logo
Книжка Електронка ОТЗ

Порядок создания системы защиты

Обеспечение безопасности деятельности коммерческой организации реализуется с помощью системы защиты, под которой принято понимать комплекс мероприятий и средств, направленных на выявление, отражение и ликвидацию разных видов угроз деятельности организации. При этом каждый объект Защиты будет иметь свою специфику, которая должна найти свое отображение в системе защиты.

Один из подходов к организации системы защиты основан на модели «стимул-реакция» и предусматривает несколько этапов по созданию системы защиты:

  1. анализ состава объекта и выделения элементов, что требуют обеспечения их безопасности;

  2. определение возможных угроз выделенным элементам, оценка вероятности их появления и формирования перечня требований по защите (спецификация защиты);

  3. выбор и разработка адекватных угрозам мероприятий и средств защиты элементов (по спецификации) и формирование системы защиты объекта.

Рассмотрим основные понятия этого подхода к защите.

Мировой опыт создания систем защиты для разного рода объектов позволяет выделить три основных элемента, что входят в состав практически любого объекта и нуждается в обеспечении их безопасности:

  1. люди, персонал и посетители объекта

  2. материальные ценности, имущество и оборудование;

  3. информация — критическая, конфиденциальная и секретная информация, а также информация частных лиц.

Каждый из выделенных элементов имеет свои особенности, которые необходимо учитывать при определении возможных угроз.

Важным моментом при оценке угроз и выборе приоритетов в системе защиты является анализ практики деятельности разных коммерческих организаций банков, магазинов, больших офисов, результаты которого берутся за основу при подготовке современных нормативов защиты, в том числе и государственных нормативно—правовых актов. Так, например, западноевропейские фирмы-производители оборудования для систем банковской защиты придерживаются единственных критериев оценки угроз, согласно которым, например, для сейфовых комнат-хранилищ ценностей и хранилищ информации в АС (главных ЭВМ, серверах) приоритеты направлений защиты следующие:

Перечисленные в примере виды угроз являются наиболее характерными и в общем случае могут быть сформулированы таким способом:

Степень влияния этих угроз на элементы объекта. Так, чрезвычайные обстоятельства (стихийные беды и т.п.) опасные для всех элементов объекта. Но угроза несанкционированного проникновения может возникнуть только по отношению к материальным ценностям (сейфовых комнат, например) или информации. Угроза несанкционированного доступа к информации относится непосредственно к конфиденциальной и критической информации предприятия и только косвенно угрожает материальным ценностям и людям.

По результатам анализа возможных угроз элементам объекта формируются требования к защите или спецификации защиты элементов.

Полная спецификация защиты объекта формируется из частичных спецификаций защиты элементов путем объединения функционально однородных требований из обеспечения защиты.

Сложенные частичные спецификации и полная спецификация являются основой для разработки системы защиты объекта. Процесс разработки удобно представить в виде последовательности этапов.

Этап 1. Каждой из составленных спецификаций должен быть поставлен в соответствие необходимый набор функций защиты. Под функцией защиты понимается совокупность однородных в функциональном отношении мероприятий, целеустремленное осуществление которых решает конкретную задачу защиты. Перечень основных функций защиты: охрана, контроль, выявление, отражение и ликвидация.

Этап 2. Для установленного набора функций защиты выбираются соответствующие методы их реализации. Классификация существующих методов защиты: организационно-правовые, инженерно-технические и информационно-технологические.

Этап 3. Указанным методам защиты соответствует перечень (набор) средств конкретного их осуществления. Реализуется выбор или разработка средств защиты, что наиболее полно удовлетворяют установленным на этапе 1 требованиям и реализуют избранные на этапе 2 методы защиты. Под средствами защиты понимаются такие устройства, программы, мероприятия или нормы, которые при использовании позволяют решать задачи защиты.

Этап 4. Объединение разработанных или избранных средств защиты в систему, которая подчинена общему управлению.

