Направления обеспечения информационной безопасности — это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз.
ПОСТУЛАТЫ БЕЗОПАСНОСТИ
1. Если не уверен в безопасности, считай, что опасность существует реально.
2. Безопасности бесплатной не бывает.
3. Безопасности не бывает много.
4. Безопасность должна быть только комплексной.
5. Комплексная безопасность может быть обеспечена только системой безопасности.
6. Никакая система безопасности не обеспечивает требуемого уровня без надлежащей подготовки руководителей, сотрудников и клиентов.
7. В безопасности должен быть заинтересован каждый.
Направления обеспечения безопасности вообще рассматриваются как нормативно-правовые категории, определяющие комплексные меры защиты информации на государственном уровне, на уровне предприятия и организации, на уровне отдельной личности (рис. 9).
С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:
- правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;
- организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям;
- инженерно-техническая защита - это использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности (рис. 9).
Кроме этого, защитные действия, ориентированные на обеспечение информационной безопасности, могут быть охарактеризованы целым рядом параметров, отражающих, помимо направлений, ориентацию на объекты защиты, характер угроз, способы действий, их распространённость, охват и масштабность (рис. 10).
Так, по характеру угроз защитные действия ориентированы на защиту информации от разглашения, утечки и несанкционированного доступа. По способам действий их можно подразделить на предупреждение, выявление, обнаружение, пресечение и восстановление ущерба или иных убытков. По охвату защитные действия могут быть ориентированы на территорию, здание, помещение, аппаратуру или отдельные элементы аппаратуры. Масштабность защитных мероприятий характеризуется как объектовая, групповая или индивидуальная защита. Например, защита автономной ПЭВМ в режиме индивидуального пользования.
2.1. Правовая защита
Как известно, право - это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).
Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами (рис. 11).
В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур (рис. 12).
Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов Российской Федерации.
Требования информационной безопасности должны органически включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и др. В литературе приводится такая структура правовых актов, ориентированных на правовую защиту информации [4].
Первый блок - конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы.
Второй блок - общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности и др.), которые включают нормы по вопросам информатизации и информационной безопасности.
Третий блок - законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам защиты информации. Наряду с общими вопросами информационного обеспечения и защиты информации конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, представляющей общегосударственный интерес.
Четвертый блок - специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входит и Закон РФ «Об информации, информатизации и защите информации» и др. Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности.
Пятый блок - законодательство субъектов Российской Федерации, касающееся защиты информации.
Шестой блок - подзаконные нормативные акты по защите информации.
Седьмой блок - это правоохранительное законодательство России, содержащее нормы об ответственности за правонарушения в сфере информатизации.
Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов информационной деятельности:
- информации и информационных систем;
- субъектов - участников информационных процессов;
- правоотношений производителей - потребителей информационной продукции;
- владельцев (обладателей, источников) информации - обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.
Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.
В дополнение к базовому закону в мае 1992 г. были приняты Законы «О правовой охране программ для электронно-вычислительных машин и баз данных» и «О правовой охране топологии интегральных микросхем». Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с традиционными базами данных топологии интегральных микросхем и программы для ЭВМ. Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна».
1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране её конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.
Вторая часть этого проекта статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба. Звучит это так: «Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору».
Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации (см. нижеприведенную таблицу).
Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень сведений, подлежащих охране, и меры ответственности за их разглашение.
Одним из новых для нас направлений правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, возникающих в ходе работы с информацией. К ним относятся разглашение, утечка и несанкционированный доступ к конфиденциальной информации.
Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, причиненных стихийными бедствиями, чрезвычайными происшествиями в различных областях деятельности, противоправными действиями со стороны конкурентов и злоумышленников путем выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступлении страхового события.
В основе российского страхового законодательства лежит Закон РФ «О страховании». Он призван гарантировать защиту интересов страхователей, определять единые положения по организации страхования и принципы государственного регулирования страховой деятельности.
Закон «О страховании» дает следующее понятие страхования: «Страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов».
Действия по защите информации от утечки по техническим каналам регламентируются следующими правовыми документами:
1. ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при её обработке СВТ». (ПЭМИН - побочные электромагнитные излучения и наводки.)
2. ГОСТ Р 50752 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний».
3. Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН.
4. Специальные требования и рекомендации по защите объектов ЭВТ II и III категории от утечки информации за счет ПЭМИН.
Действия по защите информации от несанкционированного доступа (НСД) регламентируют Постановление Правительства РФ от 15.09.93 № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам», а также Указы Президента РФ «О создании государственной технической комиссии при Президенте РФ» (от 05.01.92 № 9); «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» (от 08.05.93 № 644); «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (от 03.04.95 № 334); «Положение о государственной системе защиты информации в Российской Федерации»
Правовыми документами являются и государственные стандарты на информационную деятельность с учетом обеспечения её безопасности, в частности ГОСТ Р 50739-95 «СВТ. Защита от НСД к информации»; ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»; ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»; ГОСТ Р.34.11-94 «Функция хэширования»; ГОСТ Р.В.50170-92 «Противодействие ИТР. Термины и определения».
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:
- Положение о сохранении конфиденциальной информации;
- Перечень сведений, составляющих конфиденциальную информацию;
- Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
- Положение о специальном делопроизводстве и документообороте;
- Перечень сведений, разрешенных к опубликованию в открытой печати;
- Положение о работе с иностранными фирмами и их представителями;
- Обязательство сотрудника о сохранении конфиденциальной информации;
- Памятка сотруднику о сохранении коммерческой тайны.
Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе и в случае их нарушения должны приниматься соответствующие меры воздействия.
В зависимости от характера информации, её доступности для заинтересованных потребителей, а также экономической целесообразности конкретных защитных мер могут быть избраны следующие формы защиты информации:
- патентование;
- авторское право;
- признание сведений конфиденциальными;
- товарные знаки;
- применение норм обязательственного права.
В таблице 1 приводятся некоторые характеристики этих форм и анализируется взаимосвязь между ними, а в таблице 2 приведены определения и основные параметры коммерческой тайны.
Существуют определенные различия между авторским правом и КТ.
Авторское право защищает только форму выражения идеи. КТ относится непосредственно к содержанию. Авторское право защищает от копирования независимо от конфиденциальных отношений с владельцем. К авторскому праву прибегают при широкой публикации своей информации, в то время как КТ держат в секрете. Очевидно, что по сравнению с патентом и авторским правом коммерческая и производственная тайны являются наиболее удобными, надежными и гибкими формами защиты информации.
Таблица 1
Взаимосвязь патентов и коммерческой тайны
Помимо вышеизложенных форм правовой защиты и права принадлежности информации находит широкое распространение официальная передача права на пользование ею в виде лицензии.
Лицензия - это разрешение, выдаваемое государством на проведение некоторых видов хозяйственной деятельности, включая внешнеторговые операции (ввоз и вывоз) и предоставление права использовать защищенные патентами изобретения, технологии, методики. \ Лицензионные разрешения предоставляются на определенное время и на определенные виды товаров.
Таблица 2
Коммерческая тайна
К коммерческой тайне не относятся:
- охраняемые государством сведения;
- общеизвестные на законных основаниях сведения;
- общедоступные сведения, патенты, товарные знаки;
- сведения о негативной стороне деятельности;
- учредительные документы и сведения о хозяйственной деятельности.
На все эти формы защиты интеллектуальной собственности имеются соответствующие законы РФ - закон о патентах, закон об авторском праве, проект закона о коммерческой тайне, закон о товарных знаках и др.
