- •Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Тульский государственный университет»
- •Конспект лекций
- •Комплексная система защиты информации на предприятии
- •090900 «Информационная безопасность»
- •Содержание
- •Тема 1. Сущность и задачи комплексной защиты информации
- •Тема 2. Принципы организации и этапы разработки ксзи
- •Тема 3. Факторы, влияющие на организацию ксзи
- •Тема 4. Определение и нормативное закрепление состава защищаемой информации
- •Тема 5. Определение объектов защиты
- •Тема 10. Определение условий функционирования ксзи
- •Тема 11. Разработка модели ксзи
- •Тема 12. Технологическое и организационное построение ксзи
- •Тема 13. Кадровое обеспечение функционирования комплексной системы защиты информации
- •Введение
- •Тема 1 Сущность и задачи комплексной защиты информации План
- •1.2. Цели, задачи и принципы построения ксзи
- •1.3. О понятиях безопасности и защищенности
- •1.4. Разумная достаточность и экономическая эффективность
- •1.5. Управление безопасностью предприятия. Международные стандарты
- •1.6. Цели и задачи защиты информации в автоматизированных системах
- •1.7. Современное понимание методологии защиты информации
- •1.7.1. Особенности национального технического регулирования
- •1.7.2. Что понимается под безопасностью ит?
- •1.7.3. Документы пользователя
- •1.7.4. Требования к средствам обеспечения безопасности
- •Тема 2. Принципы организации и этапы разработки ксзи План
- •2.1. Методологические основы организации ксзи
- •2.2. Разработка политики безопасности и регламента безопасности предприятия
- •2.3. Основные положения теории сложных систем
- •2.4. Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими
- •2.5. Требования, предъявляемые к ксзи
- •2.5.1. Требования к организационной и технической составляющим ксзи
- •2.5.2. Требования по безопасности, предъявляемые к изделиям ит
- •2.6. Этапы разработки ксзи
- •Тема 3. Факторы, влияющие на организацию ксзи План
- •3.1. Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2. Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •3.3. Характер основной деятельности предприятия
- •3.4. Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5. Структура и территориальное расположение предприятия
- •3.6. Режим функционирования предприятия
- •3.7. Конструктивные особенности предприятия
- •3.8. Количественные и качественные показатели ресурсообеспечения
- •3.9. Степень автоматизации основных
- •Тема 4. Определение и нормативное закрепление состава защищаемой информации План
- •4.2. Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение задачи 1
- •4.2.2. Решение задачи 2
- •4.2.3. Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3. Методика определения состава защищаемой информации
- •6.1. Составление предварительного Перечня.
- •6.2. Определение возможного ущерба, наступающего в результате несанкционированного распространения кт.
- •4.4. Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •Тема 5. Определение объектов защиты План
- •5.2. Методика выявления состава носителей защищаемой информации
- •5.3. Особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа
- •5.4. Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.5. Особенности помещений как объектов защиты для работы по защите информации
- •Основные принципы оборудования сигнализацией.
