Применение инженерно-технических средств обеспечения информационной безопасности

Главная — Информационная безопасность — Основы ИБ — Применение инженерно-технических средств обеспечения информационной безопасности

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Промышленный шпионаж в последние десятилетия развился благодаря совершенствованию информационных технологий. В открытой продаже есть оборудование компактных размеров и с широким набором функций. С помощью такой аппаратуры можно незаметно делать фотографии, аудио- и видеозаписи. В связи с этим проблема обеспечения информационной безопасности на предприятии приобретает глобальный масштаб.

Под обеспечением информационной безопасности чаще всего подразумевают использование определенных компьютерных программ для защиты информации. Однако на практике их оказывается недостаточно. Поэтому в обязанности службы безопасности предприятия входит разработка и внедрение целого комплекса мер, направленных на обеспечение защиты конфиденциальной информации от намеренного или случайного разглашения.

Такой комплекс мер подразумевает внедрение инженерно-технической системы защиты информации (ИТСЗИ).

Концепция ИТСЗИ

Обеспечение комплексной защиты информации осуществляется путем разработки, внедрения и дальнейшего контроля системы защиты конфиденциальных данных. Для этого проводятся масштабные работы по оборудованию всех помещений предприятия различными средствами, которые будут ограничивать доступ к конфиденциальной информации. После этого коллектив предприятия информируют о внедрении системы защиты. Сотрудники под подпись обязуются соблюдать введенный режим конфиденциальности. В обязанности службы безопасности входит дальнейший контроль за соблюдением режима конфиденциальности, поиск возможных каналов утечки информации, периодическое обновление системы защиты.

Без внедрения системы защиты информации в современных условиях не может работать ни одно крупное государственное или частное предприятие. Поэтому проблеме применения ИТСЗИ уделяется много внимания. Угроза промышленного или государственного шпионажа вынуждает применять комплекс мер, направленных на защиту информации и противодействие утечкам данных.

Все используемые при разработке и внедрении системы защиты информации программы, оборудование, организационные меры называются техническими средствами защиты. Технические средства защиты информации включают:

аппаратные;
программные;
инженерно-технические;
организационно-технические средства защиты.

Каждое из перечисленных технических средств обладает своей спецификой.

Аппаратные средства защиты

Аппаратные средства защиты информации – это различное оборудование, которое отвечает за пресечение всех возможных попыток несанкционированного доступа и последующего разглашения конфиденциальной информации. В перечень такого оборудования входят фильтры сети, сканеры и другая аппаратура. Аппаратные средства отличаются от технических тем, что входят в состав компьютерной системы.

Аппаратные средства защиты по своим функциям делятся на устройства:

поиска;
защиты;
обнаружения;
детализации изменений.

Они бывают механическими, электронными, электромеханическими. В зависимости от функционала такие устройства предназначаются для:

локализации мест ослабления защиты;
обнаружения приборов и программ слежения;
выявления утечек информации на территории охраняемых объектов;
противодействия получению конфиденциальной информации третьими лицами;
проведения профилактических мер по обнаружению возможных каналов утечки информации.

Аппаратные средства защиты данных условно делятся на основное и вспомогательное оборудование.

В перечень основного оборудования входит:

аппаратура, предназначенная для идентификации сотрудников предприятия, допущенных к охраняемым данным (турникеты с магнитными или пластиковыми пропусками, системы считывания сетчатки глаза и т.д.);
оборудование, препятствующее включению серверов и рабочих станций без разрешения;
различные шифровальные устройства.

К вспомогательной аппаратуре относят:

оборудование, предназначенное для уничтожения файлов на электронных носителях;
сигнализацию, сообщающую о попытках сотрудников предприятия или третьих лиц совершить несанкционированные действия с ПК либо компьютерной сетью.

Преимущество аппаратных средств защиты в том, что они обладают высокой степенью надежности. Однако такое оборудование является дорогостоящим и громоздким. Поэтому его использование оправдано только в том случае, если без такой аппаратуры невозможно обеспечить необходимый уровень безопасности.

Программные средства защиты

Основным средством защиты данных от несанкционированного доступа являются различные компьютерные программы. К ним относятся антивирусы, блокираторы, системы безопасности связи.

Антивирусы предназначены для обнаружения и уничтожения шпионских программ. Они разрабатываются независимыми компаниями и постоянно обновляются, совершенствуя степень защиты. Лицензионные антивирусы надежней пиратских версий. Однако степень защиты зависит не только от самой программы, но и от пользователя. Для обеспечения защиты конфиденциальных данных служба безопасности предприятия должна ограничить доступ к настройкам антивируса. В этом случае пользователь не сможет отключить программу или ее функции.