Создавая систему информационной безопасности, необходимо чётко понимать, что без правового обеспечения защиты информации любые последующие претензии с вашей стороны к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся просто беспочвенными.
Если перечень сведений конфиденциального характера не доведён своевременно до каждого сотрудника (естественно, если он допущен по должностным обязанностям) в письменном виде, то сотрудник, укравший важную информацию в нарушение установленного порядка работы с ней, скорее всего разведет руками: мол, откуда мне это знать! В этом случае никакие инстанции, вплоть до судебных, не смогут Вам помочь.
Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:
- предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
- предприятие обязано обеспечить сохранность конфиденциальной информации.
Такие требования дают право администрации предприятия:
- создавать организационные структуры по защите конфиденциальной информации;
- издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
- включать требования по защите информации в договоры по всем видам хозяйственной деятельности;
- требовать защиты интересов предприятия со стороны государственных и судебных инстанций;
- распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства;
- разработать «Перечень сведений конфиденциальной информации». Требования правовой обеспеченности защиты информации предусматриваются в коллективном договоре. Коллективный договор должен содержать следующие требования:
Раздел «Предмет договора».
Администрация предприятия (в том числе и администрация самостоятельных подразделений) ОБЯЗУЕТСЯ обеспечить разработку и осуществление мероприятий по определению и защите конфиденциальной информации. Трудовой коллектив принимает на себя обязательства по соблюдению установленных на предприятии требований по защите конфиденциальной информации. Администрация обязана учесть требования защиты конфиденциальной информации в правилах внутреннего распорядка.
Раздел «Кадры. Обеспечение дисциплины труда».
Администрация обязуется: нарушителей требований по защите коммерческой тайны привлекать к административной и уголовной ответственности в соответствии с действующим законодательством.
Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями.
Раздел «Порядок приема и увольнения рабочих и служащих».
- При поступлении рабочего или служащего на работу или переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией предприятия, а также при увольнении администрация обязана проинструктировать работника или служащего по правилам сохранения коммерческой тайны с оформлением письменного обязательства о её неразглашении.
- Администрация предприятия вправе принимать решение об отстранении от работ лиц, которые нарушают установленные требования по защите конфиденциальной информации.
Раздел «Основные обязанности рабочих и служащих».
Рабочие и служащие обязаны соблюдать требования нормативных документов по защите конфиденциальной информации предприятия.
Раздел «Основные обязанности администрации». Администрация предприятия, руководители подразделений обязаны:
- обеспечить строгое сохранение конфиденциальной информации, постоянно осуществлять организаторскую и воспитательно-профилактическую работу, направленную на защиту секретов предприятия;
- включить в должностные инструкции и положения обязанности по сохранению конфиденциальной информации;
- неуклонно выполнять требования Устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других организационных и хозяйственных документов в части обеспечения экономической и информационной безопасности.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). В соответствии с КЗоТ (гл. III) при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора (КЗоТ РФ ст. 18).
Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, вытекающие из норматавно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения информационной безопасности.
Использование договоров о неразглашении тайны - вовсе не самостоятельная мера по ее защите. Не следует думать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по защите информации, и правовая основа к тому, чтобы пресечь его неверные или противоправные действия. Дальше задача - не допустить утраты коммерческих секретов.
Реализация правовых норм и актов, ориентированных на защиту информации на организационном уровне, опирается на те или иные организационно-правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права.
Конфиденциальность - это форма обращения со сведениями, составляющими коммерческую тайну, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями.
Договоры - это соглашения сторон (двух и более лиц) об установлении, изменении или прекращении взаимных обязательств.
Обязательство - гражданское правоотношение, в силу которого одна сторона (должник) обязана совершить в пользу другой стороны определенные действия (рис. 13).
Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций.
Анализ законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.
2.2. Организационная защита
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
- организацию охраны, режима, работу с кадрами, с документами;
- использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а .злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или по крайней мере сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации. .
К основным организационным мероприятиям можно отнести:
- организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
- организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
- организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
- организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
- организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению её защиты;
- организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей (рис. 14),
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей [37].
Организация защиты ПЭВМ, информационных систем и сетей определяет порядок и схему функционирования основных её подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативно-правовыми требованиями и правилами. Защита информации на основе организационных мер играет большую роль в обеспечении надежности и эффективности, так как несанкционированный доступ и утечка информации чаще всего обусловлены злоумышленными действиями, небрежностью пользователей или персонала. Эти факторы практически невозможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых совместно с техническими методами, имеют цель исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов.
Организационные средства защиты ПЭВМ и информационных сетей применяются:
- при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;
- при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;
- при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);
- при соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);
- при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.);
- при подготовке и контроле работы пользователей.
Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.
Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться какой-то организационной структурой, каким-то специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности предпринимательской деятельности и защите информации.
Зачастую таким структурным подразделением является служба безопасности предприятия (фирмы, организации), на которую возлагаются следующие общие функции:
- организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;
- обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями;
- руководство работами по правовому и организационному регулированию отношений по защите информации;
- участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
- разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения; при всех видах работ организация и контроль выполнения требований «Инструкции по защите конфиденциальной информации»;
- изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентной и других организаций, о деятельности предприятия и его клиентов, партнеров, смежников;
- организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия;
- разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера» и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации;
- обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия;
- осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциальной информации;
- организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности;
- ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов;
- обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз;
- поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне) и оказания взаимной помощи в кризисных ситуациях.
Служба безопасности является самостоятельной организационной единицей предприятия, подчиняющейся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности.
Организационно служба безопасности состоит из следующих структурных единиц:
- подразделения режима и охраны;
- специального подразделения обработки документов конфиденциального характера;
- инженерно-технических подразделений;
- информационно-аналитических подразделений.
В таком составе СБ способна обеспечить защиту конфиденциальной формации от любых угроз.
К задачам службы безопасности предприятия относятся:
- определение круга лиц, которые в силу занимаемого служебного положения на предприятии прямо или косвенно имеют доступ к сведениям конфиденциального характера;
- определение участков сосредоточения конфиденциальных сведений;
- определение круга сторонних предприятий, связанных с данным предприятием кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера;
- выявление круга лиц, не допущенных к конфиденциальной информации, но проявляющих повышенный интерес к таким сведениям;
- выявление круга предприятий, в том числе и иностранных, заинтересованных в овладении охраняемыми сведениями с целью нанесения экономического ущерба данному предприятию, устранения экономического конкурента либо его компрометации;
- разработка системы защиты документов, содержащих сведения конфиденциального характера;
- определение на предприятии участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих предприятиям, связанным с ним кооперацией;
- определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям;
- определение уязвимых мест в технологии производственного цикла, несанкционированное изменение в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию (потеря конкурентоспособности);
- определение мест на предприятии, несанкционированное посещение которых может привести к изъятию (краже) готовой продукции или полуфабрикатов, заготовок и др.; и организация их физической защиты и охраны;
- определение и обоснование мер правовой, организационной и инженерно-технической защиты предприятия, персонала, продукции и информации;
- разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности предприятия;
- внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности;
- организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями;
- изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для их совершенствования;
- разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалистов, разработку необходимой документации в целях совершенствования системы мер по обеспечению экономической и информационной безопасности.
2.3. Инженерно-техническая защита
На вооружении промышленных шпионов, недобросовестных конкурентов и просто злоумышленников находятся самые разнообразные средства проникновения на объекты противоправных интересов и получения конфиденциальной информации. В этих условиях в интересах обеспечения информационной безопасности необходимы адекватные по ориентации, функциональному назначению и другим характеристикам технические средства защиты охраняемых секретов.
