Система мер (режим)
сохранности ценностей и контроля
должна предусматривать:
- строго контролируемый
доступ лиц в режимные зоны (зоны обращения
и хранения финансов);
- максимальное
ограничение посещений режимных зон лицами,
не участвующими в работе;
- максимальное
сокращение количества лиц, обладающих
досмотровым иммунитетом;
- организацию
и осуществление присутственного (явочного)
и дистанционного - по техническим каналам
(скрытого) контроля за соблюдением режима
безопасности;
- организацию
тщательного контроля любых предметов
и веществ, перемещаемых за пределы режимных
зон;
- обеспечение
защищенного хранения документов, финансовых
средств и ценных бумаг;
- соблюдение
персональной и коллективной материальной
и финансовой ответственности в процессе
открытого обращения финансовых ресурсов
и материальных ценностей;
- организацию
тщательного контроля на каналах возможной
утечки информации;
- оперативное
выявление причин тревожных ситуаций
в режимных зонах, пресечение их развития
или ликвидацию во взаимодействии с силами
охраны.
Система мер
возврата утраченных материальных и
финансовых ресурсов слагается из совместных
усилий объектовых служб безопасности
и государственных органов охраны правопорядка
и безопасности.
На объектовую
службу безопасности возлагается:
- обнаружение
противоправного изъятия финансовых средств
из обращения или хранения;
- оперативное
информирование правоохранительных органов
о событиях и критических ситуациях;
- возможность
установления субъекта и время акции;
- проведение
поиска утраченных средств в районе объекта.
Дальнейший поиск
и возврат пропавших ресурсов
организуется в установленном порядке
через соответствующие органы правопорядка
и безопасности.
Система обеспечения
безопасности информационных ресурсов
должна предусматривать комплекс организационных,
технических, программных и криптографических
средств и мер по защите информации
в процессе традиционного документооборота
при работе исполнителей с конфиденциальными
документами и сведениями, при обработке
информации в автоматизированных системах
различного уровня и назначения, при передаче
по каналам связи, при ведении конфиденциальных
переговоров.
При этом основными
направлениями реализации технической
политики обеспечения информационной
безопасности в этих сферах деятельности
являются:
- защита информационных
ресурсов от хищения, утраты, уничтожения,
разглашения, утечки, искажения и подделки
за счет несанкционированного доступа
(НСД) и специальных воздействий;
- защита информации
от утечки вследствие наличия физических
полей за счет акустических и побочных
электромагнитных излучений и наводок
(ПЭМИН) на электрические цели, трубопроводы
и конструкции зданий.
В рамках указанных
направлений технической политики
обеспечения информационной безопасности
необходима:
- реализация
разрешительной системы допуска исполнителей
(пользователей) к работам, документам
и информации конфиденциального характера;
- ограничение
доступа исполнителей и посторонних лиц
в здания, помещения, где проводятся работы
конфиденциального характера, в том числе
на объекты информатики, на которых обрабатывается
(хранится) информация конфиденциального
характера;
- разграничение
доступа пользователей к данным автоматизированных
систем различного уровня и назначения;
- учет документов,
информационных массивов, регистрация
действий пользователей информационных
систем, контроль за несанкционированным
доступом и действиями пользователей;
- криптографическое
преобразование информации, обрабатываемой
и передаваемой средствами вычислительной
техники и связи;
- снижение
уровня и информативности ПЭМИН, создаваемых
различными элементами технических средств
обеспечения производственной деятельности
и автоматизированных информационных
систем;
- снижение
уровня акустических излучений;
- электрическая
развязка цепей питания, заземления и
других цепей технических средств, выходящих
за пределы контролируемой территории;
- активное
зашумление в различных диапазонах;
- противодействие
оптическим и лазерным средствам наблюдения;
- проверка
технических средств и объектов информатизации
на предмет выявления включенных в них
закладных устройств;
- предотвращение
внедрения в автоматизированные информационные
системы программ вирусного характера.
Защита информационных
ресурсов от несанкционированного доступа
должна предусматривать:
- обоснованность
доступа, когда исполнитель (пользователь)
должен иметь соответствующую форму допуска
для ознакомления с документацией (информацией)
определенного уровня конфиденциальности
и ему необходимо ознакомление с данной
информацией или необходимы действия
с ней для выполнения производственных
функций;
- персональную
ответственность, заключающуюся в том,
что исполнитель (пользователь) должен
нести ответственность за сохранность
доверенных ему документов (носителей
информации, информационных массивов),
за свои действия в информационных системах;
- надежность
хранения, когда документы (носители информации,
информационные массивы) хранятся в условиях,
исключающих несанкционированное ознакомление
с ними, их уничтожение, подделку или искажение;
- разграничение
информации по уровню конфиденциальности,
заключающееся в предупреждении показания
сведений более высокого уровня конфиденциальности
в документах (носителях информации, информационных
массивах) с более низким уровнем конфиденциальности,
а также предупреждение передачи конфиденциальной
информации по незащищенным линиям связи;
- контроль
за действиями исполнителей (пользователей)
с документацией и сведениями, а также
в автоматизированных системах и системах
связи;
- очистку (обнуление,
исключение информативности) оперативной
памяти, буферов при освобождении пользователем
до перераспределения этих ресурсов между
другими пользователями;
- целостность
технической и программной среды, обрабатываемой
информации и средств защиты, заключающаяся
в физической сохранности средств информатизации,
неизменности программной среды, определяемой
предусмотренной технологией обработки
информации, выполнении средствами защиты
предусмотренных функций, изолированности
средств защиты от пользователей.
