Грибунин В.Г. Комплексная система защиты информации на предприятии

Подождите немного. Документ загружается.

знать, исследовать и учитывать при проектировании помещении,

где осуществляются работы с ними, при выборе и использовании

средств защиты информации, обучении персонала безопасным

методам работы.

5.2.

Методика выявления состава носителей

защищаемой информации

Совокупность объектов защиты информации может быть уста-

новлена исходя из анализа ряда определений, приведенных в Го-

сударственном стандарте Российской Федерации Р

51275

—

«За-

щита информации. Объект информатизации. Факторы, воздей-

ствующие на информацию. Общие положения» [14]:

Объект информатизации — совокупность информационных

ресурсов, средств и систем обработки информации, используе-

мых в соответствии с заданной информационной технологией,

средств обеспечения объекта информатизации, помещений или

объектов (зданий, сооружений, технических средств), в которых

они установлены, или помещения и объекты, предназначенные

для ведения конфиденциальных переговоров.

Информационные ресурсы — отдельные документы и отдель-

ные массивы документов, документы и массивы документов, со-

держащиеся в информационных системах (библиотеках, архивах,

фондах, банках данных, информационных системах других ви-

дов).

Информационная технология — приемы, способы и методы

применения технических и программных средств при выполне-

нии функций обработки информации.

Обработка информации — совокупность операций сбора, на-

копления, ввода, вывода, приема, передачи, записи, хранения,

регистрации, уничтожения, преобразования, отображения инфор-

мации.

Система обработки информации — совокупность техниче-

ских средств и программного обеспечения, а также методов обра-

ботки информации и действий персонала, обеспечивающая вы-

полнение автоматизированной обработки информации.

Средства обеспечения объекта информатизации — тех-

нические средства и системы, их коммуникации, не предназна-

ченные для обработки информации, но устанавливаемые вместе

со средствами обработки информации на объекте информатиза-

ции.

Система защиты информации — совокупность органов

и/или исполнителей, используемая ими техника защиты инфор-

мации, а также объекты защиты, организованные и функциони-

100

рующие по правилам, установленным соответствующими право-

выми, организационно-распорядительными и нормативными до-

кументами по защите информации.

Таким образом, к источникам защищаемой информации (объек-

там защиты) относятся (рис. 5.1):

•

персонал предприятия, а также подчиненных или взаимодей-

ствующих предприятий (организаций), допущенный к информа-

ции с ограниченным доступом в установленном порядке или мо-

гущий ознакомиться с такой информацией, в том числе непред-

намеренно (специфика персонала предприятия как объекта за-

щиты рассмотрена в гл.

13);

•

материальные средства, содержащие информацию ограничен-

ного доступа (оборудование, материалы, здания, сооружения, хра-

нилища, транспорт и т.д.);

•

информационные ресурсы с ограниченным доступом (инфор-

мация на бумажной, магнитной, оптической основе, информаци-

онные массивы и базы данных, программное обеспечение, ин-

формативные физические поля различного характера);

• средства и системы информатизации (автоматизированные

системы и вычислительные сети различного уровня и назначе-

ния, линии, технические средства передачи информации, вспо-

могательные средства и системы);

•

технические средства и системы охраны и защиты материаль-

ных и информационных ресурсов.

5.3.

Особенности взаимоотношений

с контрагентами как объект защиты

информации ограниченного доступа

Особенности рыночных отношений в стране в настоящее время

характеризуются жесткой конкуренцией, в том числе недоб-

росовестной, незащищенностью предпринимателей и собствен-

ников, связанной с имеющимися недостатками в законодатель-

стве.

В соответствии со ст. 128 Гражданского кодекса Российской

Федерации* (ГК РФ) информация является объектом граждан-

ско-правовых отношений, входит в состав имущественного комп-

лекса предприятия (ст. 132) и защищается собственником спосо-

бами, предусмотренными ГК РФ и законодательством (ст. 139).

Таким образом, если речь идет не о государственной, а о коммер-

ческой тайне, то основным органом ее защиты является собствен-

ник.

•

Собрание законодательства РФ от

05.12.1994

г. № 32. —

Ст.3301.

101

Вместе с тем предпринимательство как процесс очень часто

требует использования информации, в том числе ограниченного

доступа, во взаимоотношениях с контрагентами. Конечно же основ-

ным способом защиты передаваемой контрагентам информации

является нормативно-правовое закрепление обязанностей контр-

агента по ее защите.