2.3.1. Общие положения
Инженерно-техническая защита (ИТЗ) по определению - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.
Многообразие целей, задач, объектов защиты и проводимых мероприятии предполагает рассмотрение некоторой системы классификации средств по виду, ориентации и другим характеристикам.
Например, средства инженерно-технической защиты можно рассматривать по объектам их воздействия. В этом плане они могут применяться для защиты людей, материальных средств, финансов, информации и др.
Примерная классификационная структура инженерно-технической защиты приведена на рис. 15.
Многообразие классификационных характеристик позволяет рассматривать инженерно-технические средства по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны службы безопасности.
По функциональному назначению средства инженерно-технической защиты классифицируются на следующие группы:
- физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации (рис. 16) и осуществляющие защиту персонала, материальных средств и финансов и информации от противоправных воздействий;
- аппаратные средства. Сюда входят приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. В практике деятельности предприятия находит широкое применение самая различная аппаратура, начиная с телефонного аппарата до совершенных автоматизированных систем, обеспечивающих производственную деятельность. Основная задача аппаратных средств - обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;
- программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки сбора, накопления, хранения, обработки и передачи) данных;
- криптографические средства - то специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.
Аппаратные средства и методы защиты распространены достаточно широко. Однако из-за того, что они не обладают достаточной гибкостью, часто теряют свои защитные свойства при раскрытии их принципов действия и в дальнейшем не могут быть используемы.
Программные средства и методы защиты надежны и период их гарантированного использования без перепрограммирования значительно больше, чем аппаратных.
Криптографические методы занимают важное место и выступают надежным средством обеспечения защиты информации на длительные периоды.
Очевидно, что такое деление средств защиты информации достаточно условно, так как на практике очень часто они и взаимодействуют и реализуются в комплексе в виде программно-аппаратных модулей с широким использованием алгоритмов закрытия информации.
2.3.2. Физические средства защиты
Физические средства защиты - это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников.
К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий (рис. 17).
Эти средства применяются для решения следующих задач:
1) охрана территории предприятия и наблюдение за ней;
2) охрана зданий, внутренних помещений и контроль за ними;
3) охрана оборудования, продукции, финансов и информации;
4) осуществление контролируемого доступа в здания и помещения.
Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов - это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов и др.). Средства пожаротушения относятся к системам ликвидации угроз.
В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:
- охранные и охранно-пожарные системы;
- охранное телевидение;
- охранное освещение;
- средства физической защиты.
2.3.2.1. Охранные системы
Охранные системы и средства охранной сигнализации предназначены для обнаружения различных видов угроз: попыток проникновения на объект защиты, в охраняемые зоны и помещения, попыток проноса (выноса) оружия, средств промышленного шпионажа, краж материальных и финансовых ценностей и других действий; оповещения сотрудников охраны или персонала объекта о появлении угроз и необходимости усиления контроля доступа на объект, территорию, в здания и помещения.
Важнейшими элементами охранных систем являются датчики, обнаруживающие появление угрозы. Характеристики и принципы работы датчиков определяют основные параметры и практические возможности охранных систем.
Уже разработано и широко используется значительное количество самых разнообразных датчиков как по принципам обнаружения различных физических полей, так и по тактическому использованию.
Эффективность работы системы охраны и охранной сигнализации в основном определяется параметрами и принципом работы датчиков. На сегодня известны датчики следующих типов: механические выключатели; проволока с выключателем; магнитный выключатель; ртутный выключатель; коврики давления; металлическая фольга; проволочная сетка; шифроволновый датчик; ультразвуковой датчик; инфракрасный датчик; фотоэлектрический датчик; акустический датчик; вибрационный датчик; индуктивный датчик; емкостный датчик и др.
Каждый тип датчика реализует определенный вид защиты: точечная защита, защита по линии, защита по площади или защита по объему. Механические датчики ориентированы на защиту линии, коврики давления - на точечное обнаружение, а инфракрасные находят широкое применение по площади и по объему.
Датчики посредством тех или иных каналов связи соединены с контрольно-приемным устройством пункта (или поста) охраны и средствами тревожного оповещения.
Каналами связи в системах охранной сигнализации могут быть специально проложенные проводные или кабельные линии, телефонные линии объекта, линии связи трансляции, системы освещения или радиоканалы. Выбор каналов определяется возможностями объекта.
Важным объектом охранной системы являются средства тревожного оповещения: звонки, лампочки, сирены, подающие постоянные или прерываемые сигналы о появлении угрозы.
По тактическому назначению охранные системы подразделяются на системы охраны:
- периметров объектов;
- помещений и проходов в служебных и складских зданиях;
- сейфов, оборудования, основных и вспомогательных технических средств;
- автотранспорта;
- персонала, в том числе и личного состава охраны, и др.
К средствам физической защиты относятся:
- естественные и искусственные барьеры;
- особые конструкции периметров, проходов, оконных и дверных переплетов, помещений, сейфов, хранилищ и др.;
- зоны безопасности.
Естественные и искусственные барьеры служат для противодействия незаконному проникновению на территорию объекта. Однако основная защитная нагрузка ложится все-таки на искусственные барьеры - такие, как заборы и другие виды ограждений. Практика показывает, что ограждения сложной конфигурации способны задержать злоумышленника на достаточно большое время. На сегодня насчитывается значительный арсенал таких средств: от простых сетчатых до сложных комбинированных ограждений, оказывающих определенное отпугивающее воздействие на нарушителя.
Особые конструкции периметров, проходов, оконных переплетов, помещений, сейфов, хранилищ являются обязательными с точки зрения безопасности для любых организаций и предприятий. Эти конструкции должны противостоять любым способам физического воздействия со стороны криминальных элементов: механическим деформациям, разрушению сверлением, термическому и механическому резанию, взрыву и др.; несанкционированному доступу путем подделки ключей, угадывания кода и др. Одним из главных технических средств защиты проходов, помещений, сейфов и хранилищ являются замки. Они бывают простыми (с ключами), кодовыми (в том числе и с временной задержкой на открывание) и с программными устройствами, открывающие двери и сейфы только в определенные часы.
Зоны безопасности. Важнейшим средством физической защиты является планировка объекта, его зданий и помещений по зонам безопасности, которые учитывают степень важности различных частей объекта с точки зрения нанесения ущерба от различного вида угроз. Оптимальное расположение зон безопасности и размещение в них эффективных технических средств обнаружения, отражения и ликвидации последствий противоправных действий составляет основу концепции инженерно-технической защиты объекта.
Зоны безопасности должны располагаться на объекте последовательно, от забора вокруг территории объекта до хранилищ ценностей, создавая цепь чередующихся друг за другом препятствий (рубежей), которые придется преодолевать злоумышленнику. Чем сложнее и надежнее препятствие на его пути, тем больше времени потребуется на преодоление каждой зоны и тем больше вероятность того, что расположенные в каждой зоне средства обнаружения (охранные посты, охранная сигнализация и охранное телевидение) выявят наличие нарушителя и подадут сигнал тревога.
Основу планировки и оборудования зон безопасности объекта составляет принцип равнопрочности границ зон безопасности. Суммарная прочность зон безопасности будет оцениваться наименьшей из них.