    1. Служба безопасности объекта (основные задачи и состав) Основные задачи службы безопасности

Организационно-правовые средства защиты находят свое непосредственное отображение в службе безопасности коммерческого объекта.

Эта служба принадлежит к категории крупных подразделов объекта и сферы ее деятельности охватывают все основные и вспомогательные средства системы защиты.

Основными задачами службы безопасности предприятия является:

Состав службы безопасности

Служба безопасности является самостоятельной организационной единицей, которая подчиняется непосредственно руководителю предприятия.

Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия из безопасности.

Организационно служба безопасности состоит из таких структурных единиц:

Численный состав службы зависит от количества и размеров

объектов фирмы и может составлять несколько десятков сотрудников, обязательно высококвалифицированных и таких, которые имеют практический опыт работы в аналогичных структурах государственного сектора.

Отдел режима и охраны - организация режима и охраны

Основными задачами организации режима и охраны является:

С целью обеспечения надежной охраны материальных ценностей, конфиденциальных документов и информации, содержащей сведения коммерческого характера, своевременного предупреждения попыток несанкционированного доступа к ним устанавливается определенный режим деятельности, соблюдение которого обязательно для всех сотрудников, посетителей и клиентов.

Все помещения предприятия, в зависимости от назначения и характера осуществляемых в них актов, действий или операций, разделяются на несколько зон доступности (безопасности), которые учитывают степень важности разных частей объекта с точки зрения возможного убытка от криминальных угроз. Зоны безопасности располагаются на предприятии от забора на территории объекта до хранилища ценностей и информации, создавая цепь препятствий, чередующихся одна за другой, которые придется преодолевать злоумышленнику.

Руководители и сотрудники предприятия, которые обеспечивают и осуществляют режим и охрану, руководствуются в своей деятельности соответствующим законодательством, нормативными документами и рекомендациями.

Специальный отдел работа с секретными документами и документами, содержащими коммерческую тайну

Под коммерческой тайной понимают сведения, которые не являются государственными секретами, но связаны с производственно-технической, научно-исследовательской,

опытно-конструкторской и другой деятельностью предприятия, а также с их технологической информацией, управлением, финансами и т.п., разглашение (передача, утечка) которых может нанести вред его интересам. К сведениям, составляющим коммерческую тайну, относятся несекретные сведения, предусмотренные "Перечнем конкретных сведений, составляющих коммерческую тайну", утвержденным и введенным в действие приказом директора предприятия. ПоД разглашением коммерческой тайны имеют в виДУ противоправные, преднамеренные или неосторожные действия должностных или других лиц, которые привели к преждевременному, не вызванного служебной необходимостью, разглашению конфиденциальных сведений, попадающих под эту категорию, а также передача таких сведений открытыми техническими каналами или обработка их на ЭВМ, не имеющих категории безопасности. Под открытым опубликованием вышеуказанных сведений имеется в виду публикация материалов в открытой печати, передача по радио и телевидению, объявление на международных, заграничных и открытых внутригосударственных съездах, конференциях, совещаниях, симпозиумах, при публичной защите диссертаций и других публичных выступлениях, свободная рассылка, вывоз материалов за границу или передача их в любой форме иностранным фирмам, организациям или отдельным личностям вне сферы прямых служебных обязанностей. Необходимость и возможность открытого опубликования этих сведений, а также их объемы, формы и время опубликования, определяются директором или его заместителями по направлениям или выводам постоянно действующей экспертной комиссии. Мероприятия по ограничению открытых публикаций коммерческой информации не могут быть использованы во вред принципу гласности и для укрывательства от общественности фактов бесхозяйственности, мотовства, недобросовестной конкуренции и других негативных явлений. Использование для открытого опубликования сведений, полученных на договорной или доверительной основе, которые являются результатом совместной производственной Деятельности допускается лишь по общему согласию партнеров. Передача информации посторонним организациям, не связанных прямыми служебными контактами, должна регулироваться, как правило, договорными отношениями, что предусматривают обязательство и ответственность пользователей, включая возмещение материальных расходов на предоставление Информации и компенсацию за нарушение договорных обязательств. Предоставление коммерческой информации Представителям служебных, ревизионных, фискальных и бедственных органов, народным депутатам, органам печати, ° и др. регулируется соответствующими положениями.

