3. Організація захисту інформації в лом
Безпека інформації (даних) – це стан даних, який визначається відсутністю недопустимого ризику, що пов’язаний з витоками інформації технічними каналами, несанкціонованими та непередбаченими впливами на дані та інші інформаційні ресурси АІС, що використовуються в автоматизованих системах.
Безпека АІС – стан захищеності АІС, коли забезпечуються конфіденційність, цілісність, доступність, підзвітність та справжність її ресурсів
3.1. Загроза інформаційній безпеці
сукупність умов і факторів, що створюють небезпеку життєво важливим інтересам особистості, суспільства і держави в інформаційній сфері. Основні загрози інформаційній безпеці можна розділити на три групи:
загрози впливу неякісної інформації (недостовірної, фальшивої, дезінформації) на особистість, суспільство, державу;
загрози несанкціонованого і неправомірного впливу сторонніх осіб на інформацію і інформаційні ресурси (на виробництво інформації, інформаційні ресурси, на системи їхнього формування і використання);
загрози інформаційним правам і свободам особистості (праву на виробництво, розповсюдження, пошук, одержання, передавання і використання інформації; праву на інтелектуальну власність на інформацію і речову власність на документовану інформацію; праву на особисту таємницю; праву на захист честі і достоїнства і т. ін.).
3.2. Загрози безпеці інформації
внаслідок дій зловмисників; спостереження за джерелами інформації;
підслухування конфіденційних розмов людей і сигналів акустичних працюючих механізмів;
перехоплення електричних, магнітних і електромагнітних полів, сигналів електричних і випромінювання радіоактивного;
несанкціонованого розповсюдження матеріально-речовинних носіїв за межі контрольованої зони;
розголошення інформації людьми, що володіють інформацією секретною або конфіденційною;
втрати носіїв з інформацією (документів, носіїв машинних, зразків матеріалів і т. ін.);
несанкціонованого розповсюдження інформації через поля і електричні сигнали, що випадково виникають в електричних і радіоелектронних приладах в результаті їхнього старіння, неякісного конструювання (виготовлення) та порушень правил експлуатації; * впливу стихійних сил, насамперед, вогню під час пожежі і води в ході гасіння пожежі та витоку води в аварійних трубах водопостачання;
збоїв в роботі апаратури збирання, оброблення, зберігання і передавання інформації, викликаних її несправністю, а також ненавмисних помилок користувачів або обслуговуючого персоналу;
впливу потужних електромагнітних і електричних промислових і природних завад.
На рис. 5. приведена класифікація видів інформаційних загроз.
Навмисні загрози спрямовані на спеціальне свідоме нанесення збитків користувачам АІС.
Пасивні загрози спрямовані на несанкціоноване використання інформаційних ресурсів, не впливаючи при цьому на їх функціонування.
Активні загрози мають на меті руйнування нормального процесу функціонування АІС шляхом цілеспрямованого впливу на апаратні, програмні та інформаційні ресурси.
Внутрішні загрози – це загрози безпеці інформації виконавцем, яких є внутрішнім по відношенню до ресурсів організації.
Зовнішні загрози – це загрози безпеці інформації, ініціатором яких є зовнішній по відношенню до ресурсів організації суб’єкт (хакер, злочинець, ворог).
Рис. 5. Класифікація видів інформаційних загроз.
Захист інформації – сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи АС та осіб, які користуються інформацією.
(Закон України „Про захист інформації в автоматизованих системах”)
Захист інформації – це сукупність правових, організаційних та технічних заходів, спрямованих на запобігання погроз інформаційної безпеки та ліквідацію їх наслідків.