- •Сейфы и хранилища ценностей
- •5.6. Транспортные средства и особенности транспортировки
- •5.7. Состав средств обеспечения, подлежащих защите
- •Тема 6. Дестабилизирующие воздействия на информацию и их нейтрализация План
- •6.1. Факторы, создающие угрозу информационной безопасности
- •6.2. Угрозы безопасности информации
- •6.3. Модели нарушителей безопасности ас
- •6.4. Подходы к оценке ущерба от нарушений иб
- •6.5. Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6. Реагирование на инциденты иб
- •6.7. Резервирование информации и отказоустойчивость
- •Тема 7. Определение потенциальных каналов и методов несанкционированного доступа к информации План
- •7.1. Технические каналы утечки информации, их классификация
- •7.2. Задачи ксзи по выявлению угроз и куи
- •7.3. Особенности защиты речевой информации
- •7.4. Особенности защиты компьютерной информации от утечки по каналам пэмин
- •Тема 8. Определение возможностей несанкционированного доступа к защищаемой информации План
- •8.1. Методы и способы защиты информации
- •8.2. Классификация сзи нсд
- •8.3. Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.3.2. Разграничение доступа
- •8.3.3. Регистрация и аудит
- •8.3.4. Криптографическая подсистема
- •8.3.5. Межсетевое экранирование
- •8.4. Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •Тема 9. Определение компонентов ксзи План
- •9.1. Особенности синтеза сзи ас от нсд
- •9.2. Методика синтеза сзи
- •9.2.1. Общее описание архитектуры ас, системы f защиты информации и политики безопасности
- •9.2.2. Формализация описания архитектуры исследуемой ас
- •9.2.3. Формулирование требований к системе защиты информации
- •9.2.4. Выбор механизмов и средств защиты информации
- •9.2.5. Определение важности параметров средств защиты информации
- •9.3. Оптимальное построение системы защиты для ас
- •9.4. Выбор структуры сзи ас
- •9.5. Проектирование системы защиты информации для существующей ас
- •Тема 10. Определение условий функционирования ксзи План
- •10.1. Содержание концепции построения ксзй
- •10.2. Объекты защиты
- •10.3. Цели и задачи обеспечения безопасности информации
- •10.4. Основные угрозы безопасности информации ас организации
- •10.5. Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6. Основные принципы построения ксзи
- •10.7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8. Первоочередные мероприятия по обеспечению безопасности информации ас организации
- •Тема 11. Разработка модели ксзи План
- •11.2. Формальные модели безопасности и их анализ
- •11.2.1. Классификация формальных моделей безопасности
- •11.2.2. Модели обеспечения конфиденциальности
- •11.2.3. Модели обеспечения целостности
- •11.2.4. Субъектно-ориентированная модель
- •11.3. Прикладные модели защиты информации в ac
- •11.4. Формальное построение модели защиты: пример
- •11.4.1. Описание объекта защиты
- •11.4.2. Декомпозиция ас на субъекты и объекты
- •11.4.3. Модель безопасности: неформальное описание
- •11.4.4. Декомпозиция системы защиты информации
- •11.4.5. Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5. Формализация модели безопасности
- •11.5.1. Процедура создания пары субъект—объект, наделение их атрибутами безопасности
- •11.5.2. Осуществление доступа субъекта к объекту
- •11.5.3. Взаимодействие с внешними сетями
- •11.5.4. Удаление субъекта — объекта
- •Тема 12. Технологическое и организационное построение ксзи План
- •12.2. Характеристика основных стадий создания ксзи
- •12.3. Назначение и структура технического задания (общие требования к содержанию)
- •12.4. Предпроектное обследование, технический проект, рабочий проект.
- •Тема 13. Кадровое обеспечение функционирования комплексной системы защиты информации План
- •13.2. Распределение функций по защите информации
- •13.2.1. Функции руководства предприятия
- •13.2.2. Функции службы защиты информации
- •13.2.3. Функции специальных комиссий
- •13.2.4. Обязанности пользователей защищаемой информации
- •13.3. Обеспечение взаимодействия между субъектами, защищающими и использующими* информацию ограниченного доступа
- •13.4. Подбор и обучение персонала
- •Тема 14. Материально-техническое и нормативно-методологическое обеспечение комплексной системы защиты информации План
- •14.1. Состав и значение материально-технического обеспечения функционирования ксзи
- •Тема15. Назначение, структура и содержание управления ксзи План
- •15.1. Понятие, сущность и цели управления ксзи
- •15.2. Принципы управления ксзи
- •15.3. Структура процессов управления
- •15.4. Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •Тема 16. Принципы и методы планирования функционирования ксзи План
- •16.1. Понятие и задачи планирования функционирования ксзи
- •16.2. Способы и стадии планирования
- •16.3. Факторы, влияющие на выбор способов планирования
- •16.4. Основы подготовки и принятия решений при планировании
- •16.5. Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6. Организация выполнения планов
- •Тема 17. Сущность и содержание контроля функционирования План
- •17.1. Виды контроля функционирования ксзи
- •17.2. Цель проведения контрольных мероприятий в ксзи
- •17.3. Анализ и использование результатов проведения контрольных мероприятий
- •Тема 18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций План
- •18.1. Понятие и основные виды чрезвычайных ситуаций
- •18.2. Технология принятия решений в условиях чс
- •18.3. Факторы, влияющие на принятие решений в условиях чс
- •18.4. Подготовка мероприятий на случай возникновения чс
- •Перечень
- •Тема 19. Общая характеристика подходов к оценке эффективности ксзи План
- •19.1. Вероятностный подход
- •19.2. Оценочный подход
- •19.3. Требования рд свт и рд ас
- •19.4. Задание требований безопасности информации и оценка соответствия им согласно гост 15408—2002
- •19.5. Экспериментальный подход
- •Тема 20.