Требование обоснованности
доступа реализуется в рамках
разрешительной системы допуска
к работам, документам и сведениям,
в которой устанавливается: кто,
кому, в соответствии с какими полномочиями,
какие документы и сведения (носители
информации, информационные массивы) для
каких действий или для какого вида доступа
может предоставить и при каких условиях,
и которая предполагает определение для
всех пользователей автоматизированных
систем информационных и программных
ресурсов, доступных им для конкретных
операций (чтение, запись, модификация,
удаление, выполнение) с помощью заданных
программно-технических средств доступа.
Положение о
персональной ответственности реализуется
с помощью:
- росписи исполнителей
в журналах, карточках учета, других разрешительных
документах, а также на самих документах;
- индивидуальной
идентификации пользователей и инициированных
ими процессов в автоматизированных системах;
- проверки
подлинности (аутентификации) исполнителей
(пользователей) на основе использования
паролей, ключей, магнитных карт, цифровой
подписи, а также биометрических характеристик
личности как при доступе в автоматизированные
системы, так и в выделенные помещения
(зоны).
Условие надежности
хранения реализуется с помощью:
- хранилищ
конфиденциальных документов, оборудованных
техническими средствами охраны в соответствии
с установленными требованиями, доступ
в которые ограничен и осуществляется
в установленном порядке;
- выделения
помещений, в которых разрешается работа
с конфиденциальной документацией, оборудованных
сейфами и металлическими шкафами, а также
ограничения доступа в эти помещения;
- использования
криптографического преобразования информации
в автоматизированных системах.
Правило разграничения
информации по уровню конфиденциальной
реализуется с помощью:
- предварительно
учтенных тетрадей для ведения конфиденциальных
записей или носителей информации, предназначенных
для информации определенного уровня
секретности.
Система контроля
за действиями исполнителей реализуется
с помощью:
- организационных
мер контроля при работе исполнителей
с конфиденциальными документами и сведениями;
- регистрации
(протоколирования) действий пользователей
с информационными и программными ресурсами
автоматизированных систем с указанием
даты и времени, идентификаторов запрашивающего
и запрашиваемых ресурсов, вида взаимодействия
и его результата, включая запрещенные
попытки доступа;
- сигнализации
о несанкционированных действиях пользователей.
Очистка памяти
осуществляется организационными и программными
мерами, а целостность автоматизированных
систем обеспечивается комплексом программно-
технических средств и организационных
мероприятий.
Защита информации
от утечки за счет побочных электромагнитных
излучений и наводок (ПЭМИН).
Основным направлением
защиты информации от утечки за счет ПЭМИН
является уменьшение отношения информативного
сигнала к помехе до предела, определяемого
"Нормами эффективности защиты
АСУ и ЭВМ от утечки информации
за счет ПЭМИН", при котором восстановление
сообщений становится принципиально невозможным.
Решение этой задачи достигается как снижением
уровня излучений информационных сигналов,
так и увеличением уровня помех в соответствующих
частотных диапазонах.
Первый способ
реализуется выбором системно-технических
и конструкторских решений при создании
технических средств ЭВТ в "защищенном
исполнении", а также рациональным выбором
места размещения технических средств
относительно направлений возможного
перехвата информативного сигнала.
Второй способ
реализуется в основном за счет применения
активных средств защиты в виде "генераторов
шума" и специальной системы антенн.
Защита информации
в линиях связи.
К основным видам
линий связи, используемых для передачи
информации, можно отнести проводные
(телефонные, телеграфные), радио и радиорелейные,
тропосферные и космические линии связи.
При необходимости
передачи по ним конфиденциальной информации
основным направлением защиты информации,
передаваемой по всем видам линий
связи, от перехвата, искажения и
навязывания ложной информации является
использование крипто-логического преобразования
информации, а на небольших расстояниях,
кроме того, использование защищенных
волоконно-оптических линий связи.
Для защиты информации
должны использоваться средства криптографической
защиты данных гарантированной стойкости
для определенного уровня конфиденциальности
передаваемой информации и соответствующая
ключевая система, обеспечивающая надежный
обмен информацией и аутентификацию (подтверждение
подлинности) сообщений.
Безопасное использование
технических средств информатизации.
Одним из методов
технической разведки и промышленного
шпионажа является внедрение в конструкцию
технических средств информатизации
закладных устройств перехвата,
трансляции информации или вывода технических
средств из строя.
В целях противодействия
такому методу воздействия на объекты
информатики, для технических средств
информатизации, предназначенных для
обработки конфиденциальной информации,
в обязательном порядке проводится
проверка этих средств, осуществляемая
специализированными организациями с
помощью специальных установок и оборудования,
как правило, в стационарных условиях
в соответствии с установленными требованиями.