Тиражируемые документы и издания с грифом "коммерческая тайна" рассматриваются как материалы, содержащие сведения ограниченного распространения. Ответственность за обеспечение режима при работе с материалами с грифом "КТ", своевременную разработку и осуществление необходимых мероприятий по хранению коммерческой тайны возлагается на директора и его заместителей по направлениям и руководителей структурных подразделов. Обеспечение режима работы с материалами осуществляется путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, обработки информации с грифом "КТ" на защищенных ЭВМ, внесение требований по конфиденциальности конкретной информации в договора с внутренними и внешнеторговыми партнерами и других мероприятий по решению руководства. Защита коммерческой тайны предусматривает:

Контроль за осуществлением учета, размножения, сохранения и использования документов, дел и изданий с грифом "КТ" возлагается на уполномоченных службы безопасности. Контроль за неразглашением сведений, что содержатся в документах, делах и изданиях с грифом "КТ", осуществляется отделами службы безопасности. Инженерно-техническая группа средства инженерно-технической защиты. К основным средствам инженерно-технической защиты информации относятся:

Отмеченные средства применяются для решения следующих задач:

Инженерно-технические средства защиты - это разнообразная аппаратура, устройства, приспособления и конструкции, предназначенные для выявления и определения уг роз, создания препятствий на пути их распространения, а также и\ ликвидации. Все технические средства защиты можно разделить на три основные категории, в соответствии к выполняемым функциям защиты:

Охранная сигнализация и охранное телевидение, например, относятся к средствам выявления угроз. Заборы вокруг территории объекта - это средства отражения несанкционированного проникновения на территорию, а Усиленные двери, стены и потолки сейфовой комнаты кроме проникновения на территорию, защищают от стихийных бед и аварий, в известной мере служат защитой и от подслушивания. Огнетушители и автоматическая система пожаротушение

принадлежат к средствам ликвидации.

Основными средствами инженерно-технической защиты являются:

В последнее время в связи с ростом случаев экстремизма и террористических актов, одним из важных направлений защиты становится проверка корреспонденции, поступающей на объект, и проверка автомашин, что заезжают на территорию объекта, проверка персонала и посетителей. В связи с этим рекомендуется данный вид защиты отнести к основному.

Группа безопасности внешней деятельности

Ключевая роль в деятельности службы безопасности предприятия должна отводиться аналитическому звену, что реализует добывание, сбор и обработку информации о конкурентных фирмах и компаниях на товарном рынке, о маркетинговых условиях, о криминально-конкурсных действиях. Таким аналитическим звеном может быть группа обеспечения безопасности внешней деятельности предприятия. Цель и задание такой группы можно сформировать таким способом:

    1. Организационные и организационно-технические мероприятия

К организационным мероприятиям относятся мероприятия ограничительного характера, которые сводятся в основном к регламентации доступа и использованию технических средств обеспечения производственной и трудовой деятельности и обработке конфиденциальной информации в традиционных или автоматизированных режимах. Они, как правило, проводятся силами службы безопасности путем использования самых простых организационных мероприятий и доступных для этого технических средств. Организационные мероприятия предусматривают:

    1. Мероприятия по блокировке несанкционированного получения конфиденциальной информации с помощью технических средств

Мероприятия по блокированию несанкционированного получения конфиденциальной информации с помощью технических средств сводятся к следующим основным направлениям:

Защита от наблюдения и фотографирования предусматривает:

Защита от подслушивания реализуется'.

