- •1. Информационная безопасность
- •2. Информационная безопасность – дело межгосударственное
- •3. Информационная безопасность и геоинформационные системы
- •4. Информационная безопасность и интересы бизнеса
- •5. Информационная безопасность корпоративных (ведомственных) сетей связи
- •6. Каналы утечки информации
- •7. Классификация угроз безопасности информации
- •8. Угрозы, не связанные с деятельностью человека
- •9. Угрозы, связанные с деятельностью человека
- •10. Утечка акустической информации из-за применения подслушивающих устройств
- •11. Прослушивание и запись переговоров по телефонным линиям
- •12. Утечка информации за счет скрытного и дистанционного видеонаблюдения
- •13. Лазерный съем речевой информации
- •14. Основные понятия компьютерной безопасности
- •15. Лицензирование
- •16. Особенности безопасности компьютерных сетей
- •17. Нарушения безопасности сети
- •18. Взлом программного модуля
- •19. Меры защиты информационной безопасности
- •20. Меры защиты: четыре уровня защиты
- •21. Метод авторизации через интернет
- •22. Побитовое копирование cd
- •23. Признаки наличия язвимых мест в информационной безопасности
- •24. Пути утечки информации в вычислительных системах
- •25. Устойчивость к взлому
- •26. Устойчивость к прямому копированию
- •27. Законы ук рф, связанные с «Преступлениями в сфере компьютерной информации»
- •28. Утечка информации при использовании средств связи и различных проводных коммуникаций
- •29. Перехват разговоров по радиотелефонам и сотовой связи
- •30. Использование сети 220 в для передачи акустической информации из помещений.
- •31. Комплексный подход к обеспечению информационной безопасности
- •32. Организованные меры обеспечения защиты информации
- •33. Подбор персонала для обеспечения безопасности
- •34. Краткая характеристика источников информации
- •35. Безопасность оптоволоконных кабельных систем
- •36. Защита информации в оптическом диапазоне частот
- •37. Классификация современных биометрических средств защиты информации
- •38. Принципы построения системы информационной безопасности объекта
- •39. Определение границ управления информационной безопасностью объекта
- •40. Выбор контрмер, обеспечивающих информационную безопасность
- •41. Проверка системы защиты информации
- •42. Составление плана защиты информации
- •43. Реализация плана защиты информации (управление системой защиты информации)
- •44. Практические проблемы обеспечения информационной безопасности
- •45. Новые приборы виброакустической защиты информации
- •46. Персонал как основная опасность утраты конфиденциальной информации
- •47. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией
- •48. Доступ персонала к конфиденциальным сведениям, документам и базам данных
- •49. Текущая работа с персоналом, владеющим конфиденциальной информацией
- •50. Особенности увольнения сотрудников, владеющих конфиденциальной информацией
- •51. Защищенный документооборот
- •52. Технологические системы защиты и обработки конфиденциальных документов
- •53. Принципы учета конфиденциальных документов
- •54. Этапы подготовки конфиденциальных документов
- •55. Защита информации при проведении совещаний и переговоров
- •56. Защита информации при работе с посетителями
- •57. Защита информации в работе кадровой службы
- •58. Нормативно-методические документы по обеспечению безопасности информации
37. Классификация современных биометрических средств защиты информации
В настоящее время отечественной промышленностью и рядом зарубежных фирм предлагается достаточно широкий набор различных средств контроля доступа к информации, и выбор оптимального их сочетания в каждом конкретном случае вырастает в самостоятельную проблему. На российском рынке в настоящее время представлены как отечественные, так и импортные БСЗИ, существуют и совместно разработанные средства.
По конструктивным особенностям можно отметить системы, выполненные в виде моноблока, нескольких блоков и в виде приставок к компьютерам. Сравнительный анализ показывает, что наиболее надежными системами контроля доступа к информации, в которых не используются карточки, ключи, жетоны, пароли и которые нельзя выкрасть или потерять, являются биометрические системы контроля доступа к информации.
Будучи наиболее дорогостоящими, они обеспечивают и наиболее высокий уровень безопасности. Раньше они в основном использовались в государственных учреждениях и там, где предъявляются особые требования к безопасности. В настоящее время биометрические системы контроля доступа к информации завоевывают популярность в банках, фирмах, связанных с обеспечением безопасности в телекоммуникационных сетях, в информационных отделах фирм и т. д.
Расширение применения систем этого типа можно объяснить как снижением их стоимости, так и повышением требований к уровню безопасности. Подобные системы на российском рынке появились благодаря фирмам Identix, SAC Technologies, Eyedentify, O’gara security international, Biometric Identification Inc., Recognition Systems, Trans-Ameritech, «Эдванс», «ААМ Системз», «Полми групп», «Маском» и др.
38. Принципы построения системы информационной безопасности объекта
Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов. Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности.
Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации.
Таким образом, обеспечение информационной безопасности не может быть разовым мероприятием. Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации. Комплексный характер защиты информации обусловлен действиями злоумышленников. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения. Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм - систему информационной безопасности.
Только в этом случае появляются системные свойства, не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования. Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа.
Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.
Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты. С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.
Защита информации должна быть:
• централизованной: необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
• плановой: планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
• конкретной и целенаправленной: защите подлежат абсолютно конкретные информационной ресурсы, представляющие интерес для конкурентов;
• активной: защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментов, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;
• надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта: методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
• нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;
• открытой для изменения и дополнения мер обеспечения безопасности информации;
• экономически эффективной: затраты на систему защиты не должны превышать размеры возможного ущерба. Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут полезны создателям систем информационной безопасности:
• средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;
• каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
• возможность отключения защиты в особых случаях, например когда механизмы защиты реально мешают выполнению работ;
• независимость системы защиты от субъектов защиты;
• разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
• отсутствие на предприятии излишней информации о существовании механизмов защиты.
Все перечисленные позиции должны лечь в основу формирования системы защиты информации. Теперь, владея основными концептуальными положениями, необходимо освоить механизм выработки детальных предложений по формированию политики и построению системы информационной безопасности.
Последовательность действий при разработке системы обеспечения информационной безопасности объекта Прежде чем приступать к разработке системы информационной безопасности, необходимо определить, что же для организации (физического лица) является интеллектуальной собственностью. С точки зрения делового человека, интеллектуальной собственностью являются информационные ресурсы, знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль.
Способ управления производством, технологический процесс, список клиентов, профиль научных исследований, анализ конкурентоспособности - вот лишь некоторые примеры. Незнание того, что составляет интеллектуальную собственность - уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации.
Затем, вне зависимости от размеров организации и специфики ее информационной системы, необходимо:
• определить границы управления информационной безопасностью объекта;
• провести анализ уязвимости;
• выбрать контрмеры, обеспечивающие информационную безопасность; определить политику информационной безопасности;
• проверить систему защиты;
• составить план защиты;
• реализовать план защиты (управление системой защиты).