Современные информационные технологии /4. Информационная безопасность
Одеська національна академія
зв’язку ім. О.С. Попова, Україна
Розробка
комплексної системи захисту інформації на об’єкті інформаційної діяльності
Система
захисту інформації має безпосередній вплив на діяльність підприємств зв’язку й
об’єктів інформаційної діяльності та дозволяє підвищити доходи за рахунок
зменшення ризиків. Головна проблема забезпечення захисту інформації полягає в
тому, що існує безліч каналів витоку та каналів для несанкціонованого доступу,
тому задача забезпечення інформаційної безпеки потребує комплексного підходу. Отже,
проблема створення комплексної системи захисту інформації на об’єкті
інформаційної діяльності та живучості мереж в умовах розвитку та впровадження
нових інформаційних технологій є актуальною та своєчасною темою дослідження.
Метою даної роботи є розробка комплексної системи
захисту інформації на об’єкті інформаційної діяльності.
Для
планування та розробки комплексної системи захисту інформації на об’єкті
інформаційної діяльності необхідно побудувати
моделі загроз, детально розглянути існуючі канали витоку та
несанкціонованого доступу, розробити систему захисту, яка буде забезпечувати
блокування технічних каналів витоку. Головними
технічними каналами витоку є акустичний, віброакустичний, канал
електромагнітного випромінювання направленого і наведенням, канал
несанкціонованого доступу до інформації.
Основна задача системи захисту полягає у
попередженні та блокуванні максимальної кількості каналів витоку, які існують
для інформації, що підлягає захисту. Існує доволі багато каналів витоку інформації, але не всі канали слід
захищати. Ніколи
не слід забувати просте правило: під ефективним захистом розуміється блокування
всіх реально існуючих на об’єкті джерел витоку інформації, про наявність яких
можна дізнатися лише шляхом аналізу об’єкту, чи то зробивши висновки на
підставі вимірювань, проведених за допомогою спеціальної
контрольно-вимірювальної апаратури.
Спільність завдань із захисту інформації
для різних об’єктів інформаційної
діяльності дозволяє виокремити ряд типових кроків, які слід зробити в
першу чергу:
-
організувати
захист приміщень, в яких циркулює мовна інформація з обмеженим доступом (ІзОД)
(де проводяться конфіденційні переговори, службових кабінетів керівників, їхніх
заступників та інших відповідальних співробітників);
-
заблокувати
можливість витоку інформації, яка циркулює на абонентській дільниці телефонної
лінії й на всьому її протязі;
-
забезпечувати
службу безпеки пошуковими технічними засобами (створення оптимального
пошукового комплекту відповідно до завдань, які постають перед організацією, та
її фінансових можливостей);
-
забезпечувати
контроль стосовно перебування сторонніх осіб на ОІД, де циркулює інформація з
обмеженим доступом.
Комплексна
система інформаційної безпеки на об’єкті інформаційної діяльності спрямована на
виявлення та блокування різноманітних каналів витоку мовної інформації. Для
захисту інформації використовують: технічні фізичні, організаційні та правові заходи.
До
технічних засобів належать апаратні,
програмні та криптографічні засоби захисту.
Серед апаратних засобів найбільш поширено
такі засоби, як:
- засоби електромагнітного та акустичного
зашумлення;
- кодовані замки для ввімкнення технічних
засобів у системи й мережі;
- пристрої вимірювання індивідуальних
характеристик людини з метою її ідентифікації;
- схеми переривання передавання інформації
у лінії зв’язку з метою періодичної перевірки адреси видавання даних;
- спеціальні регістри для зберігання реквізитів
захисту – паролей, ідентифікуючих кодів, рівнів секретності тощо.
Програмні засоби захисту мають властивості універсальності, гнучкості,
зручності реалізації, можливості модернізації. Недолік полягає у значних
витратах системних ресурсів: продуктивності та пам’яті. За функціональним
призначенням програмні засоби захисту поділяють на такі групи:
- ідентифікації апаратних засобів, задач,
користувачів та файлів;
- визначення прав об’єктів та суб’єктів
(доступні задачі, файли, часові обмеження тощо);
- контролю роботи апаратних засобів та
користувачів;
- аудиту, тобто реєстрації роботи
апаратних засобів та користувачів при обробці інформації;
- знищення інформації в пам’яті після
використання;
- сигналізації щодо несанкціонованих дій;
- контролю роботи механізмів захисту тощо.
Криптографічні методи захисту інформації
застосовуються при передаванні даних каналами зв’язку. Криптографічне закриття
інформації полягає у такому перетворенні захищуваних даних, за якого за їхнім
зовнішнім виглядом без застосування спеціальних засобів не можна визначити
зміст. Криптографічне закриття – це єдиний засіб захисту від викрадання
інформації, передаваної каналами зв’язку. Системи шифрування можуть бути
реалізовані апаратними, програмними засобами та їхньою комбінацією.
До
фізичних заходів відносять створення
пристроїв та споруд, а також проведення заходів, які утруднюють або
унеможливлюють проникнення потенційних порушників у місця, де можна мати доступ
до захищуваної інформації. Застосовують: фізичну ізоляцію споруд, де
встановлено апаратуру зв’язку та електронно-обчислюальної техніки (ЕОТ), від інших будівель;
огороджування й систематичний контроль території, де розташовано апаратуру
зв’язку та ЕОТ, на таку відстань, яка є достатня для виключення ефективної
реєстрації електромагнітних випромінювань; організацію контрольно-пропускних
пунктів на входах у приміщення зв’язку та ЕОТ або обладнання вхідних дверей
спеціальними замками, котрі дозволяють регулювати доступ у приміщення;
організацію системи охоронної сигналізації.
Організаційні
заходи – це сукупність
організаційно-технічних і організаційно-правових заходів, які регламентують
процес функціонування систем та мереж зв’язку й ЕОТ, а також забезпечують
заборону або утруднення несанкціонованого доступу (НСД) до інформації. Організаційні заходи здійснюються на
всіх етапах життєвого циклу систем: проектування, будівництва, експлуатації й
утилізації. Ці заходи включають: унеможливлення впливів стихійних лих;
унеможливлення таємного проникнення тощо; заходи стосовно підбору та підготовки
персоналу (у тому числі перевірка кадрів, прийманих на роботу, навчання правилам
роботи з конфіденційною інформацією, ознайомлення з відповідальністю за
порушення правил захисту, виключення плинності кадрів тощо); організацію
надійного пропускного режиму; організацію зберігання й використання документів
та носіїв; організацію підготовки та контролю роботи користувачів.
До правових заходів відносять діючі в державі закони, накази та положення, систему нормативно-розпорядчих
документів підприємства, які регламентують правила поводження з інформацією
обмеженого поширення та відповідальність за їхні порушення, запобігаючи у такий
засіб несанкціонованому використанню інформації.
Висновки. Комплексна система інформаційної безпеки може
бути забезпечена завдяки комплексу організаційних, технічних, економічних та
правових заходів, спрямованих на виявлення та блокування різноманітних каналів
витоку мовної інформації. Побудувати комплексну систему захисту інформації –
зробити пів справи. Для того, щоби ця система функціонувала, її необхідно
невпинно підтримувати в робочому стані. Слід регулярно перевіряти ефективність
роботи технічних засобів захисту інформації, здійснювати моніторинг радіо ефіру
на підприємстві й у периметровій зоні, а в приміщеннях вживати пошукових
заходів тощо.