•использованием средств акустического зашумления объемов и поверхностей (стены, окна, отопление, вентиляционные каналы);

Защита от перехвата побочных электромагнитных излучений и наводок всяческого характера обеспечивается:

    1. Информационно-технологические средства защиты

Технический прогресс в данное время привел к автоматизации управленческой деятельности и появлению "Электронных офисов", под которыми понимается организация, в которой каждый служащий обеспечен автоматизированным рабочим местом (АРМ), как правило, на основе персональной электронной вычислительной машины.

Целесообразно рассмотреть следующие аспекты деятельности служащего в таком "электронном офисе":

Регламентированная работа служащих всегда была в центре

внимания систем автоматизации. Для регламентированных задач характерно наличие вполне автоматизированных процедур, выполнение которых, кроме расходов времени, трудностей не вызывает. Это учет и контроль, оформление документов, их тиражирование и рассылка. К таким задачам относятся бухгалтерский учет, подготовка производства, кадровая система, складской учет и т.д.

Творческая работа служащего характеризуется слабой структурированностью, отсугствием методов решения на основе простого преобразования данных. Здесь используется свойство ПЭВМ быть универсальным инструментом, что может настраиваться на сохранение и обработку по алгоритму, который будет реализован человеком в результате творческого осмысления проблемы.

Автоматизация информационного взаимодействия служащих

Ядром деятельности системы АРМ является банк данных (БнД) организации, совокупность методов и средств для поддержки единого для всех служащих образа или модели объекта управления. В случае "электронного офиса" банк данных представляет собой совокупность баз данных (БД) и информационных файлов данных общего пользования организации.

Традиционно относительно служащего (или пользователя) базы данных делятся на локальные и глобальные. Локальная база данных (ЛБД) используется только АРМ пользователя, и никакие данные с ЛБД недоступны непосредственно другим пользователям. Напротив, глобальные базы данных (ГБД) доступны потенциально любому пользователю АРМ.

Для решения задачи общего функционирования АРМ соединяют коммуникационной сетью, в среде которой осуществляется их взаимодействие как друг с другом, так и с другими участниками информационного обмена, например, глобальными БД.

Участники информационного обмена по коммуникационной сети могут располагаться на одной, ограниченной по размерам территории и тогда взаимодействие между ними будет характеризоваться локальными свойствами. Напротив, АРМ или группа АРМ могут быть территориально существенно

отдаленными от основной организации, оставаясь информационным единым целым. В этом случае можно говорить об отдаленном взаимодействии в рамках единой коммуникационной сети организации. Локальное взаимодействие, как правило, организуется с помощью локальной вычислительной сети (ЛВС). Отдаленное взаимодействие обеспечивается широким набором средств, каждое из которых имеет много характерных черт и особенностей, и поэтому в каждом конкретном случае решение о применении того или другого средства принимается с учетом многих факторов, таких, как скорость обмена, надежность канала, стоимость и т.п.

В типичном "электронном офисе" оеализована распределенная обработка данных в среде коммуникационной сети. При этом участники обмена данными используют как локальное, так и отдаленное взаимодействие, работают с ГБД организации, что представляет собой распределенную БД, файлы которой физически расположены на узлах сети ЭВМ.

Перечислим некоторые проблемы, что встают перед организациями в связи с использованием распределенной обработки данных:

  1. Организация эффективной распределенной обработки.

  2. Обеспечение постоянно расширяемых возможностей по обработке данных в рамках отдельных АРМ.

  3. Обеспечение высокоскоростного отдаленного взаимодействия с отдаленным АРМ (группами АРМ).

  4. Обеспечение безопасности и конфиденциальности обработки данных в сети.

Вопросы организации эффективной распределенной обработки данных решаются, в первую очередь, на этапе проектирования информационной системы в целом путем тщательного системного анализа деятельности, которая подлежит автоматизации, выделения ключевых информационных потоков и функций по их обработке, автоматизация которых принесет наибольший конечный эффект (в частном случае - наибольшая прибыль).