2.3.2.2. Охранное телевидение
Одним из распространенных средств охраны является охранное телевидение. Привлекательной особенностью охранного телевидения является возможность не только отметить нарушение режима охраны объекта, но и контролировать обстановку вокруг него в динамике ее развития, определять опасность действий, вести скрытое наблюдение и производить видеозапись для последующего анализа правонарушения как с целью анализа, так и для привлечения к ответственности нарушителя.
Источниками изображения (датчиками) в системах охранного телевидения являются видеокамеры. Через объектив изображение злоумышленника попадает на светочувствительный элемент камеры, в котором оно преобразуется в электрический сигнал, поступающий затем по специальному коаксиальному кабелю на монитор и при необходимости - на видеомагнитофон.
Видеокамера является наиболее важным элементом системы охранного телевидения, так как от ее характеристик зависит эффективность и результативность всей системы контроля и наблюдения. В настоящее время разработаны и выпускаются самые разнообразные модели, различающиеся как по габаритам, так и по возможностям, и по конструктивному исполнению.
Вторым по значимости элементом системы охранного телевидения является монитор. Он должен быть согласован по параметрам с видеокамерой. Часто используется один монитор с несколькими камерами, подсоединяемыми к нему поочередно средствами автоматического переключения по определенному регламенту. В некоторых системах телевизионного наблюдения предусматривается возможность автоматического подключения камеры, в зоне обзора которой произошло нарушение. Используется и более сложное оборудование, включающее средства автоматизации, устройства одновременного вывода нескольких изображений, детекторы движения для подачи сигнала тревоги при выявлении каких-либо изменений в изображении.
2.3.2.3. Охранное освещение
Обязательной составной частью системы защиты любого объекта является охранное освещение. Различают два вида охранного освещения - дежурное и тревожное.
Дежурное освещение предназначается для постоянного использования в нерабочие часы, в вечернее и ночное время, как на территории объекта, так и внутри здания.
Тревожное освещение включается при поступлении сигнала тревоги от средства охранной сигнализации. Кроме того, по сигналу тревоги в дополнение к освещению могут включаться и звуковые приборы (звонки, сирены и др.).
Сигнализация и дежурное освещение должны иметь резервное электропитание на случай аварии или выключения электросети.
2.3.2.4. Ограждения и физическая изоляция
В последние годы большое внимание уделяется созданию систем физической защиты, совмещенных с системами сигнализации. Так, известна электронная система сигнализации для использования с проволочным заграждением. Система состоит из электронных датчиков и микропроцессора, управляющего блоком обработки данных. Заграждение длиной до 100 м может устанавливаться на открытой местности или размещаться на стенах, чердаках и имеющихся оградах, Устойчивые к воздействию окружающей среды датчики монтируются на стойках, кронштейнах. Проволочное заграждение состоит из 32 горизонтально натянутых стальных нитей, в средней части каждой из которых крепится электромеханический датчик, преобразующий изменение натяжения нитей в электрический сигнал.
Превышение пороговой величины напряжения, программируемое по амплитуде для каждого датчика отдельно, вызывает сигнал тревоги. Связь системы с центральным пунктом управления и контроля осуществляется с помощью мультиплексора. Микропроцессор автоматически через определенные интервалы времени проверяет работу компонентов аппаратуры и программных средств и - в случае установления отклонений - подает соответствующий сигнал.
Подобные и ряд других аналогичных систем физической защиты могут использоваться для защиты объектов по периметру в целях обнаружения вторжения на территорию объекта.
Используются системы из сетки двух волоконно-оптических кабелей, по которым передаются кодированные сигналы инфракрасного диапазона. Если в сетке нет повреждений, то сигналы поступают на приёмное устройство без искажений. Попытки повреждения сетки приводят к обрывам или деформации кабелей, что вызывает сигнал тревоги. Оптические системы отличаются низким уровнем ложных тревог, вызванных воздействием на нее мелких животных, птиц, изменением погодных условий и высокой вероятностью обнаружения попыток вторжения.
Следующим видом физической защиты является защита элементов зданий и помещений. Хорошую физическую защиту оконных проемов помещений обеспечивают традиционные металлические решетки, а также специальное остекление на основе пластических масс, армированных стальной проволокой. Двери и окна охраняемого помещения оборудуются датчиками, срабатывающими при разрушении стекол, дверей, но не реагирующими на их колебания, вызванные другими причинами. Срабатывание датчиков вызывает сигнал тревоги.
Среди средств физической защиты особо следует отметить средства защиты ПЭВМ от хищения и проникновения к их внутренним компонентам. Для этого используют металлические конструкции с клейкой подставкой, которая обеспечивает сцепление с поверхностью стола силой в 2500-2700 кг/см. Это исключает изъятие или перемещение ПЭВМ без нарушения целостности поверхности стола. Перемещение ПЭВМ возможно только с использованием специальных ключей и инструментов.
2.3.2.5. Запирающие устройства
Запирающие устройства и специальные шкафы занимают особое место в системах ограничения доступа, поскольку они несут в себе признаки как систем физической защиты, так и устройств контроля доступа. Они отличаются большим разнообразием и предназначены для защиты документов, материалов, магнитных и фотоносителей и даже технических средств: ПЭВМ, калькуляторов, принтеров, ксероксов и др.
Выпускаются специальные металлические шкафы для хранения ПЭВМ и другой техники. Такие шкафы снабжаются надежной двойной системой запирания: замком ключевого типа и трех - пятизначным комбинированным замком. Фирмы утверждают, что такие шкафы обладают прочностью и надежностью, достаточными для защиты от промышленного шпионажа.
Выпускаются замки с программируемым временем открывания с помощью механических или электронных часов.
2.3.2.6. Системы контроля доступа
Регулирование доступа в помещения или здания осуществляется прежде всего посредством опознавания службой охраны или техническими средствами.
Контролируемый доступ предполагает ограничение круга лиц, допускаемых в определенные защищаемые зоны, здания, помещения, и контроль за передвижением этих лиц внутри них.
Основанием допуска служит определенный метод опознавания и сравнения с разрешительными параметрами системы. Имеется весьма широкий спектр методов опознавания уполномоченных лиц на право их доступа в помещения, здания, зоны.
На основе опознавания принимается решение о допуске лиц, имеющих на это право, или запрещение - для не имеющих его. Наибольшее распространение получили атрибутные и персональные методы опознавания.
К атрибутным способам относятся средства подтверждения полномочий, такие, в частности, как документы (паспорт, удостоверение и др.), карты (фотокарточки, карты с магнитными, электрическими, механическими идентификаторами и др.) и иные средства (ключи, сигнальные элементы и др.). Заметим, что эти средства в значительной мере подвержены различного рода подделкам и мошенничеству.
Персональные методы - это методы определения лица по его независимым показателям: отпечаткам пальцев, геометрии рук, особенностям глаз и др. Персональные характеристики бывают статические и динамические. К последним относятся пульс, давление, кардиограммы, речь, почерк и др.
Персональные способы наиболее привлекательные. Во-первых, они полно описывают каждого отдельного человека. Во-вторых, невозможно или крайне трудно подделать индивидуальные характеристики.
Статические способы включают анализ физических характеристик - таких, как отпечатки пальцев, особенности геометрии рук и др. Они достаточно достоверны и обладают малой вероятностью ошибок.
Динамические же способы используют изменяющиеся во времени опознавательные характеристики.
Характеристики, зависящие от привычек и навыков, являются не только наиболее простыми для подделок, но и наиболее дешевыми с точки зрения практической реализации.