- •20.1. Показатель уровня защищенности, основанный на экспертных оценках
- •Экспертного опроса
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •(Ущербов)
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •Библиографический список
7.2. Задачи ксзи по выявлению угроз и куи
Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации — на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия) [40].
На предприятии должны быть определены подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.
Разработка и внедрение СЗИ осуществляются во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует: в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств зашиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.
Организация работ по созданию и, эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:
порядок определения защищаемой информации;
порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
ответственность должностных лиц за своевременность и качество формирования, требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.
Устанавливаются следующие стадии создания системы зашиты информации:
пред проектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.
На предпроектной стадии по обследованию объекта информатизации:
устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информации;
определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
« определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
определяются условия расположения объектов информатизации относительно границ КЗ;
определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент,, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
определяются режимы обработки информации в АС в целом и в отдельных компонентах;
определяется класс защищенности АС;
определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.
На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера. Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.
Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия. Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.
Аналитическое обоснование необходимости создания СЗИ должно содержать:
информационную характеристику и организационную структуру объекта информатизации;
характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
перечень предлагаемых к использованию сертифицированных средств зашиты информации;
обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения, работ по защите информации;
оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
ориентировочные сроки разработки и внедрения СЗИ;
перечень мероприятий по обеспечению конфиденциальности', информации на стадии проектирования объекта информатизации.
Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.
Техническое (частное, техническое) задание на разработку СЗИ должно содержать:
обоснование разработки;
исходные данные создаваемого (модернизируемого) объекта-иформатизации в техническом, программном, информационном и организационном аспектах;
класс защищенности АС;
ссылку на нормативные документы, с учетом которых будет, разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса; защищенности АС;
перечень предполагаемых к использованию сертифицированных средств зашиты информации;
обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности ист. пользования имеющихся на рынке сертифицированных средств; защиты информации;
состав, содержание и сроки проведения работ по этапам раз) работки и внедрения;
перечень подрядных организаций-исполнителей видов работ;
перечень предъявляемой заказчику научно-технической продукции и документации.
Техническое (частное техническое) задание на разработку СЗИ: подписывается разработчиком, согласовывается со службой без опасности предприятия-заказчика, подрядными организациями утверждается заказчиком.
В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации. Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа (РД) Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» оформляются актом.
Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.
На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются следующие мероприятия:
разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
разработка раздела технического проекта на объект информатизации в части защиты информации;
строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;
разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
разработка эксплуатационной документации на объект информатизации и средства зашиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.
Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.
Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных рещений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.
На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проекта эксплуатационная документация СЗИ:
пояснительная записка с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;
описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
план организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защит ты информации;
технический паспорт объекта информатизации;
инструкции и руководства по эксплуатации технических программных средств защиты для пользователей, администраторов системы, а также для работников службы зашиты информации.
На стадии ввода в действие объекта информатизации и СЗИ осуществляются:
опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
» аттестация объекта информатизации по требованиям безопасности информации.