Блокираторы предназначены для пресечения подключения ПК к интернету. Они устанавливаются на компьютеры и ноутбуки, на которых содержится особо ценная информация. Обычно вместе с блокираторами устанавливают программы, которые препятствуют подключению съемных носителей памяти к ПК. В этом случае содержащиеся на компьютере файлы будут доступны только ограниченному кругу лиц.

Системы безопасности связи – это программы, которые предотвращают несанкционированный доступ к каналам связи. В этом случае канал связи считается защищенным, а вероятность утечки информации – минимальной.

Программные средства обеспечения защиты данных – это универсальный инструмент, который используется во всех системах безопасности. Они отличаются надежностью, эффективностью, удобством. Однако доверять можно только проверенным лицензионным программам.

Кроме перечисленных программ, для обеспечения защиты информации используются следующие программные средства:

аутентификации и идентификации пользователей внутренней компьютерной сети;
защиты от внесения несанкционированных изменений, копирования, использования;
ограничения доступа;
шифрования.

На предприятиях с развитой системой защиты конфиденциальных данных также применяют программы:

уничтожающие данные, которые сохраняются во временных файлах и блоках памяти после удаления;
регистрирующие все события и действия пользователей компьютерной сети;
имитирующие передачу конфиденциальных данных для нарушителей режима конфиденциальности;
тестирующие степень защищенности системы информационной безопасности.

Организационно-технические средства

Организационно-технические средства защиты данных представляют собой комплекс мер, направленных на ограничение доступа третьих лиц к конфиденциальной информации.

К ним относится:

внедрение режима конфиденциальности;
проверка персонала предприятия сотрудниками службы безопасности на предмет связей с конкурентами и возможного разглашения коммерческой тайны;
инструктаж коллектива, включающий ознакомление под подпись с условиями соблюдения режима конфиденциальности;
создание условий для проведения программно-технических работ;
распределение между сотрудниками ответственности за доступ к отдельным единицам оборудования;
оснащение зданий и помещений охраняемых объектов металлическими решетками на окнах, бронированными дверями, другими средствами защиты от несанкционированного проникновения третьих лиц;
организация службы охраны помещений и территории предприятия.

Также к организационным средствам защиты информации относят различные организационно-правовые мероприятия: разработка внутренних нормативных актов предприятия, договоров с контрагентами и партнерами о соблюдении режима конфиденциальности, другая документация такого рода.

Без организационно-технической защиты все другие средства защиты информации теряют свою эффективность. Поэтому комплекс мер, направленных на ограничение доступа к конфиденциальным данным, должен быть продуманным, хорошо организованным и эффективным.

Инженерно-технические средства

Перечисленные выше средства, предназначенные для обеспечения безопасности, обязательно должны дополняться инженерной защитой. В число таких технических средств входит криптографическое шифрование.

Криптография – это наука, которая занимается изучением и решением проблем защиты информации. С точки зрения криптографии, шифрование данных – это лучший способ сохранения режима конфиденциальности.

Кроме непосредственно защиты данных с помощью криптографического шифрования определяется порядок аутентификации пользователей компьютерной сети предприятия, а также осуществляется контроль за их взаимодействием по рабочей переписке.

Криптографической шифрование применяется также для защиты телефонных переговоров. Для этого на предприятии используется специальная аппаратура.

Для организации режима конфиденциальности на предприятиях используют один из двух методов криптографической защиты: шифрование симметричным или ассиметричным ключом. Оба метода зарекомендовали себя как эффективные средства защиты данных.

Симметричный ключ – это ключ, который применяется одновременно и для шифрования, и для расшифровки. Соответственно, ассиметричное шифрование подразумевает использование двух ключей.

Законодательная база

Информационная безопасность на территории российских государственных и частных предприятий обеспечивается в соответствии с требованиями российского законодательства.

Особенностью российского законодательства является то, что в нем нет требований, обязующих вводить режим информационной безопасности в коммерческих организациях. Федеральный закон № 184-ФЗ от 27.12.2002 «О техническом регулировании» регламентирует введение на предприятии режима пожарной, электрической, биологической и других видов безопасности в соответствии с утвержденными законодательно техническими регламентами.

