5.3 Административно-организационные методы защиты информации

Для построения эффективной системы защиты необходимо выполнить следующие мероприятия:

- определить угрозы безопасности информации;

- выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к незащищенным данным;

- построить модель потенциального нарушителя;

- выбрать соответствующие методы и средства защиты;

- построить комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих ИСУ.

На стадии предпроектного обследования:

- устанавливается наличие секретной (конфиденциальной) информации;

- определяются режимы обработки информации (диалоговый, телеобработка, режим реального времени), состав технических средств и т.д.;

- определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников в обработке информации и характер их взаимодействия;

- анализируется возможность использования имеющихся на рынке средств защиты информации.

При разработке портрета нарушителя определяются:

- категория лиц, к которым может принадлежать нарушитель;

- мотивы действий нарушителя (цель);

- квалификация нарушителя и его техническая оснащенность;

- характер возможных действий.

Нарушители могут быть из числа персонала (внутренними) или внешними (посторонними) лицами.

Внутренние нарушители (инсайдеры):

- операторы – пользователи;

- персонал, обслуживающий технику (инженеры, техники);

- сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);

- технический персонал, обслуживающий здание (уборщики, электрики, сантехники и т.д.);

- сотрудники службы безопасности;

- руководители разного уровня управления.

Внешние нарушители:

- приглашенные лица и клиенты;

- представители энерго-, водо-, техноснабжения и т.д.;

- представители конкурирующих организаций;

- лица, случайно или умышленно нарушившие производственный режим;

- криминальные структуры.

Мотивы нарушителя:

- безответственность;

- корыстный интерес;

- самоутверждение, желание продемонстрировать свои возможности;

- попытка навредить (злой умысел).

При нарушениях, вызванных безответственностью, пользователь случайно производит какие – либо разрушающие действия, не связанные со злым умыслом.

Некоторые пользователи-нарушители считают получение доступа к системам крупным своим успехом, затевая игру «пользователь против системы» ради самоутверждения в собственных глазах, либо в глазах своих коллегах.

В случае корыстного интереса нарушитель целенаправленно пытается преодолеть систему защиты информации.

Всех нарушителей можно классифицировать следующим образом.

1. По уровню знаний и компетенций:

а) знающие особенности проектирования и функционирования ИСУ;

б) обладающие высокими знаниями и опытом работы с техническими средствами и их обслуживанием;

в) обладающие высоким уровнем знаний в области программирования;

г) знающие структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

2. По применяемым методам:

а) агентурные методы получения сведений;

б) методы и средства активного воздействия (подключение к каналам передачи данных и техническим средствам ИСУ);

в) использование штатных средств;

г) использование недостатков систем защиты.

3. По времени действия:

а) в процессе функционирования ИСУ;

б) в рабочее время (плановые перерывы, перерывы для обслуживания и ремонта и т.п.).

4. По месту действия:

а) рабочие места пользователей;

б) места обслуживания технических средств;

в) каналы связи;

г) архивы.

Чаще всего для достижения поставленной цели злоумышленник использует не один способ, а их некоторую совокупность.

Способы защиты информации:

- создание различных физических препятствий;

- управление доступом (регулирование использования всех ресурсов системы: технических, программных, информационных, временных);

- маскировка информации – использование криптографических методов;

- организационные методы защиты информации.

Физические средства защиты:

- создание физических препятствий (решетки, металлические двери, турникеты, сейфы и т. д.), механических и электромеханических замков;

- специальное остекление объекта;

- экранирование ЭВМ;

- установка генератора помех;

- использование механических и электромеханических замков, в том числе с дистанционным управлением, кодовым набором;

- датчики различного типа;

- использование теле-, фото систем наблюдения и регистрации, устройств идентификации пользователей (сотрудники должны знать, что за ними ведется постоянное наблюдение);

- системы охранной и противопожарной сигнализации.

Организационные методы защиты информации:

- подбор и проверка персонала, периодическое обучение по вопросам безопасности;

- запрет использования на рабочем месте телефонов со встроенными фотокамерами;

- разработка мероприятий по обеспечению режима секретности;

- разграничение доступа сотрудников к компьютерным сетям, информации и действий с ней в соответствии с их функциональными обязанностями и полномочиями (использование комбинаций: физический ключ + пароль, карточка + пароль и т.п.);

- продуманная планировка помещений с целью минимизации контактов персонала;

- обозначения и названия документов и носителей не должны раскрывать их содержание;

- организация контроля и учета выходной информации и документов (ведение журналов учета);

- уничтожение «отработанных» документов и машинных носителей информации или передача их в архив;

- ведение учета передачи смен, дежурств и т.д.;

- использование служб безопасности, оснащение помещений охранной и противопожарной сигнализацией;

- включение в должностные инструкции мероприятий по обеспечению режима секретности;

- анализ содержимого документов на степень конфиденциальности, присвоение грифа секретности;

- смена всех паролей при увольнении сотрудников и в случаях утечки информации;

- регулярное тестирование компьютерных систем;

- создание необходимого числа копий важной информации;

- установка охранной и пожарной сигнализации;

- регламентации доступа к данным;

- обсуждение каждого случая утечки информации с выявлением виновников и установлением мер наказания (скрывать опасно);

- использование принуждения – соблюдение определенных правил работы с информацией под угрозой материальной, административной и уголовной ответственности;

- использование морально-этических категорий (долг, ответственность, патриотизм и т.п.);

- поручить борьбу с утечками информации аппаратуре и программам, исключив человеческий фактор – инсайдеров.

Специальное программное обеспечение позволяет обеспечить целостность и безопасность информационной среды организации. Для этого могут быть использованы межсетевые экраны и антивирусные программы, осуществляющие фильтрацию входящего и выходящего потоков информации.

Все перечисленные аспекты управления безопасностью компьютерных сетей организаций равнозначны и важны для любой сети независимо от ее параметров.

Таким образом, технологии обеспечения безопасности локальных вычислительных систем организаций могут быть разделены на две группы: обеспечение устойчивости ИСУ под воздействием внутренних факторов, обеспечение защиты ИСУ от внешних воздействий.

К внутренним факторам следует отнести перебои электропитания, отказ отдельных элементов компьютерных систем, неправомерные действия сотрудников (ошибки при вводе данных и управлении системой).

Для стабилизации энергоснабжения могут быть рассмотрены следующие варианты: оснащение компьютеров источниками бесперебойного питания (в некоторых случаях достаточно оснастить источником бесперебойного питания только сервер); установка автономных источников питания; подключение компьютерной сети к нескольким независимым источникам энергопитания.

Для снижения последствий потери работоспособности технических элементов компьютерных систем, могут быть реализованы следующие организационные мероприятия:

- параллельная запись данных на нескольких носителях (использование так называемых «зеркальных дисков»);

- разбиение файлов и запись их на нескольких (от 4-х до 8-ми) дисков;

- периодическая перезапись, архивация баз данных и программ;

- параллельное решение критически важных задач;

- периодическая профилактика и контроль работоспособности технических средств компьютерной сети.

Сетевые средства защиты:

- корпоративные для организаций стоимостью в несколько тысяч долларов;

- персональные, устанавливаемые на каждый компьютер (они дешевле и доступны обычному пользователю).

Сетевые средства защиты выполняют следующие функции:

- обнаружение вторжения;

- контроль доступа;

- регистрация событий.