Способы опознавания, основанные на чем-либо запоминаемом (код, пароль и др.), могут применяться в случаях наиболее низких требований к безопасности, так как часто эта информация записывается пользователями на различных бумажках, в записных книжках и других носителях, что при их доступности другим может свести на нет все усилия по безопасности. Кроме того, имеется реальная возможность подсмотреть, подслушать или получить эту информацию другим путем (насилие, кража и др.).
Способ опознавания человеком (вахтер, часовой) не всегда надежен из-за так называемого «человеческого фактора», заключающегося в том, что человек подвержен влиянию многих внешних условий (усталость, плохое самочувствие, эмоциональный стресс, подкуп и др.). В противовес этому находят широкое применение технические средства опознавания, такие, например, как идентификационные карты, опознавание по голосу, почерку, пальцам и др.
Простейший и наиболее распространенный метод идентификации использует различные карты и карточки, на которых помещается кодированная или открытая информация о владельце, его полномочиях и др.
Обычно это пластиковые карты типа пропусков или жетонов. Карты вводятся в читающее устройство каждый раз, когда требуется войти или выйти из охраняемого помещения или получить доступ к чему-нибудь (сейфу, камере, терминалу и др.).
Существует много разновидностей устройств опознавания и идентификации личности, использующих подобные карты. Одни из них оптическим путем сличают фотографии и другие идентификационные элементы, другое - магнитные поля и др.
Системы опознавания по отпечаткам пальцев. В основу идентификации положено сравнение относительного положения окончаний и разветвлений линий отпечатка. Поисковая система ищет на текущем изображении контрольные элементы, определенные при исследовании эталонного образца. Для идентификации одного человека считается достаточным определение координат 12 точек.
Эти системы, естественно, весьма сложны и рекомендуются к использованию на объектах, требующих надежной защиты.
Системы опознавания по голосу. Существует несколько способов выделения характерных признаков речи человека: анализ кратковременных сегментов, контрольный анализ, выделение статистических характеристик. Следует отметить, что теоретически вопросы идентификации по голосу разработаны достаточно полно, но промышленное производство пока налажено слабо.
Системы опознавания по почерку считаются наиболее удобными для пользователя. Основным принципом идентификации по почерку является постоянство подписи каждого индивидуума, хотя абсолютного совпадения не бывает.
Система опознавания по геометрии рук. Для идентификации применяют анализ комбинации линий сгибов пальцев и ладони, линий складок, длины и толщины пальцев и др.
Технически это реализуется путем наложения руки на матрицу фотоячеек. Рука освещается мощной лампой, производится регистрация сигналов с ячеек, несущих информацию о геометрии.
Все устройства идентификации человека могут работать как отдельно, так и в комплексе. Комплекс может быть узкоспециальным или многоцелевым, при котором система выполняет функции охраны, контроля, регистрации и сигнализации. Такие системы являются уже комплексными. Комплексные системы обеспечивают:
- допуск на территорию предприятия по карточке (пропуску), содержащей индивидуальный машинный код;
- блокирование прохода при попытках несанкционированного прохода (проход без пропуска, проход в спецподразделения сотрудников, не имеющих допуска);
- возможность блокирования прохода для нарушителей графика работы (опознание, преждевременный уход и др.);
- открытие зоны прохода для свободного выхода по команде вахтера;
- проверку кодов пропусков на задержание их предъявителей на КПП по указанию оператора системы;
- регистрацию времени пересечения проходной и сохранение его в базе данных персональной ЭВМ;
- обработку полученных данных и формирование различных документов (табель рабочего времени, суточный рапорт, ведомость нарушителей трудовой дисциплины и др.), что позволяет иметь оперативную информацию о нарушителях трудовой дисциплины, отработанном времени и др.;
- оперативную корректировку информации базы данных с доступом по паролю;
- распечатку табелей рабочего времени по произвольной группе сотрудников (предприятие в целом, структурное подразделение, отдельно выбранные сотрудники);
- распечатку списков нарушителей графика рабочего времени с конкретными данными о нарушении;
- текущий и ретроспективный анализ посещения сотрудниками подразделений, передвижения сотрудников через КПП, выдачу списочного состава присутствовавших или отсутствовавших в подразделении или на предприятии для произвольно выбранного момента времени (при условии хранения баз данных за прошлые периоды);
- получение оперативной информации абонентами локальной сети в случае сетевой реализации системы.
2.3.3. Аппаратные средства защиты
К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.
Аппаратные средства защиты информации применяются для решения следующих задач:
проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;
выявление каналов утечки информации на разных объектах и в помещениях;
локализация каналов утечки информации;
поиск и обнаружение средств промышленного шпионажа;
противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.
По функциональному назначению аппаратные средства могут быть классифицированы на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по своим техническим возможностям средства защиты информации могут быть общего назначения, рассчитанные на использование непрофессионалами с целью получения предварительных (общих) оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и прецизионные измерения всех характеристик средств промышленного шпионажа. В качестве примера первых можно рассмотреть группу индикаторов электромагнитных излучений типа ИП, обладающих широким спектром принимаемых сигналов и довольно низкой чувствительностью. В качестве второго примера - комплекс для обнаружения и пеленгования радиозакладок, предназначенного для автоматического обнаружения и определения местонахождения радиопередатчиков, радиомикрофонов, телефонных закладок и сетевых радиопередатчиков. Это уже сложный современный поисково-обнаружительный профессиональный комплекс. Таким является, например, комплекс «Дельта», который обеспечивает:
- достоверное обнаружение практически любых из имеющихся в продаже радиомикрофонов, радиостетоскопов, сетевых и телефонных передатчиков, в том числе и с инверсией спектра;
- автоматическое определение места расположения микрофонов в объёме контролируемого помещения.
В состав комплекса входит радиоприемное устройство AR-3000 и ПЭВМ (рис. 18).
Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки.
Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств несанкционированного доступа. Аппаратура второго типа предназначается для выявления каналов утечки информации.
Примером такого комплекса может служить комплекс «Зарница», обеспечивающий измерение параметров побочных электромагнитных излучений в диапазоне частот от 10 кГц до 1 ГГц. Обработка результатов измерений осуществляется на ПЭВМ в соответствии с действующими нормативно-методическими документами Гостехкомиссии при Президенте РФ (рис. 19).
Определяющими для такого рода систем являются оперативность исследования и надежность полученных результатов.
Использование профессиональной поисковой аппаратуры требует высокой квалификации оператора.
Как в любой области техники, универсальность той или иной аппаратуры приводит к снижению ее параметров по каждой отдельной характеристике.
С другой стороны, существует огромное количество различных по физической природе каналов утечки информации, а также физических принципов, на основе которых работают системы несанкционированного доступа. Эти факторы обусловливают многообразие поисковой аппаратуры, а ее сложность определяет высокую стоимость каждого прибора. В связи с этим достаточный комплекс поискового оборудования могут позволить себе иметь структуры, постоянно проводящие соответствующие обследования. Это либо крупные службы безопасности, либо специализированные фирмы, оказывающие услуги сторонним организациям.
Конечно, сказанное мною не является аргументом для отказа от использования средств поиска самостоятельно. Но эти средства в большинстве случаев достаточно просты и позволяют проводить профилактические мероприятия в промежутке между серьезными поисковыми обследованиями.
В особую группу выделяются аппаратные средства защиты ЭВМ и коммуникационных систем на их базе.
Аппаратные средства защиты применяются как в отдельных ПЭВМ, так и на различных уровнях и участках сети: в центральных процессорах ЭВМ, в их оперативных ЗУ (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и др.