Такое закрепление предусмотрено Федеральным законом от

29 июля

2004

г. №. 98-ФЗ «О коммерческой тайне» [46]:

«1. Отношения между обладателем информации, составляю-

щей коммерческую тайну, и его контрагентом в части, касающей-

ся охраны конфиденциальности информации, регулируются за-

коном и договором.

2. В договоре должны быть определены условия охраны кон-

фиденциальности информации, в том числе в случае реорганиза-

ции или ликвидации одной из сторон договора в соответствии с

гражданским законодательством, а также обязанность контраген-

та по возмещению убытков при разглашении им этой информа-

ции вопреки договору.

3. В случае, если иное не установлено договором между обла-

дателем информации, составляющей коммерческую тайну, и контр-

агентом, контрагент в соответствии с законодательством Россий-

ской Федерации самостоятельно определяет способы защиты ин-

формации, составляющей коммерческую тайну, переданной ему

по договору.

4. Контрагент обязан незамедлительно сообщить обладателю

информации, составляющей коммерческую тайну, о допущенном

контрагентом либо ставшем ему известном факте разглашения или

угрозы разглашения, незаконном получении или незаконном ис-

пользовании информации, составляющей коммерческую тайну,

третьими лицами.

5. Обладатель информации, составляющей коммерческую тай-

ну, переданной им контрагенту, до окончания срока действия

договора не может разглашать информацию, составляющую ком-

мерческую тайну, а также в одностороннем порядке прекращать

охрану ее конфиденциальности, если иное не установлено дого-

вором.

6. Сторона, не обеспечившая в соответствии с условиями до-

говора охраны конфиденциальности информации, переданной

по договору, обязана возместить другой стороне убытки, если

иное не предусмотрено договором». (Статья 12. Охрана конфи-

денциальности информации в рамках гражданско-правовых от-

ношений).

Анализ приведенной правовой нормы показывает наличие в

ней слабых мест, касающихся добросовестного выполнения контр-

агентом обязательств, предусмотренных частями 2, 3 и особенно

4 и 6 ст. 12 Закона.

102

Очевидно, что контрагент не заинтересован в том, чтобы в

договоре (контракте) присутствовали обязательства, вытекающие

из содержания части 2 ст. 12, а при их отсутствии в договоре —

самостоятельно принимаемые меры защиты (в соответствии с

частью 3) будут минимальными и, возможно, малоэффектив-

ными.

Выполнение обязанностей по информированию собственника

при разглашении информации контрагентом, предусмотренных

частью 4 ст. 12, маловероятно, так как влечет необходимость воз-

мещения убытков в соответствии с частью 6 ст. 12.

Эта особенность требует от собственника информации приня-

тия ряда мер, направленных на защиту своих интересов.

До заключения контракта {договора):

• изучать контрагента с точки зрения его добросовестности; в

этих целях могут быть использованы возможности органов госу-

дарственной власти, ведущих учет недобросовестных пред-

принимателей (органов внутренних дел, налоговых органов, ар-

битражных судов и т.п.), общественных предпринимательских

объединений, обществ защиты прав потребителей, аудиторских

фирм;

• использовать возможности службы безопасности предприя-

тия для изучения контрагента и его руководителей в рамках Зако-

на РФ от

марта 1992 г. №

2487-1

«О частной детективной и

охранной деятельности в Российской Федерации»;

• разрабатывать типовые контракты (договора), обеспечиваю-

щие защиту интересов предприятия в информационной сфере,

использовать в этих целях специалистов службы безопасности, а

также опыт других предприятий.

При заключении контракта {договора):

•

отстаивать при проведении переговоров о подписании контр-

актов необходимость включения в них положений типовых контр-

актов, обеспечивающих защиту интересов предприятия в инфор-

мационной сфере;

• привлекать специалистов службы безопасности предприятия

к проведению переговоров;

• использовать специализированные фирмы для оценки про-

ектов контрактов с учетом достаточности изложенных в них мер

защиты информации предприятия.

После заключения контракта:

•

документировать факты передачи информации ограниченно-

го доступа контрагенту;

• контролировать наличие на носителях передаваемой инфор-

мации установленных законодательством атрибутов;

• осуществлять мониторинг рынка с целью выявления товаров

и услуг, произведенных с использованием незаконно полученной

информации предприятия.

103

5.4.

Факторы, определяющие необходимость

защиты периметра и здания предприятия

Главной целью системы безопасности предприятия, в том чис-

ле в информационной области, является обеспечение устойчиво-

го функционирования предприятия и предотвращение угроз его

безопасности, защита законных интересов от противоправных

посягательств, охрана жизни и здоровья персонала, недопущение

хищения финансовых и материально-технических средств, унич-

тожения имущества и ценностей, разглашения, утраты, утечки,

искажения и уничтожения информации, нарушения работы тех-

нических средств, включая и средства информатизации.

