- •Курсовая работа
- •Глава 1 Основы совершенствования инженерно-технической защиты информации органа исполнительной власти на уровне района 6
- •Глава 2. Обнаружение угроз информационной безопасности 23
- •Глава 3 Меры по совершенствованию инженерно-технической защиты 33
- •Введение
- •Перечень условных сокращений
- •Глава 1 Основы совершенствования инженерно-технической защиты информации органа исполнительной власти на уровне района
- •Описание объекта исследования
- •Организация инженерно-технической защиты объекта
- •1.3 Возможные каналы утечки и несанкционированного воздействия на защищаемую информацию
- •1.4 Организационно-технические и инженерные мероприятия
- •Глава 2. Обнаружение угроз информационной безопасности
- •2.1 Виды информации, циркулирующие в органе исполнительной власти на уровне района
- •2.2 Действующая организация инженерно-технической защиты информации в органе исполнительной власти на уровне района
- •2.3 Модель злоумышленника и вероятные технические каналы утечки информации
- •Глава 3 Меры по совершенствованию инженерно-технической защиты
- •3.1 Проектирование системы инженерно-технической защиты информации
- •3.2 Проектирование организационно-технической защиты информации
- •3.3 Разработка мер организации доступа и работы с конфиденциальной информацией
- •Заключение
- •Библиография
- •Приложения
1.4 Организационно-технические и инженерные мероприятия
Организационно-технические мероприятия основаны на введении ограничений на условия функционирования объекта защиты и являются первым этапом работ по защите информации. Эти мероприятия нацелены на оперативное решение вопросов защиты наиболее простыми средствами и организационными мерами ограничительного характера, регламентирующими порядок пользования техническими средствами. Они, как правило, проводятся силами и средствами служб безопасности самих предприятий и организаций. В процессе организационных мероприятий необходимо определить [12, с. 27]:
контролируемую зону (зоны). Контролируемая зона - территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска. Контролируемая зона может ограничиваться:
периметром охраняемой территории предприятия;
частью охраняемой территории, охватывающей здания и сооружения, в которых проводятся закрытые мероприятия;
частью здания (комнаты, кабинеты, залы заседаний, переговорные помещения, в которых проводятся закрытые мероприятия).
Контролируемая зона при необходимости может устанавливаться большей, чем охраняемая территория, при этом соответствующей службой обеспечивается постоянный контроль над неохраняемой частью территории. Бывают постоянная и временная контролируемые зоны.
Постоянная контролируемая зона - зона, граница которой устанавливается на длительный срок. Постоянная зона устанавливается в случае, если конфиденциальные мероприятия внутри этой зоны проводятся регулярно. Временная контролируемая зона - зона, установленная для проведения конфиденциальных мероприятий разового характера.[18, с.190]
выделить из эксплуатируемых технических средств технические средства, используемые для передачи, обработки и хранения конфиденциальной информации (ТСПИ). ТСПИ - технические средства, предназначенные для передачи, обработки и хранения конфиденциальной информации. К ним относятся используемые для этих целей:
системы внутренней (внутриобъектовой) телефонной связи;
директорская, громкоговорящая диспетчерская связь;
внутренняя служебная и технологическая системы связи;
переговорные устройства типа «директор-секретарь»;
системы звукоусиления конференц-залов, залов совещаний, столов заседаний, звукового сопровождения закрытых кинофильмов;
системы звукозаписи и звуковоспроизведения (магнитофоны, диктофоны);
Защита информации может осуществляться инженерно-техническими и криптографическими способами. Техническая защита конфиденциальной информации - защита информации не криптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.
Технические мероприятия проводятся по мере приобретения предприятием или организацией специальных устройств защиты и защищенной техники и направлены на блокирование каналов утечки конфиденциальной информации и ее защиты от несанкционированного и непреднамеренного воздействия с применением пассивных и активных методов защиты информации. Необходимость проведения технических мероприятий по защите информации определяется проведенными исследованиями защищаемых (выделенных) помещений с учетом предназначения этих помещений (их категории) и необходимости защиты этих объектов информатизации и расположенных в них средств звукозащиты, звуковоспроизведения, звукоусиления, тиражированного размножения документов, и т.п. При этом, в зависимости от циркулирующей в выделенном помещении конфиденциальной информации и наличия ТСПИ и ВТСС (вспомогательные технические средства и системы) определяются основные мероприятия по акустической защищенности выделенного помещения; по защите ВТСС, находящихся в помещении, или их замене на сертифицированные, обладающие необходимыми защитными свойствами ВТСС, по защите линий связи ТСПИ, по замене ТСПИ на сертифицированные и т.п.[19, с. 80]
Физические средства включают в себя различные инженерные средства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и защищающие персонал (личные средства безопасности), материальные средства и финансы, информацию от противоправных действий.
По уровню физической защиты все зоны и производственные помещения могут быть подразделены на три группы:[14, 245 с.]
тщательно контролируемые зоны с защитой высокого уровня;
защищенные зоны;
слабо защищенные зоны.
К первой группе относятся, как правило, серверные комнаты, помещения с сетевым и связным оборудованием, архив программ и данных.
Ко второй группе относятся помещения, где расположены рабочие места администраторов, контролирующих работу сети, а также периферийное оборудование ограниченного пользования.
В третью группу входят помещения, в которых оборудованы рабочие места пользователей и установлено периферийное оборудование общего пользования.
При создании системы физической безопасности (как и информационной безопасности вообще) должен стать анализ угроз (рисков) как реальных (в данный момент), так и потенциальных (в будущем).[20, с. 300]
По результатам анализа рисков с использованием средств оптимизации формируются требования к системе безопасности конкретного предприятия и объекта в конкретной обстановке. Завышение требований приводит к неоправданным расходам, занижение — к возрастанию вероятности реализации угроз.