Захист інформації та інформаційного продукту

Категорія (предмет): Інформатика

Arial

-A A A+

1. Технічні засоби охорони.

2. Системи і пристрої пошуку і знищення. Технічні засоби розвідки.

3. Інженерно-технічні засоби захисту інформації.

4. Актуальні проблеми інформаційної безпеки.

Список використаної літератури.

1. Технічні засоби охорони

Засоби технічного захисту інформації — технічні засоби, основне функціональне призначення яких — захист інформації від загроз витоку, порушення цілісності та блокування; технічні засоби, у яких додатково до основного призначення передбачено функції захисту інформації; засоби, що призначені, спеціально розроблені або пристосовані для пошуку закладних пристроїв, які створюють загрозу для інформації, або контролю ефективності технічного захисту інформації.

Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації повинні відповідати зазначеним в ДСТУ 3396.0-96 етапам функціювання системи захисту інформації і полягає в:

— проведенні обстеження підприємства, установи, організації;

— розробленні і реалізації організаційних, первинних технічних, основних технічних заходів з використанням засобів забезпечення ТЗІ;

— прийманні робіт з ТЗІ;

— атестації засобів (систем) забезпечення ІД на відповідність вимогам нормативних документів з ТЗІ.

Порядок проведення робіт з ТЗІ або окремих їхніх етапів установлюється наказом (розпорядженням) керівника підприємства.

Роботи повинні виконуватися силами підприємства під керівництвом спеціалістів з ТЗІ.

Для участі в роботах, подання методичної допомоги, оцінювання повноти та якості реалізації заходів захисту можуть залучатися спеціалісти з ТЗІ інших організацій, які мають ліцензію органа, уповноваженого Кабінетом Міністрів України.

Метою обстеження підприємства є вивчення його ІД, визначення об`єктів захисту — ІзОД, виявлення загроз, їхній аналіз та побудова окремої моделі загроз.

Обстеження повинно бути проведено комісією, склад якої визначається відповідальною за ТЗІ особою і затверджується наказом керівника підприємства.

У ході обстеження необхідно:

— провести аналіз умов функціювання підприємства, його розташування на місцевості (ситуаційного плану) для визначення можливих джерел загроз;

— дослідити засоби забезпечення ІД, які мають вихід за межі контрольованої території;

— вивчити схеми засобів і систем життєзабезпечення підприємства (електроживлення, уземлення, автоматизації, пожежної та охоронної сигналізацій), а також інженерних комунікацій та металоконструкцій;

— дослідити інформаційні потоки, технологічні процеси передачі, одержання, використання, розповсюдження і зберігання (далі — оброблення) інформації і провести необхідні вимірювання;

— визначити наявність та технічний стан засобів забезпечення ТЗІ;

— перевірити наявність на підприємстві нормативних документів, які забезпечують функціювання системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД;

— виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів, кіл і проводів;

— визначити технічні засоби і системи, застосування яких не обґрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню;

— визначити технічні засоби, що потребують переобладнання (перемонтування) та встановлення засобів ТЗІ [7, c. 55-57].

За результатами обстеження слід скласти акт, який повинен бути затверджений керівником підприємства.

Матеріали обстеження необхідно використовувати під час розроблення окремої моделі загроз, яка повинна включати:

— генеральний та ситуаційний плани підприємства, схеми розташування засобів і систем забезпечення ІД, а також інженерних комунікацій, які виходять за межі контрольованої території;

— схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів несанкційованого доступу до ІзОД;

— оцінку шкоди, яка передбачається від реалізації загроз.

У процесі реалізації первинних технічних заходів потрібно забезпечити:

— блокування каналів витоку інформації;

— блокування несанкційованого доступу до інформації чи її носіїв;

— перевірку справності та працездатності технічних засобів забезпечення ІД.

Блокування каналів витоку інформації може здійснюватися:

— демонтуванням технічних засобів, ліній зв'язку, сигналізації та керування, енергетичних мереж, використання яких не пов'язано з життєзабезпеченням підприємства та обробленням ІзОД;

— видаленням окремих елементів технічних засобів, які є середовищем поширення полів та сигналів, з приміщень, де циркулює ІзОД;

— тимчасовим відключенням технічних засобів, які не беруть участі в обробленні ІзОД, від ліній зв'язку, сигналізації, керування та енергетичних мереж;

— застосуванням способів та схемних рішень із захисту інформації, що не порушують основних технічних характеристик засобів забезпечення ІД.