На этой стадии оформляются:
акты внедрения средств зашиты информации по результатам их приемо-сдаточных испытаний;
предъявительский акт к проведению аттестационных испытаний;
» заключение по результатам аттестационных испытаний.
При положительных результатах аттестации на объект информатизации оформляется аттестат соответствия требованиям по безопасности информации.
Кроме указанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:
о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;
о формировании группы обследования и назначении ее руководителя;
о заключении соответствующих договоров на проведение работ;
о назначении лиц, ответственных за эксплуатацию объекта информатизации;
• о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.
В целях своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим зашиты которой определяет государство) и заключается в оценке:
• соблюдения нормативных и методических документов Гостех комиссии России;
работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
знаний и выполнения персоналом своих функциональных обязанностей в части зашиты информации.
Таблица 7.2. Основные методы и средства получения и защиты информации
|
Типовая ситуации |
Канал утечки информации |
Методы |
и средства |
|
|
|
|
|
получения информации |
защиты |
|
|
|
Разговор в помещении и на улице |
Акустический |
Подслушивание: диктофон, микрофон, полуактивная система |
Шумовые генераторы, поиск закладных устройств, защитные фильтры, ограничение доступа |
|
|
|
|
Виброакустический |
Стетоскоп, вибродатчик |
|
|
|
|
|
Гидроакустически и |
Гидроакустический датчик |
|
|
|
|
|
Аку сто электронный |
Специальные радиоприемники |
|
|
|
|
Разговор по телефону: проводному радиотелефону |
Акустический |
Подслушивание (диктофон, микрофон, полуактивная система) |
Тоже |
|
|
|
|
Сигнал в линии |
Параллельный телефон, прямое подключение, электромагнитный датчик, диктофон, телефонная закладка |
Маскирование, скрёмблирование, шифрование, спецтехника |
|
|
|
|
Наводки |
Специальные радиотехнические устройства |
Спецтехника |
|
|
|
|
ВЧ-сшнал |
Радиоприемники |
Маскирование, скрёмблирование, шифрование, спецтехника |
|
|
|
Документ на бумажном носителе: изготовление |
Непосредственно документ |
Кража, прочтение, копирование, фотографирован ие |
Ограничение доступа, спецтехника |
|
|
|
|
Продавливание ленты или.бумаги |
Кража, прочтение |
Оргтехмероприятия |
|
|
|
|
Паразитные сигналы, наводки |
Специальные радиотехнические устройства |
Экранирование |
|
|
|
|
Hen осредственно документ |
Кража, прочтение |
Специальные методы |
|
|
|
Документ на небумажном носителе: изготовление передача документа по каналам связи |
Носитель |
Хищение, копирование, считывание |
Контроль доступа, физическая зашита, криптозашита |
|
|
|
|
Изображение на дисплее |
Визуальный, копирование, фотографирование |
Контроль доступа, физическая защита, криптозащйта |
|
|
|
|
Паразитные сигналы, наводки |
Специальные радиотехнические устройства |
Контроль доступа, криптозащйта, поиск закладок, экранирование |
|
|
|
|
Электрический сигнал |
Аппаратные закладки |
|
|
|
|
|
Программный продукт |
Программные закладки |
|
|
|
|
|
Электрические и оптические сигналы |
Несанкционированное подключение, имитация зарегистрированного пользователя |
Криптозащйта |
|
|
|
Производственн ый процесс |
Отходы, излучение и т. п. |
Спецаппаратура различного назначения |
Оргтехмероприятия, физическая защита |
|
|
|
Работа с удаленными базами данных |
Сигналы, наводки |
Программные и аппаратные закладки, несанкционированный доступ, компьютерные вирусы |
Криптозащйта, специальное программное обеспечение, оргтехмероприятия, антивирусная зашита |
|
|
Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.
При необходимости по решению руководителя предприятия в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию «закладок», предназначенных для скрытого перехвата защищаемой информации. Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФСБ России на данный вид деятельности.
При выборе средств защиты информации можно руководствоваться табл. 7.2 [3].