- •Москва – 2011
- •1. Методы защиты информации
- •2. Идентификация и установление подлинности объекта и субъекта
- •3. Криптографическое преобразование информации
- •4. Стеганографическое преобразование информации
- •5. Методы защиты информации от компьютерных вирусов
- •6. Защита информации от утечки за счет побочного электромагнитного излучения и наводок
- •7. Методы и средства защиты информации от случайных воздействий
- •8. Методы защиты информации от аварийных ситуаций
- •9. Организационные мероприятия по защите информации
- •10. Законодательные меры по защите информации
- •11. Анализ и оценка действующей концепции защиты
- •12. Выбор модели построения защиты
- •13. Исходные данные для постановки задачи
- •14. Общий методологический подход
- •15. Модель элементарной защиты
- •Заключение
8. Методы защиты информации от аварийных ситуаций
Защита информации от аварийных ситуаций заключается в создании средств предупреждения, контроля и организационных мер по исключению НСД на комплексе средств автоматизации в условиях отказов его функционирования, отказов системы защиты информации, систем жизнеобеспечения людей на объекте размещения и при возникновении стихийных бедствий.
Практика показывает, что, хотя аварийная ситуация – событие редкое (вероятность его появления обусловлена многими причинами, в том числе не зависящими от человека, и эти причины могут быть взаимосвязаны), защита от нее необходима, так как последствия в результате ее воздействия, как правило, могут оказаться весьма тяжелыми, а потери – безвозвратными. Затраты на защиту от аварийных ситуаций могут быть относительно малы, а эффект в случае аварии – большим.
Отказ функционирования комплексных систем автоматизации (КСА) может повлечь за собой отказ системы защиты информации, может открыться доступ к ее носителям: магнитным лентам, дискам и т.д., что может привести к преднамеренному разрушению, хищению или подмене носителя. Несанкционированный доступ к внутреннему монтажу аппаратуры может привести к подключению посторонней аппаратуры, разрушению или изменению принципиальной электрической схемы.
Отказ системы жизнеобеспечения может привести к выводу из строя обслуживающего и контролирующего персонала. Стихийные бедствия: пожар, наводнение, землетрясение, удары молнии и т.д. – могут также привести к указанным выше последствиям. Аварийная ситуация может быть создана преднамеренно нарушителем. В последнем случае применяются организационные мероприятия.
На случай отказа функционирования КСА подсистема контроля вскрытия аппаратуры снабжается автономным источником питания. Для исключения безвозвратной потери информации носители информации дублируются и хранятся в отдельном удаленном и безопасном месте. Для защиты от утечки и модификации информация должна храниться в закрытом криптографическим способом виде. В целях своевременного принятия мер по защите системы жизнеобеспечения устанавливаются соответствующие датчики, сигналы с которых поступают на централизованные системы контроля и сигнализации.
Наиболее частой и типичной естественной угрозой является пожар. Он может возникнуть по вине обслуживающего персонала, при отказе аппаратуры, а также в результате стихийного бедствия.
9. Организационные мероприятия по защите информации
Организационные мероприятия по защите информации в АС заключаются в разработке и реализации административных и организационно-технических мер при подготовке к эксплуатации системы.
По мнению зарубежных специалистов, организационные меры, невзирая на постоянное совершенствование технических мер, составляют значительную часть. Они применяются, когда вычислительная система не может непосредственно контролировать использование информации. Кроме того, в некоторых особых случаях в целях повышения эффективности защиты полезно технические меры продублировать организационными.
Организационные меры по защите систем в процессе их функционирования и подготовки к нему охватывают решения и процедуры, принимаемые руководством организации-потребителя системы. Несмотря на то, то некоторые из них могут определяться внешними факторами, например законами или правительственными постановлениями, львиная доля проблем решается внутри организации в конкретных условиях.
Основное внимание предлагается уделять либо правовому аспекту и связанным с ним социальным и законодательным проблемам, либо техническим приемам решения специфических проблем защиты. По сравнению с ними организационным вопросам недоставало той четкой постановки, которая присуща техническим проблемам, и той эмоциональной окраски, которая свойственна правовым вопросам.
Организационные мероприятия часто не учитывают этапы: проектирования, разработки, изготовления и эксплуатации системы, а организационные меры иногда перепутаны с принципами построения.
Составной частью любого плана мероприятий должны быть четкое указание целей, распределение ответственности и перечень организационных мер защиты. Конкретное распределение ответственности и функций по реализации защиты от организации к организации может изменяться, но тщательное планирование и точное распределение ответственности являются необходимыми условиями создания эффективной и жизнеспособной системы защиты.
Организационные меры по защите информации в АС должны охватывать этапы проектирования, разработки, изготовления, испытаний, подготовки к эксплуатации и эксплуатации системы.
В соответствии с требованиями технического задания в организации-проектировщике наряду с техническими средствами разрабатываются и внедряются организационные мероприятия по защите информации на этапе создания системы. Под этапом создания понимаются проектирование, разработка, изготовление и испытание системы. При этом следует отличать мероприятия по защите информации, проводимые организацией-проектировщиком, разработчиком и изготовителем в процессе создания системы и рассчитанные на защиту от утечки информации в данной организации, и мероприятия, закладываемые в проект и разрабатываемую документацию на систему, которые касаются принципов организации защиты в самой системе и из которых вытекают организационные мероприятия, рекомендуемые в эксплуатационной документации организацией-разработчиком, на период ввода и эксплуатации системы. Выполнение этих рекомендаций есть определенная гарантия защиты информации в АС.
К организационным мероприятиям по защите информации в процессе создания системы относятся:
– введение на необходимых участках проведения работ режима секретности;
– разработка должностных инструкций по обеспечению режима секретности в соответствии с действующими инструкциями и положениями;
– при необходимости выделение отдельных помещений с охранной сигнализацией и пропускной системой;
– разграничение задач, касающихся исполнителей и выпуска документации;
– присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учетом и контролем доступа исполнителей;
– постоянный контроль соблюдения исполнителями режима и соответствующих инструкций;
– установление и распределение ответственных лиц за утечку информации;
– другие меры, устанавливаемые главным конструктором при создании конкретной системы.
Организационные мероприятия, вносимые в инструкцию по эксплуатации на систему и рекомендуемые потребителю, должны быть предусмотрены на периоды подготовки, эксплуатации и завершения эксплуатации системы. Указанные мероприятия как метод защиты информации предполагают систему организационных мер, дополняющих и объединяющих перечисленные выше технические меры в единую систему безопасности информации. Поскольку организационные меры являются неотъемлемой частью системы защиты информации в автоматизированной системе, дальнейшее их описание приведено ниже в соответствующих разделах.