Блокування несанкційованого доступу до інформації або її носіїв може здійснюватися:

— створенням умов роботи в межах установленого регламенту;

— унеможливленням використання програмних, програмно-апаратних засобів, що не пройшли перевірки (випробування)[8, c. 68-69].

Перевірку справності та працездатності технічних засобів і систем забезпечення ІД необхідно проводити відповідно до експлуатаційних документів.

Виявлені несправні блоки й елементи можуть сприяти витоку або порушенню цілісності інформації і підлягають негайній заміні (демонтуванню).

У процесі реалізації основних технічних заходів захисту потрібно:

— установити засоби виявлення та індикації загроз і перевірити їхню працездатність;

— установити захищені засоби оброблення інформації, засоби ТЗІ та перевірити їхню працездатність;

— застосувати програмні засоби захисту в засобах обчислювальної техніки, автоматизованих системах, здійснити їхнє функційне тестування і тестування на відповідність вимогам захищеності;

— застосувати спеціальні інженерно-технічні споруди, засоби (системи).

Вибір засобів забезпечення ТЗІ зумовлюється фрагментарним або комплексним способом захисту інформації.

Фрагментарний захист забезпечує протидію певній загрозі.

Комплексний захист забезпечує одночасну протидію безлічі загроз.

Засоби виявлення та індикації загроз застосовують для сигналізації та оповіщення власника (користувача, розпорядника) ІзОД про витік інформації чи порушення її цілісності.

Засоби ТЗІ застосовуються автономно або спільно з технічними засобами забезпечення ІД для пасивного або активного приховування ІзОД.

Для пасивного приховування застосовують фільтри-обмежувачі, лінійні фільтри, спеціальні абонентські пристрої захисту та електромагнітні екрани. Для активного приховування застосовують вузькосмугові й широкосмугові генератори лінійного та просторового зашумлення[1, c. 142-143].

2. Системи і пристрої пошуку і знищення. Технічні засоби розвідки

Зростання загроз для інформації, спричинене лібералізацією суспільних та міждержавних відносин, кризовим станом економіки, застосуванням технічних засобів оброблення інформації та засобів зв'язку іноземного виробництва, поширенням засобів несанкціонованого доступу до інформації та впливу на неї, визначає необхідність розвитку ТЗІ.

Технічні засоби розвідки — апарати, машини та виготовлені з їх використанням обладнання або технічні системи, а також інструменти і речовини, призначені для: одержання розвідувальної інформації шляхом контролю поверхні Землі, повітряного (космічного) простору й окремих об'єктів, а також випромінювань різної природи; добування розвідувальної інформації з каналів електрозв'язку, інформаційних систем та окремих технічних засобів оброблення інформації; подолання технічного і криптографічного захисту розвідувальної інформації; негласного спостереження за об'єктами, що становлять інтерес для розвідувальних органів як джерела розвідувальної інформації; забезпечення передавання розвідувальної інформації.

Тому, на підставі вищевикладеного, можна виділити ще одну класифікацію каналів витоку інформації – за фізичною природою:

— радіоканали (електромагнітні випромінювання в радіодіапазоні);

— акустичні (поширення звукових коливань у будь-якому звукопровідному матеріалі);

— електричні (напруги і струми в різних струмопровідних комунікаціях);

— візуально-оптичні (електромагнітні випромінювання в інфрачервоній, видимій і ультрафіолетовій частині спектра);

— матеріально-речовинні (папір, фото, магнітні носії, відходи тощо).

Фізичні процеси, які відбуваються в технічних засобах при їх функціонуванні, створюють у навколишньому просторі побічні випромінювання, що тією іншою мірою пов'язані з оброблюваною інформацією[3, c. 57-59].

Правомірно припускати, що утворенню технічних каналів витоку інформації сприяють певні обставини і причини технічного характеру. Аналіз фізичної природи численних перетворювачів і випромінювачів показує, що:

— джерелами небезпечного сигналу є елементи, вузли і провідники технічних засобів, а також радіо- і електронна апаратура;

— кожне джерело небезпечного сигналу за певних умов може утворити технічний канал витоку інформації;

— кожна електронна система, що містить у собі сукупність елементів, вузлів і провідників, має деяку безліч джерел небезпечного сигналу і деяку безліч технічних каналів витоку інформації.