Для защиты центральных процессоров (ЦП) применяется кодовое резервирование - создание дополнительных битов в форматах машинных команд (разрядов секретности) и резервных регистров (в устройствах ЦП). Одновременно предусматриваются два возможных режима работы процессора, которые отделяют вспомогательные операции от операций непосредственного решения задач пользователя. Для этого служит специальная система прерывания, реализуемая аппаратными средствами.
Одной из мер аппаратной защиты ЭВМ и информационных сетей является ограничение доступа к оперативной памяти с помощью установления границ или полей. Для этого создаются регистры контроля и регистры защиты данных. Применяются также дополнительные биты четности - разновидность метода кодового резервирования.
Для обозначения степени конфиденциальности программ и данных, категорий пользователей используются биты, называемые битами конфиденциальности (это два-три дополнительных разряда, с помощью которых кодируются категории секретности пользователей, программ и данных).
Программы и данные, загружаемые в ОЗУ, нуждаются в защите, гарантирующей их от несанкционированного доступа. Часто используются биты четности, ключи, постоянная специальная память. При считывании из ОЗУ необходимо, чтобы программы не могли быть уничтожены несанкционированными действиями пользователей или вследствие выхода аппаратуры из строя. Отказы должны своевременно выявляться и устраняться, чтобы предотвратить исполнение искаженной команды ЦП и потери информации.
Для предотвращения считывания оставшихся после обработки данных в ОЗУ применяется специальная схема стирания. В этом случае формируется команда на стирание ОЗУ и указывается адрес блока памяти, который должен быть освобожден от информации. Эта схема записывает нули или какую-нибудь другую последовательность символов во все ячейки данного блока памяти, обеспечивая надежное стирание ранее загруженных данных.
Аппаратные средства защиты применяются и в терминалах пользователей. Для предотвращения утечки информации при подключении незарегистрированного терминала необходимо перед выдачей запрашиваемых данных осуществить идентификацию (автоматическое определение кода или номера) терминала, с которого поступил запрос. В многопользовательском режиме этого терминала идентификации его недостаточно. Необходимо осуществить аутентификацию пользователя, то есть установить его подлинность и полномочия. Это необходимо и потому, что разные пользователи, зарегистрированные в системе, могут иметь доступ только к отдельным файлам и строго ограниченные полномочия их использования.
Для идентификации терминала чаще всего применяется генератор кода, включенный в аппаратуру терминала, а для аутентификации пользователя - такие аппаратные средства, как ключи, персональные кодовые карты, персональный идентификатор, устройства распознавания голоса пользователя или формы его пальцев. Но наиболее распространенными средствами аутентификации являются пароли, проверяемые не аппаратными, а программными средствами опознавания.
Аппаратные средства защиты информации - это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа.
2.3.4. Программные средства защиты
Системы защиты компьютера от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы, как:
- средства собственной защиты, предусмотренные общим программным обеспечением;
- средства защиты в составе вычислительной системы;
- средства защиты с запросом информации;
- средства активной защиты;
- средства пассивной защиты и др.
Более подробно эти группы защиты представлены на рис. 20.
2.3.4.1. Основные направления использования программной
защиты информации
Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности, такие:
- защита информации от несанкционированного доступа;
- защита информации от копирования;
- защита программ от копирования;
- защита программ от вирусов;
- защита информации от вирусов;
- программная защита каналов связи.
По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов (рис. 21).
Программные средства защиты имеют следующие разновидности специальных программ:
идентификации технических средств, файлов и аутентификации пользователей;
регистрации и контроля работы технических средств и пользователей;
обслуживания режимов обработки информации ограниченного пользования;
защиты операционных средств ЭВМ и прикладных программ пользователей;
уничтожения информации в ЗУ после использования;
сигнализирующих нарушения использования ресурсов;
вспомогательных программ защиты различного назначения (рис. 22).
Идентификация технических средств и файлов, осуществляемая программно, делается на основе анализа регистрационных номеров различных компонентов и объектов информационной системы и в сопоставления их со значениями адресов и паролей, хранящихся в ЗУ системы управления.
Для обеспечения надежности защиты с помощью паролей работа системы защиты организуется таким образом, чтобы вероятность раскрытия секретного пароля и установления соответствия тому или иному идентификатору файла или терминала была как можно меньше. Для этого надо периодически менять пароль, а число символов в нём установить достаточно большим.
Эффективным способом идентификации адресуемых элементов и аутентификации пользователей является алгоритм запросно-ответного типа, в соответствии с которым система защиты выдает пользователю запрос на пароль, после чего он должен дать на него определенный ответ. Так как моменты ввода запроса и ответа на него непредсказуемы, это затрудняет процесс отгадывания пароля, обеспечивая тем самым более высокую надежность защиты.
Получение разрешения на доступ к тем или иным ресурсам можно осуществить не только на основе использования секретного пароля и последующих процедур аутентификации и идентификации. Это можно сделать более детальным способом, учитывающим различные особенности режимов работы пользователей, их полномочия, категории запрашиваемых данных и ресурсов. Этот способ реализуется специальными программами, анализирующими соответствующие характеристики пользователей, содержание заданий, параметры технических и программных средств, устройств памяти и др.
Поступающие в систему защиты конкретные данные, относящиеся к запросу, сравниваются в процессе работы программ защиты с данными, занесенными в регистрационные секретные таблицы (матрицы). Эти таблицы, а также программы их формирования и обработки хранятся в зашифрованном виде и находятся под особым контролем администратора (администраторов) безопасности информационной сети.
Для разграничения обращения отдельных пользователей к вполне определенной категории информации применяются индивидуальные меры секретности этих файлов и особый контроль доступа к ним пользователей. Гриф секретности может формироваться в виде трёхразрядных кодовых слов, которые хранятся в самом файле или в специальной таблице. В этой же таблице записываются идентификатор пользователя, создавшего данный файл, идентификаторы терминалов, с которых может быть осуществлен доступ к файлу, идентификаторы пользователей, которым разрешен доступ к данному файлу, а также их права на пользование файлом (считывание, редактирование, стирание, обновление, исполнение и др.). Важно не допустить взаимовлияния пользователей в процессе обращения к файлам. Если, например, одну и ту же запись имеют право редактировать несколько пользователей, то каждому из них необходимо сохранить именно его вариант редакции (делается несколько копий записей с целью возможного анализа и установления полномочий).
2.3.4.2. Защита информации от несанкционированного доступа
Для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:
- идентификация субъектов и объектов;
- разграничение (иногда и полная изоляция) доступа к вычислительным ресурсам и информации;
- контроль и регистрация действий с информацией и программами.
Процедура идентификации и подтверждения подлинности предполагает проверку, является ли субъект, осуществляющий доступ (или объект, к которому осуществляется доступ), тем, за кого себя выдает. Подобные проверки могут быть одноразовыми или периодическими (особенно в случаях продолжительных сеансов работы). В процедурах идентификации используются различные методы:
- простые, сложные или одноразовые пароли;
- обмен вопросами и ответами с администратором;
- ключи, магнитные карты, значки, жетоны;
- средства анализа индивидуальных характеристик (голоса, отпечатков пальцев, геометрических параметров рук, лица);
- специальные идентификаторы или контрольные суммы для аппаратуры, программ, данных и др.
Наиболее распространенным методом идентификации является парольная идентификация.
Практика показала, что парольная защита данных является слабым звеном, так как пароль можно подслушать или подсмотреть, пароль можно перехватить, а то и просто разгадать.