Информационная защита обеспечивается в соответствии с другими законодательными актами. Основным нормативно-правовым актом, регулирующим защиту информации, является Федеральный закон № 149-ФЗ от 27.07.2006 «Об информации». В нем приводятся основные определения, касающиеся понятия информации и конфиденциальности, возможные средства защиты конфиденциальных данных, ответственность за нарушение режима конфиденциальности.

Кроме Федерального закона № 149-ФЗ от 27.07.2006, существует Федеральный закон № 85-ФЗ от 04.07.1996. Он описывает методы и средства защиты данных от разглашения при сотрудничестве с зарубежными партнерами.
Необходимость создания системы защиты информации, в которой будут предусмотрены все возможные технические средства защиты данных, привела к созданию Государственной системы защиты информации (ГСЗИ).

Работа ГСЗИ опирается на такие законодательные акты:

«Доктрина информационной безопасности РФ», утвержденная Указом Президента № 646 от 05.12.2016;
Федеральный Закон № 3523-1 от 23.09.1992;
Федеральный Закон № 5485-1 от 21.07.1993.

Что касается требований к техническим средствам защиты данных, то они изложены в таких нормативно-правовых актах:

ГОСТ 28147-89;
ГОСТ Р 51275-99;
ГОСТ Р 51624-2000;
ГОСТ Р 50922-2006;
ГОСТ Р 52863-2007.

Кроме перечисленных государственных стандартов, служба безопасности предприятия должна руководствоваться рекомендациями по технической защите данных, изложенных в приказе № 282 от 30.08.2002, изданном Государственной технической комиссией при Президенте РФ.

Контроль за соблюдением требований законодательства к техническим средствам защиты данных осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК). ФСТЭК контролирует, как разрабатываются программные средства защиты данных, как выбираются внедряемые аппаратно-технические средства, как организовывается система защиты информации службой безопасности предприятия. Кроме этого, в обязанности ФСТЭК входит аттестация объектов информатизации и лицензирование в сфере технической защиты данных.

Лицензирование

Согласно требованиям российского законодательства, изложенным в Постановлении Правительства РФ № 171 от 03.03.2012, все используемые на предприятии технические средства защиты данных подлежат обязательному лицензированию. В зависимости от сферы деятельности организации, степени внедряемой защиты, особенностей разработанного режима конфиденциальности оформляются разные виды лицензий. Лицензию оформляют и те предприятия, которые разрабатывают технические средства защиты данных, и те организации, которые внедряют и используют эти средства в своей работе.

Предприятия, обладающие лицензией ФСТЭК, работают совместно со службами безопасности компаний, для которых они разрабатывают свои продукты. Перед тем, как начать работать над созданием системы безопасности, они анализируют особенности работы предприятия, используемые его сотрудниками виды оборудования, планируемый режим конфиденциальности.

Для получения лицензии ФСТЭК руководители предприятия обязаны:

провести полный комплекс работ по внедрению режима конфиденциальности в соответствии с требованиями российского законодательства;
протестировать компьютерную систему и помещения предприятия на предмет защищенности от несанкционированного проникновения, наличия возможных каналов утечки данных, других способов разглашения конфиденциальной информации;
разработать нормативную документацию и компьютерные программы, обеспечивающие соблюдение режима конфиденциальности;
провести экспертизу.

Лицензия оформляется после выполнения перечисленных действий в течение 1,5 месяцев.

Как обеспечить информационную безопасность на предприятии?

Концепция разработки и внедрения системы информационной безопасности предприятия включает:

оценку возможных угроз;
определение целей и задач системы защиты;
разработку и внедрение режима конфиденциальности.

Для предприятий, деятельность которых не связана с обработкой паспортных данных, хранением интеллектуальной собственности, разработкой особо секретных технологий, достаточно антивирусных программ и организации службы охраны. Такой комплекс мер позволит защитить информацию о финансовой деятельности предприятия, его сотрудниках и договоренностях с контрагентами. Организации, обладающие более ценной информацией, должны использовать и другие методы защиты данных.

Безопасность разработанной системы защиты определяется с помощью различных методик проверки. Программные средства защиты тестируют, а работников предприятия – проверяют на предмет лояльности. Опыт показывает, что безопасность обеспечивается только в том случае, если коллектив компании не пренебрегает применением всех внедренных на предприятии средств защиты. Поэтому основной задачей руководства организации является контроль за соблюдением режима конфиденциальности, регулярная модернизация системы защиты, проверка лояльности сотрудников. В противном случае утечки информации не избежать.

18.05.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.