На выполнение этой задачи влияют следующие основные фак-

торы :

1. Злоумышленник* не ограничен в выборе объекта несанкцио-

нированного доступа (воздействия). Разнообразие средств несанк-

ционированного получения информации дает возможность исполь-

зовать в этих целях выходящие за территорию предприятия ли-

нии связи, коммуникации (водопровод, канализация и т.п.), сис-

темы электропитания и заземления, установку в здании и непос-

редственной близости от него различных устройств съема инфор-

мации. Эффективное противодействие возможностям злоумыш-

ленника, определяемым этим фактором, требует создания непре-

рывной (по всему периметру), эшелонированной (в несколько ру-

бежей), комплексной (построенной на различных физических

принципах) системы выявления, предотвращения, отражения и

локализации угроз.

2. Злоумышленник не ограничен в выборе момента и продол-

жительности несанкционированного доступа (воздействия). Эф-

фективное противодействие возможностям злоумышленника, опре-

деляемым этим фактором, требует создания системы вьывления

угроз, которая функционировала бы непрерывно во времени, и

системы предотвращения, отражения и локализации угроз, спо-

собной к реакции в промежуток времени, достаточный для пред-

отвращения ущерба.

3. Злоумышленник не ограничен в выборе средств, способов и

методов несанкционированных действий. Эффективное противо-

действие возможностям злоумышленника, определяемым этим

фактором, требует создания системы выявления, предотвращения,

отражения и локализации угроз, которая при необходимости мог-

ла бы использовать все законные средства, способы и методы.

* В настоящей главе лица, имеющие целью получить противоправный доступ

к информационным ресурсам или материальным объектам, содержащим инфор-

мацию ограниченного доступа, именуются «злоумышленник», «нарушитель».

104

Построение перечисленных систем должно осуществляться на

основе реальной оценки возможных угроз и с учетом критерия

«эффективность—стоимость».

Очевидно, что перечисленные факторы имеют выраженную

пространственно-временную составляющую, т.е. требуют реали-

зации мер защиты непрерывно во времени и пространстве, а так-

же на достаточном удалении от объектов защиты, чем и определя-

ют необходимость защиты периметра и здания предприятия.

Выводы:

1. Защита периметра и здания предприятия заключается в по-

строении системы охраны, которая должна обеспечивать:

•

своевременное обнаружение несанкционированных действий;

•

предупреждение несанкционированного доступа на охраняе-

мый объект;

• задержку проникновения нарушителя (нарушителей) на

объект;

• пресечение несанкционированных действий (ответные дей-

ствия).

2. Система защиты должна выполнить следующие задачи:

• как можно раньше обнаружить факт несанкционированных

действий;

•

транслировать сообщения о них на пункт управления охраной;

•

провести верификацию (подтверждение истинности) тревож-

ной ситуации;

•

выдать команду на принятие мер по предотвращению ущерба;

•

зарегистрировать факт возникновения любой аномальной («не-

штатной») ситуации, а также все действия оператора и персонала

охраны для последующего анализа;

• нейтрализовать нарушителя.

5.5.

Особенности помещений как объектов

защиты для работы по защите информации

Помещения (здания) для работы с защищаемой информацией

являются одним из рубежей, препятствующих несанкционирован-

ному доступу к объектам защиты. Они должны удовлетворять сле-

дующим требованиям:

•

обеспечивать защиту от проникновения злоумышленника (фи-

зическую защиту) на время, необходимое для выявления и пресе-

чения нарушения;

•

исключать просмотр и прослушивание;

•

обеспечивать сохранность носителей защищаемой информации

от хищений с использованием квалифицированных методов взлома;

•

обеспечивать безопасность персонала объектов и посетителей

от вооруженных нападений;

105

• соответствовать строительным нормам и правилам, санитар-

но-гигиеническим нормам, требованиям противопожарной без-

опасности;

• при проведении работ с информацией обеспечивать ее защи-

ту от утечки по техническим каналам;

• иметь условия для разграничения доступа к проводимым ра-

ботам.