Для защиты самого пароля выработаны определенные рекомендации, как сделать пароль надежным:
- пароль должен содержать, по крайней мере, восемь символов. Чем меньше символов содержит пароль, тем легче его разгадать;
- не используйте в качестве пароля очевидный набор символов, например, ваше имя, дату рождения, имена близких или наименования ваших программ Лучше всего использовать для этих целей неизвестную формулу или цитату;
- если криптографическая программа позволяет, введите в пароль, по крайней, мере один пробел, небуквенный символ или прописную букву;
- не называйте никому ваш пароль, не записывайте его. Если вам пришлось нарушить эти правила, спрячьте листок в запираемый ящик;
- чаще меняйте пароль;
- не вводите пароль в процедуру установления диалога или макрокоманду.
Помните, что набранный на клавиатуре пароль часто сохраняется в последовательности команд автоматического входа в систему.
Для идентификации программ и данных часто прибегают к подсчету контрольных сумм, однако, как и в случае парольной идентификации, важно исключить возможность подделки при сохранении правильной контрольной суммы. Это достигается путем использования сложных методов контрольного суммирования на основе криптографических алгоритмов. Обеспечить защиту данных от подделки (имитостойкость) можно, применяя различные методы шифрования и методы цифровой подписи на основе криптографических систем с открытым ключом.
После выполнения процедур идентификации и установления подлинности пользователь получает доступ к вычислительной системе, и защита информации осуществляется на трех уровнях:
- аппаратуры;
- программного обеспечения;
- данных.
Защита на уровне аппаратуры и программного обеспечения предусматривает управление доступом к вычислительным ресурсам отдельным устройствам, оперативной памяти, операционной системе, специальным служебным или личным программам пользователя.
Защита информации на уровне данных направлена:
- на защиту информации при обращении к ней в процессе работы на ПЭВМ и выполнения только разрешенных операций над ними;
- на защиту информации при ее передаче по каналам связи между различными ЭВМ.
Управление доступом к информации позволяет ответить на вопросы:
- кто может выполнять и какие операции;
- над какими данными разрешается выполнять операции.
Объектом, доступ к которому контролируется, может быть файл, запись в файле или отдельное поле записи файла, а в качестве факторов, определяющих порядок доступа, - определенное событие, значения данных, состояние системы, полномочия пользователя, предыстория обращения и другие данные.
Доступ, управляемый событием, предусматривает блокировку обращения пользователя. Например, в определенные интервалы времени или при обращении с определенного терминала. Доступ, зависящий от состояния, осуществляется в зависимости от текущего состояния вычислительной системы, управляющих программ и системы защиты.
Что касается доступа, зависящего от полномочий, то он предусматривает обращение пользователя к программам, данным, оборудованию в зависимости от предоставленного режима. Такими режимами могут быть «только читать», «читать и писать», «только выполнять» и др.
В основе большинства средств контроля доступа лежит то или иное представление матрицы доступа.
Другой подход к построению средств защиты доступа основан на контроле информационных потоков и разделении субъектов и объектов доступа на классы конфиденциальности.
Средства регистрации, как и средства контроля доступа, относятся к эффективным мерам защиты от несанкционированных действий. Однако, если средства контроля доступа предназначены для предотвращения таких действий, то задача регистрации - обнаружить уже совершенные действия или их попытки.
В общем комплекс программно-технических средств и организованных (процедурных) решений по защите информации от несанкционированного доступа (НСД) реализуется следующими действиями:
- управлением доступом;
- регистрацией и учетом;
- применением криптографических средств;
- обеспечением целостности информации.
Можно отметить следующие формы контроля и разграничения доступа, нашедшие широкое применение на практике.
1. Предотвращение доступа:
- к жесткому диску;
- к отдельным разделам;
- к отдельным файлам;
- к каталогам;
- к гибким дискам;
- к сменным носителям информации.
2. Установка привилегий доступа к группе файлов.
3. Защита от модификации:
- файлов;
- каталогов.
4. Защита от уничтожения:
- файлов;
- каталогов,
5. Предотвращение копирования:
- файлов;
- каталогов;
- прикладных программ.
6. Затемнение экрана по истечении времени, установленного пользователем.
В обобщенном виде средства защиты данных приведены на рис. 23.
2.3.4.3. Защита от копирования
Средства защиты от копирования предотвращают использование ворованных копий программного обеспечения и являются в настоящее время единственно надежным средством - как защищающим авторское право программистов-разработчиков, так и стимулирующим развитие рынка. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом (называемым ключевым) может быть дискета, определенная часть компьютера или специальное устройство, подключаемое к ПЭВМ. Защита от копирования реализуется выполнением ряда функций, являющихся общими для всех систем защиты:
- идентификация среды, из которой будет запускаться программа;
- аутентификация среды, из которой запущена программа;
- реакция на запуск из несанкционированной среды;
- регистрация санкционированного копирования;
- противодействие изучению алгоритмов работы системы.
Под средой, из которой будет запускаться программа, подразумевается либо дискета, либо ПЭВМ (если установка происходит на НЖМД). Идентификация среды заключается в том, чтобы некоторым образом поименовать среду с целью дальнейшей ее аутентификации. Идентифицировать среду - значит закрепить за ней некоторые специально созданные или измеренные редко повторяющиеся и трудно подделываемые характеристики - идентификаторы. Идентификация дискет может быть проведена двумя способами.
Первый основан на нанесении повреждений на некоторую часть поверхности дискеты. Распространенный способ такой идентификации - «лазерная дыра». При таком способе дискета прожигается в некотором месте лазерным лучом. Очевидно, что сделать точно такую же дырку в дискете-копии и в том же самом месте, как и на дискете-оригинале, достаточно сложно.
Второй способ идентификации основан на нестандартном форматировании дискеты.
Реакция на запуск из несанкционированной среды обычно сводится к выдаче соответствующего сообщения.
2.3.4.4. Защита информации от разрушения
Одной из задач обеспечения безопасности для всех случаев пользования ПЭВМ является защита информации от разрушения, которое может произойти при подготовке и осуществлении различных восстановительных мероприятий (резервировании, создании и обновлении страховочного фонда, ведении архивов информации и др.). Так как причины разрушения информации весьма разнообразны (несанкционированные действия, ошибки программ и оборудования, компьютерные вирусы и др.), то проведение страховочных мероприятий обязательно для всех, кто пользуется персональными ЭВМ.
Необходимо специально отметить опасность компьютерных вирусов. Многие пользователи ЭВМ (ПЭВМ) о них хорошо знают, а тот, кто с ними еще не знаком, скоро познакомится. Вирус компьютерный - небольшая, достаточно сложная, тщательно составленная и опасная программа, которая может самостоятельно размножаться, переносить себя на диски, прикрепляться к чужим программам и передаваться по информационным сетям. Вирус обычно создается для нарушения работы компьютера различными способами - от «безобидной» выдачи какого-либо сообщения до стирания, разрушения файлов.
Основную массу вирусов создают люди, хулиганствующие программисты, в основном, чтобы потешить свое самолюбие или заработать деньги на продаже антивирусов. Антивирус - программа, обнаруживающая или обнаруживающая и удаляющая вирусы. Такие программы бывают специализированными или универсальными. Чем отличается универсальный антивирус от специализированного? Специализированный способен бороться только с уже написанными, работающими вирусами, а универсальный - и с еще не написанными.
К специализированным относится большинство антивирусных программ: AIDSTEST, VDEATH, SERUM-3, ANTI-KOT, SCAN и сотни других. Каждая из них распознает один или несколько конкретных вирусов, никак не реагируя на присутствие остальных.
