftin. Cu toate acestea, criptarea hardware caz general de câteva ori mai eficient. Această circumstanță este crucială pentru volume mari de informații confidențiale.

e) măsuri de protecţie fizică.

Următoarea clasă din arsenalul de instrumente de securitate a informațiilor sunt măsurile fizice. Acestea sunt diverse dispozitive și structuri, precum și măsuri care fac dificilă sau imposibilă intrarea potențialilor intruși în locuri unde puteți avea acces la informații protejate. Măsurile cele mai frecvent utilizate sunt:

Izolarea fizică a structurilor în care sunt instalate echipamente sistem automatizat, din alte structuri,

Împrejmuirea teritoriului centrelor de calculatoare cu garduri la distanțe suficiente pentru a exclude înregistrare efectivă radiațiile electromagnetice și organizarea monitorizării sistematice a acestor teritorii,

Organizarea punctelor de control la intrările în sediul centrelor de calcul sau echipate ușile de intrareîncuietori speciale care vă permit să reglați accesul în incintă,

Organizarea unui sistem de alarma de securitate.

f) măsuri organizatorice de protecţie a informaţiilor.

Următoarea clasă de măsuri de securitate a informațiilor sunt măsuri organizaționale. Acestea sunt astfel de acte juridice de reglementare care reglementează funcționarea sistemului de prelucrare a datelor, utilizarea dispozitivelor și resurselor acestuia, precum și relația dintre utilizatori și sisteme în așa fel încât accesul neautorizat la informații devine imposibil sau îngreunat semnificativ. Măsurile organizaționale joacă un rol important în crearea unui mecanism fiabil de protecție a informațiilor. Motivele pentru care măsurile organizatorice joacă un rol sporit în mecanismul de protecție este că posibilitățile de utilizare neautorizată a informațiilor sunt determinate în mare măsură de aspecte netehnice: acțiuni rău intenționate, neglijență sau neglijență a utilizatorilor sau a personalului sistemelor de prelucrare a datelor. Influența acestor aspecte este aproape imposibil de evitat sau localizat cu ajutorul hardware-ului și software-ului de mai sus, închiderii criptografice a informațiilor și măsurilor de protecție fizică. Aceasta necesită un set de măsuri organizatorice, organizatoric-tehnice și organizatoric-juridice care să excludă posibilitatea pericolului de scurgere de informații în acest mod.

Principalele activități din acest agregat sunt următoarele:

Activități desfășurate în proiectarea, construcția și echiparea centrelor de calcul (CC),

Activități desfășurate în selecția și formarea personalului CE (verificarea celor angajați, crearea condițiilor în care personalul nu ar dori să-și piardă locul de muncă, familiarizarea cu măsurile de răspundere pentru încălcarea regulilor de protecție),

Organizarea controlului accesului fiabil,

Organizarea stocării și utilizării documentelor și suporturilor: definirea regulilor de emitere, menținerea jurnalelor de emitere și utilizare,

Controlul modificărilor în matematică și software,

Organizarea instruirii si controlul muncii utilizatorilor,

Una dintre cele mai importante măsuri organizatorice este menținerea unui serviciu special de protecție a informațiilor cu normă întreagă în CC, al cărui număr și componență ar asigura crearea unui sistem de protecție fiabil și funcționarea regulată a acestuia.

Astfel, mijloacele, metodele și măsurile de protecție discutate mai sus se rezumă la următoarele:

1. Cel mai mare efect se obține atunci când toate mijloacele, metodele și măsurile utilizate sunt combinate într-un singur mecanism integral de protecție a informațiilor.

2. Mecanismul de protecție ar trebui proiectat în paralel cu crearea sistemelor de prelucrare a datelor, începând din momentul în care este dezvoltată ideea generală de construire a sistemului.

3. Funcționarea mecanismului de protecție ar trebui să fie planificată și asigurată odată cu planificarea și furnizarea principalelor procese de prelucrare automată a informațiilor.