Захист інформації – сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації
Захист інформації – сукупність методів і засобів, що забезпечують
цілісність (уникнення несанкціонованої модифікації інформації),
конфіденційність (стан інформації, при якому доступ до неї здійснюють тільки суб'єкти, що мають на неї право),
доступність (уникнення тимчасового або постійного заховання інформації від користувачів, що отримали права доступу) інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
Напрямки створення засобів захисту інформації:
Визначення інформаційних та технічних ресурсів, які підлягають захисту;
Виявлення повної множини потенційно можливих загроз та каналів витоку інформації;
Проведення оцінки вразливості та ризиків інформації за наявності множини загроз та каналів витоку;
Визначення вимог до системи захисту;
Здійснення вибору засобів захисту інформації та обґрунтування їх характеристик;
Впровадження та організація використання обраних заходів захисту інформації;
Здійснення контролю цілісності та управління системою захисту.
Організаційний захист – це регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, що виключає або суттєво утруднює неправомірне оволодіння конфіденційною інформацією та прояву внутрішніх та зовнішніх загроз.
До основних організаційних заходів можна віднести:
1. Організацію режиму та охорони, що виключає можливість таємного проникнення на територію і в приміщення сторонніх осіб.
2. Організацію роботи із посадовими особами: підбір та розставлення персоналу, їх вивчення, навчання правилам роботи з конфіденційною інформацією, ознайомлення з мірою відповідальності за порушення правил захисту інформації.
3. Організацію роботи з документами та документованою інформацією, їх розробку, використання, облік, збереження та знищення.
4. Організацію використання технічних засобів збору, обробки, накопичення та збереження конфіденційної інформації.
5. Організацію роботи з аналізу внутрішніх та зовнішніх загроз конфіденційній інформації та відпрацювання заходів з її захисту.
6. Організацію роботи з проведення систематичного контролю за роботою особового складу з конфіденційною інформацією, порядком обліку, збереження та знищення документів та технічних носіїв.
Категорування ПК
Здійснюється спецпідрозділами до початку експлуатації ПК в обовязковому порядку за замовленнями. Без цього експлуатація ПК заборонена.
Резервування
1. Джерел електроживлення
2. Головних елементів ЛОМ (серверов, каналів передачі даних та ін.)
3. Створення дисків-дублерів для копіювання робочої інформації в мережі.
4. Архівірування файлів та збереження їх на автономних носіях (створенні архівних бібліотек)
Захист від радіотехнічної розвідки
1. Екранування приміщень, елементів мережі та ПК
2. Встановлення апаратури постановки активних перешкод
3. Захист каналів передачі даних
4. Встановлення електророзв'язок на енергомережах, каналах передачі даних.
5. Встановлення спеціального порядку роботи ПК в особливих умовах (активізація дій противника).
Режимні заходи
1. Обмеження на вмикання енергопостачання в неробочий час.
2. Встановлення системи паролів на включення ПК.
3. Встановлення сигнально-контролюючої апаратурыи для груп адміністрування.
Розмежування доступу на ПК
1. Організація ідентифікації та аутентифікації користувачів.
2. Встановлення системи паролів для колектиної роботи на ПК та розмежування доступу до нього.
3. Захист основних параметрів ОС, прикладних програм та кінцевих пристроїв від навмисної модифікації.
4. Безумовне копіювання робочої інформації на автономних носіях.
5. Захист файлів при архівації.
Розмежування доступу до ресурсів ЛОМ
1. Вибір топології мережі відповідно до виконуваних завдань та вимог максимальної безпеки ресурсів.
2. Кваліфіковане адміністрування мережі та захист системи протоколів.
3. Встановлення системи ідентифікації та аутентифікації користувачів з встановленням контролю за використанням виділених ресурсів.
4. Встановлення обмежень на зовнішній вихід з ЛОМ та вхід до неї.
Кодування інформації
1. Використання криптостійких програм кодування.
2. Своєчасна зміна ключів кодування та організація їх збереження.
3. Виключення повторного використання ключів та передачі їх стороннім особам.
Старший викладач кафедри, ктн, доцент
працівник ЗСУ В.М. Чегренець