Универсальные антивирусы предназначены для борьбы с целыми классами вирусов. По назначению антивирусы универсального действия бывают довольно различны. Широкое применение находят резидентные антивирусы и программы-ревизоры.
И те, и другие антивирусные программы обладают определенными возможностями, положительными и отрицательными (недостатки) характеристиками. Специализированные при своей простоте слишком узко специализированы. При значительном разнообразии вирусов требуется такое же многообразие антивирусов.
Помимо использования в интересах защиты от вирусов антивирусных программ широко используют и организационные меры безопасности. Для уменьшения опасности вирусных актов возможно предпринять определенные действия, которые для каждого конкретного случая могут быть сокращены или расширены. Вот некоторые из таких действий:
1. Информировать всех сотрудников предприятия об опасности и возможном ущербе в случае вирусных атак.
2. Не осуществлять официальные связи с другими предприятиями по обмену (получению) программным обеспечением. Запретить сотрудникам приносить программы «со стороны» для установки их в системы обработки информации. Должны использоваться только официально распространяемые программы.
3. Запретить сотрудникам использовать компьютерные игры на ПЭВМ, обрабатывающих конфиденциальную информацию.
4. Для выхода на сторонние информационные сети выделить отдельное специальное место.
5. Создать архив копий программ и данных.
6. Периодически проводить проверку контрольным суммированием или сравнением с «чистыми» программами.
7. Установить системы защиты информации на особо важных ПЭВМ. Применять специальные антивирусные средства.
2.3.5. Криптографические средства защиты
Криптография как средство защиты (закрытия) информации приобретает всё более важное значение в мире коммерческой деятельности.
Криптография имеет достаточно давнюю историю. Вначале она применялась, главным образом, в области военной и дипломатической связи Теперь она необходима в производственной и коммерческой деятельности. Если учесть, что сегодня по каналам шифрованной связи только у нас в стране передаются сотни миллионов сообщений, телефонных переговоров, огромные объемы компьютерных и телеметрических данных и все это, что называется, не для чужих глаз и ушей, становится ясным: сохранение тайны этой переписки крайне необходимо.
Что же такое криптография? Она включает в себя несколько разделов современной математики, а также специальные отрасли физики, радиоэлектроники, связи и некоторых других смежных отраслей. Её задачей является преобразование математическими методами передаваемого по каналам связи секретного сообщения, телефонного разговора или компьютерных данных таким образом, что они становятся совершенно непонятными для посторонних лиц. То есть криптография должна обеспечить такую защиту секретной (или любой другой) информации, что даже в случае ее перехвата посторонними лицами и обработки любыми способами с использованием самых быстродействующих ЭВМ и последних достижений науки и техники она не должна быть дешифрована в течение нескольких десятков лет. Для такого преобразования информации используются различные шифровальные средства - такие, как средства шифрования документов, в том числе и портативного исполнения, средства шифрования речи (телефонных и радиопереговоров), средства шифрования телеграфных сообщений и передачи данных.
2.3.5.1. Общая технология шифрования
Исходная информация, которая передается по каналам связи, может представлять собой речь, данные, видеосигналы, называется незашифрованными сообщениями Р (рис. 24).
В устройстве шифрования сообщение Р шифруется (преобразуется в сообщение С) и передается по «незакрытому» каналу связи. На приемной стороне сообщение С дешифруется для восстановления исходного значения сообщения Р.
Параметр, который может быть применен для извлечения отдельной информации, называется ключом.
В современной криптографии рассматриваются два типа криптографических алгоритмов (ключей). Это классические криптографические алгоритмы, основанные на использовании секретных ключей, и новые криптографические алгоритмы с открытым ключом, основанные на использовании ключей двух типов: секретного (закрытого) и открытого.
В криптографии с открытым ключом имеются, по крайней мере, два ключа, один из которых невозможно вычислить из другого. Если ключ расшифрования вычислительными методами невозможно получить из ключа зашифрования, то секретность информации, зашифрованной с помощью несекретного (открытого) ключа, будет обеспечена. Однако этот ключ должен быть защищен от подмены или модификации. Ключ расшифрования также должен быть секретным и защищен от подмены или модификации.
Если, наоборот, вычислительными методами невозможно получить ключ зашифрования из ключа расшифрования, то ключ расшифрования может быть не секретным.
Разделение функций зашифрования и расшифрования посредством разделения на две части дополнительной информации, требуемой для выполнения операций, является той ценной идеей, которая лежит в основе криптографии с открытым ключом.

2.3.5.2. Технология шифрования речи
Наиболее распространенным способом шифрования аналогового речевого сигнала является разбиение его на части.
В этом случае входной речевой сигнал поступает в полосовые фильтры для выделения полос шифруемого спектра. Выходной сигнал каждого фильтра в процессе шифрования подвергается либо перестановке по частоте, либо перевороту спектра (инверсия), либо и тому и другому одновременно. Затем синтезируется полный шифровальный выходной сигнал.
По этому принципу работает система AVPS (Analog Voice Prived System) - речевой шифратор (скремблер), который осуществляет перестановку отдельных «вырезок» входного сигнала с помощью полосового фильтра - анализатора. Система имеет 12 ключей шифрования, обусловленных возможными перестановками, что обеспечивает надежность используемого метода.
Система AVPS используется в реальном времени с любыми унифицированными телефонами Качество шифрования речи высокое, сохраняется узнаваемость абонента.
Находят очень широкое распространение цифровые системы шифрования речевых сигналов. Эти системы обеспечивают высокую надежность шифрования.
В системах шифрования данных используются в основном две элементарные системы:
1. Перестановка (биты или подблоки внутри каждого блока входных данных переставляются).
2. Замещение (биты или подблоки внутри каждого блока входных данных заменяются).
Разработано большое число алгоритмов шифрования. К числу наиболее эффективных относится алгоритм DES (Data Encryption Standart) - стандарт шифрования данных. Американское национальное бюро по стандартизации NBS узаконило алгоритм DES в качестве стандарта для систем связи. Механизм шифрования в этом алгоритме основывается на использовании ключа длиной 56 бит.
Для защиты промышленной и коммерческой информации на международном и отечественном рынке предлагаются различные технические устройства и комплекты профессиональной аппаратуры шифрования и криптозащиты телефонных и радиопереговоров, деловой переписки и др.
Широкое распространение получили скремблеры и маскираторы, заменяющие речевой сигнал цифровой передачей данных. Производятся средства защиты телетайпов, телексов и факсов. Для этих целей используются шифраторы, выполняемые в виде отдельных устройств, в виде приставок к аппаратам или встраиваемые в конструкцию телефонов, факс-модемов и других аппаратов связи (радиостанции и др.).
Распространенность шифрования как средства обеспечения безопасности теми или иными средствами можно характеризовать следующими данными (рис. 25).
Аппаратные, программные, программно-аппаратные и криптографические средства реализуют те или иные услуги информационной безопасности различными механизмами защиты информации, обеспечивающими соблюдение конфиденциальности, целостности, полноты и доступности.
Выводы
Комплексная безопасность информационных ресурсов достигается использованием правовых актов государственного и ведомственного уровня, организационных мер и технических средств защиты информации от различных внутренних и внешних угроз.
Правовые меры обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников всех уровней и степени их ответственности за нарушения установленных норм и правил работы по обеспечению сохранности коммерческих секретов.
Организационные меры являются решающим звеном в формировании и реализации комплексных мер защиты информации. Они в первую очередь выражаются в создании службы безопасности коммерческого предприятия и обеспечении её нормального функционирования.
Инженерно-техническая защита - это использование различных технических средств в интересах обеспечения информационной безопасности.