4. Este necesar să se monitorizeze constant funcționarea mecanismului de protecție.

Dacă rezultatele nu vă sperie, puteți trece la următorul bloc mare de lucru. Acest bloc urmărește crearea unui cadru legal pentru protecția informațiilor. În termeni generali, aceste activități constau în crearea Regulamentului privind secretele comerciale și a Listei informațiilor clasificate ca secrete comerciale, familiarizarea tuturor angajaților cu această prevedere, semnarea de către fiecare angajat a Acordului privind nedivulgarea secretelor comerciale. Un număr mare de documente se datorează faptului că instituția secretelor comerciale în dreptul rus este reglementată de mai multe ramuri de drept: - Drept civil - Drept penal - Dreptul muncii ii acord o atentie deosebita această etapă. Dacă doriți să luați măsuri legale pentru a vă proteja proprietatea (în acest caz informații), apoi luați în considerare implementarea acestor activități. De o importanță fundamentală nu este doar fiecare cuvânt din acordul de nedivulgare, ci și construcția propozițiilor și logica generală a documentului. Apoi puteți trece la pașii următori.

În primul rând, este necesar să vorbim despre măsuri preventive, iar apoi despre măsuri de identificare și suprimare a încercărilor de îndepărtare neautorizată a informațiilor, încercări de distrugere sau denaturare a informațiilor. Preventiv (preventiv) ar trebui să includă: - munca explicativă și educațională cu personalul - explicația despre ce este un secret comercial, cum să îl protejăm, care sunt consecințele dezvăluirii acestuia, ce ar trebui să facă un angajat într-o anumită situație, FIECARE angajat ar trebui să simtă acea această problemă se acordă suficientă atenție. - crearea condițiilor pentru ca angajații să protejeze informațiile - condiții de stocare a mediilor de informare (seif, dulap care se încuie etc.), condiții de transfer în siguranță a informațiilor ( canale închise comunicații) - curățarea preventivă a spațiilor deosebit de importante - înainte de evenimente importante, după întâlniri, precum și planificate, este necesar să se verifice spațiile deosebit de importante pentru prezența canalelor tehnice pentru scurgerea de informații - inspecție regulată a teritoriului unității - efectuată în același scop ca și evenimentul anterior - crearea unui mod special de operare atât la nivelul întreprinderii în ansamblu, cât și lucrul cu informații protejate în special - aceasta este o reglementare clară a stocării, transferului, utilizării, distrugerii informațiilor protejate cu descriere detaliata cine, în ce situație și ce ar trebui să facă, este și monitorizarea respectării acestui regim - studierea candidaților pentru muncă într-o companie - aceasta este aflarea biografiei candidatului, identificarea legăturilor sale cu criminalitatea, faptele negative ale vieții, comunicarea cu concurenți direcți și indirecți sau nedoritori, feedback de la locurile de muncă anterioare etc.

Măsurile de identificare a faptelor sau încercărilor de a sustrage, modifica și distruge informații includ: - monitorizarea continuă a mediului electromagnetic - monitorizarea instrumentală a tuturor emisiilor din instalație și a semnalelor electromagnetice în comunicații - măsuri operaționale - munca sub acoperire, provocări, lucru cu personalul, cu parteneri, cu clienții și cu concurenții.

Măsurile de prevenire sunt o continuare logică a acțiunilor anterioare: - suprimarea efectivă - pedepsirea angajatului (aceasta necesită o bază de dovezi), îndepărtarea dispozitivului încorporat etc. - crearea unui sistem de suprimare a radiațiilor neautorizate - utilizarea materialelor care absorb radiațiile electromagnetice în construcții și decorațiuni interioare, instalarea și utilizarea periodică a unui sistem de generatoare de zgomot - mascarea sau criptarea semnalelor utile - utilizarea dispozitivelor sau a programelor care criptează informațiile transmise sau maschează prezența acesteia. Aceasta este o scurtă listă a ceea ce trebuie creat pentru funcționarea normală a sistemului de securitate a informațiilor. Aceasta nu este o muncă de o zi și sistemul nu va funcționa singur, chiar dacă totul este descris în detaliu pe hârtie. Pentru ca acest colos să înceapă să producă rezultate, este nevoie de o persoană care știe CUM să o facă, care să fie capabilă și dispusă să o facă, precum și sprijinul adecvat din partea conducerii, mai ales în etapa inițială - etapa de formare. . Acest lucru se datorează în primul rând rezistenței angajaților la crearea sistemului. La urma urmei, aceasta este o complicație a muncii lor, ceea ce înseamnă eforturi suplimentare din partea lor. Iar oamenii sunt leneși și, prin urmare, vor rezista tuturor inovațiilor care le complică cumva viața, chiar cunoscând pe deplin importanța și necesitatea acestor inovații.

informație secret comercial clasificare