Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Основы информационной безопасности-nov3.doc
Скачиваний:
0
Добавлен:
01.03.2025
Размер:
1.69 Mб
Скачать

3.4.3. Организационные меры

Организационные меры включают в себя, следующие действия (некоторые из них иногда называются режимными мерами):

- Организовывать режимные зоны в зависимости от решаемых задач и от потенциальных возможностей утечки информации по аудио, видео и радиоканалам.

- Вести постоянную работу с персоналом: тестирование, обучение методам и средствам защиты информации.

- Осуществлять кадровые проверки персонала.

- Осуществлять контроль посетителей.

- Осуществлять поиск закладных устройств в помещениях.

- Организовывать проверку и организацию проведения специальных исследований техники, которая используется для работы с наиболее ценной информацией.

- Корректировать политику безопасности в зависимости от решаемых в организации задач.

- Осуществлять управление правилами разграничения доступа, как в помещениях, так и в вычислительных средствах коллективного пользования.

- Формировать и вести таблицы имен, паролей, правил доступа, ролей, ключей криптографического преобразования данных.

- Отвечать за хранение и выдачу ключей от помещений и за соблюдение сотрудниками и гостями правил посещения режимных зон.

- Организовать защиту сведений в ходе естественного документооборота в организации.

- Осуществлять регулярные проверки состояния защищенности информации в организации, включающие проверку выполнения требований политики безопасности.

Реализация перечисленных организационных мер по защите информации требует соответствующих знаний, опыта и наиболее эффективна в рамках соответствующей службы предприятия. Как правило, подобная служба называется службой безопасности, подчиняется непосредственно руководителю предприятия, и именно ей вменяется в обязанность выполнение всего комплекса организационных мер.

Понятно, что часть организационных мер может быть закреплена и непосредственно за сотрудниками, не входящими в службу безопасности.

Выполнение организационных мероприятий по защите опирается на технические средства, нормативную базу, международные и отечественные стандарты.

3.4.4. Технические средства защиты информации

Вся совокупность технических средств, используемых для защиты информации, может быть классифицирована в зависимости от вида защищаемой информации:

1) Защита акустических каналов утечки информации.

При падении звуковых волн на перегородку больших размеров, в сравнении с длиной волны, интенсивность звука за перегородкой будет в основном определяться звукопроводностью перегородки. Поэтому защита информации от утечки по акустическим каналам осуществляется за счет применения звукоизоляционных материалов к ограждающим конструкциям.

Iпр = Iпад – Qпер.

Здесь

Iпад - интенсивность падающих на перегородку звуковых волн;

Iпр - интенсивность звуковых волн после перегородки;

Qпер - коэффициент звукоизоляции перегородки.

Для примера в таблице №1 приведены некоторые коэффициенты звукоизоляции для различных перегородок.

Материал

Qпер (дБ)

Доска сплошная сосновая

12

Доска сплошная дубовая

27

Фанера многослойна

19

Плиты из прессованной пробки

20

Железо листовое

33

Стекло зеркальное

30

Стена из кирпича – 0.5 кирпича

48

Стена из кирпича – 1 кирпич

53

Стена из кирпича – 2 кирпича

58

Одинарное остекление

22

Двойное остекление

38

Коэффициент звукоизоляции перегородки рассчитывается исходя из поверхностной плотности материала перегородки с учетом воздушной прослойки, если таковая имеет место. В приведенной таблицы коэффициент звукоизоляции перегородки соответствует средним величинам.

Таким образом, если речь идет о прослушивании спокойного разговора нескольких человек в небольшой комнате, интенсивность которого обычно составляет 45-50 дБ (f=1000Гц), то за стеной из двойного кирпича услышать в принципе ничего невозможно.

Более подробный анализ методов защиты акустических каналов можно найти в работе С.В. Волобуева «Философия безопасности социотехнических систем»18.

2) Защита видеоинформации.

Необходимо помнить, что современные увеличительные приборы позволяют считывать текст с экрана монитора более чем с 50 метров. В этой связи, необходимо:

- не располагать мониторы компьютеров «лицом» к окнам;

- использовать соответствующие занавески на окнах.

3) Защита информации от утечки по радиоканалам.

Основные направления:

- проведение специальных исследований на предмет определения рабочей зоны электромагнитных излучений технических средств, с последующим размещением этих средств в пределах собственной контролируемой территории таким образом, чтобы зона излучений не выходила за пределы контролируемой территории;

- создание экранированных помещений;

- установка в помещениях генераторов шумов.

4) Защита информации от утечки по электрическим цепям.

Основные направления:

- установка в электрические цепи соответствующих фильтров;

- использование собственной подстанции или отдельного трансформатора.

5) Защита информации, хранящейся и обрабатываемой на средствах вычислительной техники.

Основные направления:

- идентификация пользователей и проверка подлинности;

- установка антивирусных средств;

- резервирование информации с требуемой частотой;

- дублирование наиболее значимых сервисов;

- контроль целостности;

- управление доступом;

- шифрование при необходимости, если это вытекает из требований политики безопасности;

- протоколирование и аудит действий операторов и процессов;

- установка межсетевых экранов для защиты корпоративной сети организации, имеющей выход в Internet. Межсетевые экраны осуществляют контроль информационных потоков на основе набора правил, являющихся выражением политики безопасности организации, в частности, политики безопасности сети.