3. Інженерно-технічні засоби захисту інформації

Основні положення концепції інженерно-технічного захисту інформації визначають її принципи, які конкретизуються в метолах, способах і засобах інженерно-технічного захисту інформації. Якщо ціль відповідає на запитання, що потрібно досягти в результаті інженерно-технічного захисту інформації, а завдання — що треба зробити для цього, то принципи дають загальне подання про підходи до рішення поставлених завдань. Принципи можна розділити на принципи інженерно-технічного захисту інформації як процесу й принципи побудови системи інженерно-технічного захисту інформації.

Обов'язковість захисту інженерно-технічними заходами інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для особи та суспільства, якщо ця інформація циркулює в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, в державних установах і організаціях.

Засоби інженерного захисту поєднують конструкції, що утрудняють рух зловмисника й поширення стихійної сили до джерела інформації, і включають огородження території, будинків і приміщень, шафи, сейфи й сховища, а також засобу системи контролю й керування доступом людей і транспорту в контрольовані зони[8, c. 64].

По ступені захисту огородження ділять на 4 класи. Огородження з різних некапітальних конструкцій висотою не менш 2 м ставляться до огороджень 1- го класу. Дерев'яні суцільні огородження товщиною не менш 40 мм, металеві сітчасті або ґратчасті висотою не менш 2 м утворять огородження 2- го класи. Залізобетонні, кам'яні, цегельні суцільні металеві огородження висотою не менш 2,5 м являють собою огородження 3- го класи. Монолітні залізобетонні, кам'яні, цегельні огородження висотою 2.5 м, обладнані додатковим огородженням, є огородженнями 4- го класу.

Огородження території — найбільш давні інженерні конструкції для фізичної зашиті об'єкта або його окремих ділянок від проникнення зловмисника на охоронювану територію. За призначенням вони поділяються на основні, додаткові н попереджувальні. Додаткові огородження призначені для підвищення укріплень й основних огороджень. Попереджувальні огородження встановлюються із внутрішньої або зовнішньої сторони основного огородження н призначені для обмеження доступу до нього людей. На попереджувальному огородженні встановлюються заборонні таблички типу "Заборонна зона", "Не підходити", "Стій" і ін.

Основним огородженням території організації є забір. Забори можна розділити на декоративні й захисні. Декоративні забори позначають на місцевості границю території організації й створюються чагарником, стовпчиками, тросами, дротом і ін.

Захисні забори перешкоджають проникненню людей, автотранспорту й тварин на територію організації. Розрізняють наступні основні типи захисних заборів:

• монолітні;

• збірні бетонні або залізобетонні;

• металеві (литі, куті, зварені);

• сітчасті;

• дротові;

• дерев'яні;

• рослинні (живаючи огорожа);

• комбіновані.

Дротові огородження виготовляються з колючого й гладкого дроту. Огородження із гладкого дроту висотою порядку 1,5-1,8 м використовуються як додаткові й попереджувальні огородження усередині об'єкта. Огородження з колючого дроту можуть бути основними й допоміжними. Основні огородження можуть бути багаторядними або виконуватися у вигляді спіралей. Такі огородження використовують для блокування тимчасових складських площадок, військових об'єктів або об'єктів спеціального призначення.

Найбільш слабкий захист мають дерев'яні суцільні й розріджені забори. Під дією вітрового навантаження вони створюють вібраційні й імпульсні механічні перешкоди, що збільшують імовірність помилкового спрацьовування встановлених на них повідомлювачів. Дерев'яний забор — огородження з рейок (штахетник) використовується в основному як попереджувальне додаткове огородження. Повідомлювачі на них не встановлюються.

Комбіновані забори містять ділянки різної конструкції. Міцність забору визначається міцністю найбільш слабкої ділянки[5, c. 117-119].

4. Актуальні проблеми інформаційної безпеки

Впровадження в усі сфери життєдіяльності особи, суспільства та держави інформаційних технологій зумовило поширення великих масивів інформації в обчислювальних та інформаційних мережах на значних територіях. За відсутності вітчизняних конкурентоспроможних інформаційних технологій надається перевага технічним засобам оброблення інформації та засобам зв'язку іноземного та спільного виробництва, які здебільшого не забезпечують захист інформації. Комунікаційне обладнання іноземного виробництва, яке використовується у мережах зв'язку, передбачає дистанційний доступ до його апаратних та програмних засобів, у тому числі з-за кордону, що створює умови для несанкціонованого впливу на їх функціонування і контролю за організацією зв'язку та змістом повідомлень, які пересилаються.