По категориям доступа помещения предприятия могут быть

разделены на три зоны по доступности:

• первая зона — помещения, доступ в которые для сотрудни-

ков и посетителей не ограничен (например, бюро пропусков, ком-

наты посетителей, информационно-справочный зал предприятия

и т.п.);

• вторая зона — помещения, доступ в которые разрешен огра-

ниченному кругу сотрудников (например, рабочие кабинеты со-

трудников, библиотеки технической документации, производствен-

ные и складские помещения);

• третья зона — помещения, доступ в которые имеют лишь

строго определенные должностные лица объекта (например, залы

вычислительных центров, хранилища технической документации,

помещения для хранения комплектующих и готовой продукции,

содержащей защищаемую информацию, помещения подразделе-

ний охраны и безопасности и т.п.).

Конкретные требования к помещениям для работы с защища-

емой информацией, составляющей государственную тайну, рег-

ламентированы соответствующими нормативно-правовыми акта-

ми, которые в настоящем учебнике не рассматриваются.

Требования к помещениям, предназначенным для работы с

информацией ограниченного доступа, не отнесенной к государ-

ственной тайне, устанавливаются ее собственником с учетом цен-

ности на основе следующих нормативных и методических доку-

ментов:

• ГОСТ Р

51242

—

98 «Конструкции защитные механические и

электромеханические для дверных и оконных проемов. Техниче-

ские требования и методы испытаний на устойчивость к разруша-

ющим воздействиям»;

• ГОСТ Р 51136

—

98 «Стекла защитные многослойные. Общие

технические условия»;

• РД

78.148

—94/МВД

России «Защитное остекление. Класси-

фикация. Методы испытаний. Применение»;

•

ГОСТ Р

51072

—

97 «Двери защитные. Общие технические тре-

бования и методы испытаний на устойчивость к взлому и пуле-

стойкость»;

• ГОСТ

26892

—

86 «Двери деревянные. Метод испытания на

сопротивление ударной нагрузке, действующей в направлении

открывания двери»;

106

• ГОСТ

5089

—

97 «Замки

защелки

для

дверей. Технические

условия».

Перечисленными нормативными документами установлены

требования, обеспечивающие стойкость

взлому стен, перекры-

тий, дверей, оконных проемов

и т.п.

Вместе

с тем

злоумышлен-

ник, обладая достаточным временем

соответствующими техни-

ческими средствами, имеет возможность преодолеть

их

защитные

свойства.

связи

этим надежная охрана помещений (зданий),

которых осуществляется хранение носителей информации огра-

ниченного доступа, является непременным условием обеспече-

ния

их

сохранности. Надежность

эффективность охраны требу-

ет использования технических средств, применение которых,

также требования

к ним

регламентированы радом нормативных

документов, примером которых могут служить:

•

РД

78.147

—

/ МВД

России «Единые требования

по

укреп-

лению

оборудованию сигнализации охраняемых объектов»;

•

РД

78.143

—

/ МВД

России «Системы

комплексы охран-

ной сигнализации. Нормы проектирования»;

•

РД

78.145

—

/ МВД

России «Системы

комплексы охран-

ной, пожарной

охранно-пожарной сигнализации. Правила про-

изводства

приемки работ»;

• ГОСТ

51241

—98

«Средства

системы контроля

управле-

ния доступом. Классификация. Общие технические требования

методы испытаний»;

• Стандарт Европейского комитета

по

стандартизации

облас-

ти электроники

CENELEC

1996 г. EN 50133-1

«Устройства охран-

ной сигнализации. Контрольно-пропускные устройства. Часть

требования

системе».

В настоящее время широкое применение нашли интегриро-

ванные системы аппаратных

программных средств, предназна-

ченных

для

управления

контроля доступа, объединенных

с си-

стемами охранно-пожарной, тревожной сигнализации

инженер-

но-технических средств охраны. Интегрированные системы обес-

печивают разграничение доступа

помещения

зависимости

от

степени

их

режимности

установленного

в них

пропускного

ре-

жима, регистрируют

(в

пределах заданного временного промежутка)

санкционированные посещения помещений, регистрируют

и из-

вещают охрану

службу безопасности

попытках

фактах

не-

санкционированного проникновения

помещения

режимные

зоны, могут обеспечивать противодействие несанкционированным

проникновениям.

такие системы включаются автоматические

средства связи (оповещатели),

в том

числе обеспечивающие взаи-

модействие

правоохранительными органами.

Основные принципы оборудования сигнализацией.

На

объектах

системами охранной сигнализации оборудуются

все

помещения

постоянным

или

временным хранением носителей информации

107

ограниченного доступа, а также все смежные с ними другие поме-

щения, комнаты и все уязвимые места (окна, двери, люки, венти-

ляционные шахты и короба), расположенные на первом и послед-

нем этажах по периметру здания объекта.