На этапе реализации вопроса эффективной обработки обеспечиваются выбором соответствующего оборудования и программных средств, что обеспечат необходимый уровень обработки при высокой гибкости последующего совершенствования и приемлемой стоимости.

На этапе введения в эксплуатацию и эксплуатации информационной системы эффективность распределенной обработки зависит в первую очередь от надежности используемых технических и программных средств, а также готовности персонала - руководителей, специалистов и технических работников к автоматизированному использованию этих средств.

При эксплуатации существующей системы в условиях быстро меняющейся внешней среды на первый план выдвигаются проблемы обеспечения возможностей по обработке данных, которые постоянно расширяются, в рамках отдельных АРМ специалистов.

Современная информационная среда характеризуется использованием новых источников информации, как аналоговой, так и цифровой (видеодиски, CD-ROM-диски, CD-DA-диски, широковещательное и кабельное телевидение, высокоскоростные каналы связи и т.п.), так и появление устройств, что реализуют новые возможности по обработке и формированию потоков данных (медицинское и научное оборудование, что выдает результаты в виде цифровых данных, приборов для оцифровки (неподвижных изображений, подвижного видео, звука). Появились устройства хранения данных огромной емкости и ПЭВМ с небывалой ранее производительностью.

Это привело к появлению АРМ специалистов нового типа, так называемых мультимедиа (multimedia) систем (буквально многосредных систем), что могут существенно расширить класс автоматизированных задач, что традиционно принадлежат к творческой работе служащих.

При помощи подобных систем в данное время достигнуты заметные успехи в отрасли создания систем обучения, повышение уровня квалификации специалистов, в банковской системе, рекламной деятельности и организации розничной торговли.

Наиболее известны такие мультимедиа — системы, как Amiga фирмы Commondore, системы на основе компьютера

Macintosh фирмы Apple, Multimedia PC консорциума фирм во главе с Microsoft Multimedia фирмы IBM. Все больше и больше фирм сообщают о производстве ими систем мультимедиа.

Увеличение информационной емкости источников данных, расширение возможностей АРМ, повышение интенсивности информационного обмена в рамках организации выдвигает на передний план проблемы обеспечения высокоскоростного отдаленного взаимодействия с отдаленным АРМ.

Технический прогресс в этой отрасли для территорий, что сравниваются с современным городом, предлагает несколько решений организации высокоскоростной передачи данных:

Примером системы высокоскоростного отдаленного

взаимодействия локальной сети ЭВМ является сеть, построенная с использованием оборудования по стандарту ANSI (American National Standards Institute - Американский Национальный Институт Стандартов), названному FDDI (Fiber Distributed Data Interface - распределенный волоконно-оптический интерфейс данных).

Проблемы обеспечения безопасности и конфиденциальности обработки данных в сети возникают в организации, что в своей автоматизированной системе, построенной на основе сети ЭВМ, использует конфиденциальную и критическую информацию.

Под конфиденциальной информацией понимают сведения, разглашение которых или передача третьим лицам может повлечь существенный ущерб законному владельцу информации. Под критической понимают особо важную информацию для выполнения повседневной деятельности организации, разрушение или отсутствие доступа к которой может нанести существенный ущерб законному владельцу информации.

В каждой конкретной организации определяется перечень конфиденциальных и критических сведений, относительно которых необходимо обеспечивать секретность и безопасность. В случае использования средств автоматизации используют

понятие ресурса, как компонента автоматизированной системы (АС). Ресурсом могут быть аппаратные средства, программное обеспечение, данные в АС.