Сьогодні злочинним шляхом використовується електронна обчислювальна техніка насамперед у банківській системі. Хоча в умовах ринкових відносин предметом розкрадання може бути й інформація різного значення.

Виходячи з вимог безпеки інформації, яка зберігається, функціонує та обробляється в засобах обчислювальної техніки працівниками, стає необхідним проведення заходів, які б підвищили надійність її захисту. При цьому можуть використовуватись різні засоби захисту – фізичні, законодавчі, організаційні, програмні, технічні.

Прогрес у різних галузях науки і техніки призвів до створення компактних та високоефективних технічних засобів, за допомогою яких можна легко підключатись до ліній телекомунікацій та різноманітних технічних засобів оброблення інформації вітчизняного та іноземного виробництва з метою здобування, пересилання та аналізу розвідувальних даних. Для цього може використовуватись апаратура радіо-, радіотехнічної, оптико-електронної, радіотеплової, акустичної, хімічної, магнітометричної, сейсмічної та радіаційної розвідок[2, c. 41-42].

За таких умов створилися можливості витоку інформації, порушення її цілісності та блокування. Витік інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, — це одна з основних можливих загроз національній безпеці України в інформаційній сфері. Загрози безпеці інформації в Україні зумовлені:

· невиваженістю державної політики в галузі інформаційних технологій, що може призвести до безконтрольного та неправомочного доступу до інформації та її використання;

· діяльністю інших держав, спрямованою на одержання переваги в зовнішньополітичній, економічній, військовій та інших сферах;

· недосконалістю організації в Україні міжнародних виставок апаратури різного призначення (особливо пересувних) та заходів екологічного моніторингу, що може використовуватися для здобування інформації розвідувального характеру;

· діяльністю політичних партій, суб'єктів підприємницької діяльності, окремих фізичних осіб, спрямованою на одержання переваги у політичній боротьбі та конкуренції;

· злочинною діяльністю, спрямованою на протизаконне одержання інформації з метою досягнення матеріальної вигоди або нанесення шкоди юридичним чи фізичним особам;

· використанням інформаційних технологій низького рівня, що призводить до впровадження недосконалих технічних засобів із захистом інформації, засобів контролю за ефективністю ТЗІ та засобів ТЗІ;

· недостатністю документації на засоби забезпечення ТЗІ іноземного виробництва, а також низькою кваліфікацією технічного персоналу у сфері ТЗІ[8, c. 135].

Список використаної літератури

1. Берлач А. Безпека бізнесу: Навчальний посібник/ Анатолій Берлач. — К.: Університет "Україна", 2007. — 279 с.

2. Василюк В. Я. Інформаційна безпека держави: Курс лекцій: Для студентів, які навчаються за спеціальностями " Організація захисту інформації з обмеженим доступом", "Право-знавство"/ В. Я. Василюк, С. О. Климчук. — К.: КНТ: Видавничий дім "Скіф", 2008. — 135 с.

3. Задірака В. Методи захисту фінансової інформації: Навч. посібник/ Валерій Задірака, Олександр Олексюк,; М-во освіти і науки України; Терноп. акад. нар. госп.; НАНУ; Ін-т кібернетики ім. В.М.Глушкова. — Тернопіль: Збруч, 2000. — 456 с.

4. Карпов В. Менеджмент безопасности: (теория и практика). В 2-х т./ Валентин Карпов; Петр Закревский, Николай Дудник ; Межрегиональная академия управления персоналом, Кировоградский ин-т им. Святого Николая. — Кировоград. – 2007. — Т. 2. — 2007. — 340 с.

5. Кормич Б. Інформаційна безпека: організаційно-правові основи: Навчальний посібник/ Борис Кормич,. — К.: Кондор, 2005 2008. — 382 с.

6. Маракова І. Захист інформації. Криптографічні методи: Підручник для вищих навчальних закладів/ Ірина Маракова, Анатолій Рибак, Юрій Ямпольский,; Мін-во освіти і науки України, Одеський держ. політехнічний ун-т, Ін-т радіоелектроніки і телекомунікацій . — Одеса, 2001. — 164 с.

7. Про засоби масової інформації : Збірник законів. — Харків: ІГВІНІ, 2006. — 215 с.

8. Українське законодавство: Засоби масової інформації: закони і законодавчі акти/ Ред. Т. Котюжинська, Ред. Л. Панкратова. — К.: Б.в., 2004. — 365 с.