Охраняемые зоны должны быть размещены таким образом,

чтобы при подходе к местам размещения носителей информации

ограниченного доступа с любой стороны было зафиксировано

нарушение не менее чем одного рубежа охраны.

Рубеж охраны — совокупность технических средств охранной

сигнализации, контролирующих определенную зону помещения

(периметр, объем, сами носители информации ограниченного

доступа или подходы к ним) на пути движения нарушителя к но-

сителям информации ограниченного доступа, при преодолении

которой выдается соответствующее извещение в подразделение

охраны.

Тревожные извещения с каждого рубежа охраны должны вы-

водиться на отдельный номер или на несколько номеров (при

разбивке рубежа на несколько подзон, например фасад, тыльная

сторона здания и т.п.) пульта централизованного наблюдения

(ПЦН) пункта централизованной охраны (ПЦО) или пульта внут-

ренней охраны объекта.

В рубежах охраны необходимо применять технические сред-

ства охранной сигнализации, основанные на различных физиче-

ских принципах действия, например:

• инфракрасное излучение тела нарушителя;

• свойство человеческого тела отражать радио- и ультразвуко-

вые волны;

• электрическая емкость тела нарушителя;

•

масса тела нарушителя;

• непосредственное воздействие на предметы путем открыва-

ния дверей, окон, разбития стекла, поднятия, передвижения пред-

метов и

т.п.

Пульты внутренней охраны объекта следует располагать в по-

мещениях охраны или специально приспособленных для этих

целей помещениях. В зависимости от структуры охраны объекта в

качестве пультов внутренней охраны могут использоваться как

приемно-контрольные приборы (концентраторы), так и системы

передачи извещений.

Крупные объекты, имеющие круглосуточные посты охраны,

рекомендуется оборудовать телевизионными системами видеокон-

троля, а также системами контроля доступа. Целесообразно объ-

единение их совместно с другими системами сигнализации и ох-

раны в автоматизированный охранный комплекс.

Для определения наиболее оптимального варианта защиты от

проникновения в помещения объекта охранная сигнализация раз-

бивается на четыре группы (классы) защиты, в зависимости от

108

категории хранящихся в помещениях носителей информации огра-

ниченного

доступа.

Первая группа защиты от проникновения — недостаточная

(организация в помещении неполного, первого рубежа охраны),

четвертая группа защиты — очень высокая (организация трехру-

бежной охраны помещения). Группа защиты должна соответство-

вать стоимости и значимости для потенциальных нарушителей

носителей информации ограниченного доступа, которые находятся

в помещениях объекта. Кроме этого, необходимо учитывать и

месторасположение объекта таким образом, чтобы более высокие

требования предъявлялись к местам, где злоумышленник может

действовать в относительной безопасности.

Первым рубежом охраны защищаются:

• строительные конструкции по периметру зданий или поме-

щений объекта, т.е. все оконные и дверные проемы;

• места ввода коммуникаций, вентиляционные каналы;

• выходы к пожарным лестницам;

• некапитальные и капитальные (если необходима их защита)

стены.

Строительные конструкции здания (помещений) объекта бло-

кируются. К ним относятся:

• дверные проемы, погрузочно-разгрузочные люки — на «от-

крывание» и «пролом» (только для деревянных);

• остекленные конструкции — на «открывание» и «разруше-

ние» стекла;

•

места ввода коммуникаций, некапитальные и капитальные —

на «пролом»;

• вентиляционные короба, дымоходы — на «разрушение» и

«ударное воздействие».

Допускается вместо блокировки остекленных конструкций на

«открывание» и «разрушение», внутренних некапитальных стен

на «пролом», дверей на «открывание» и «пролом» производить

блокировку указанных конструкций только на «проникновение»

с помощью объемных и линейных извещателей (типа

«Фотон-бА»,

«Фотон-5», «Вектор-3» и им подобных).

Примечание. Все технические средства ОПС, приведенные здесь и

далее по тексту в качестве примеров, могут заменяться их аналогами,

включенными в «Перечни технических средств пожарной, охранной и

охранно-пожарной сигнализации, рекомендуемых и разрешенных к при-

менению на объектах различной формы собственности на территории

России».

Блокировку строительных конструкций на «открывание» (две-

ри, остекленные конструкции) рекомендуется производить про-

стейшими магнитоконтактными извещателями (типа

СМК),

блокировку ворот, погрузочно-разгрузочных люков, дверей хра-

109