В этом случае безопасность ресурса заключается в обеспечении конфиденциальности, целостности и доступности. Под конфиденциальностью ресурса понимается свойство ресурса быть доступным авторизованному субъекту АС и одновременно быть "прозрачным", не существовать для неавторизованного субъекта АС или нарушителя. Целостность ресурса - это обеспечение его правильности или работоспособности в любой момент времени. Обеспечение доступности ресурса заключается в обеспечении беспрепятственного доступа к нему авторизованного субъекта АС.

Проблемы обеспечения безопасности и секретности обработки данных в сети предусматривают следующее:

Решение проблемы обеспечения безопасности и секретности обработки данных в сети можно получить при использовании защищенных АС, построенных из защищенных средств вычислительной техники (СВТ).

Все вышеизложенное дает основание рассматривать поставленные проблемы защиты информации в компьютерных системах, как одни из основных (рядом с защитой материальных ценностей и людей).

Система управления АС

Соответственно терминологии Эталонной Модели Взаимодействия Открытых Систем (ЭМВОС) вычислительная сеть в составе АС предоставляет пользователю следующие услуги:

На прикладном уровне с помощью специальных процессов обеспечивается управление сетью.

Служба передачи, доступа и управления файлом предназначена для обеспечения пользователя единой универсальной средой хранения информации. Служба виртуального терминала решает проблемы соединения процессов с разнотипными реальными терминалами. Служба передачи и манипулирования заданиями обеспечивает возможность пользователю организовать распределенную обработку в сети. Служба обмена сообщениями позволяет поддерживать связь в сети, аналогичную почтовому — "электронная почта".

Управление сетью предусматривает наличие средств, что предоставляют пользователю возможность наблюдать и руководить выполнением операций распределенной обработки данных и обеспечивать управление в следующих функциональных отраслях:

Обеспечение безопасности информационной сети определяется как мероприятия, что охраняют информационную сеть от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальное

функционирование или попыток разрушения ее компонентов. Безопасность вычислительной сети содержит в себе защиту оборудования, программного обеспечения, данных и персонала. Защита информации (программного обеспечения, данных и результатов обработки) осуществляется с помощью системы защиты.

В отличие от ЭМВОС реальная вычислительная система (ВС) состоит из конкретного оборудования, что работает под управлением конкретного набора программных средств из состава общего и специального программного обеспечения. Этот набор аппаратных и программных средств в каждой конкретной организации представляет собой уникальный конгломерат, собранный, как правило, из продукции разных поставщиков. Если выходить из сформированного разделения труда, то аппаратные и программные средства ОС организации можно отнести к следующим категориям:

Комплекс технических средств содержит в себе:

Комплекс программных средств состоит из следующих элементов:

Кроме этого, реальная ВС входит в состав АС и представляет

собой человеко-машинную систему, что обеспечивает целенаправленную деятельность организации. Возникающая двойственность (ВС - инструмент для достижения цели организации и ВС - объект управления) приводит к выделению разных категорий сотрудников организации относительно ВР. В рамках организации выделяют:

Безопасность обработки информации в АС обеспечивает, как говорилось выше, служба безопасности предприятия, а именно инженерно-техническая группа. Из ее состава для непосредственного управления системой защиты информации выделяется администратор безопасности АС.

Система защиты информации в АС

С точки зрения системы защиты информации выделяют

Обеспечение защиты ЗОТ и АС осуществляется:

Основными функциями системы разграничения доступа является:

Обеспечивающие средства для системы разграничения доступа выполняют следующие функции:

Способы реализации системы разграничения доступа зависят от конкретных особенностей ЗОТ и АС. Возможно применение следующих способов защиты и любых их соединений:

Как правило, у современных ВС система защиты информации в АС явно не выделена и представляет собой в общем случае территориально распределенную человеко­машинную систему, что является подсистемой системы управления организации и глубоко интегрированную в ее состав. Компоненты системы защиты распределены по всем уровням архитектуры аппаратных и программных средств АС, а правила их использования должны быть включены в инструкции должностных лиц всех уровней - от конечных пользователей до руководителя организации.