Организация системы защиты экономической информации, циркулирующей в корпоративных сетях интегрированных агроформирований
Каналы утечки информации
Физический путь от источника информации к злоумышленнику, посредством которого может быть осуществлен несанкционированный доступ к охраняемым сведениям – это и есть технический канал утечки информации. Иными словами канал утечки – это совокупность источника информации, материального носителя (или среды распространения несущего эту информацию сигнала) и средства выделения информации из сигнала или носителя. В основе утечки лежит неконтролируемый перенос конфиденциальной информации посредством акустических, световых, электромагнитных, радиационных и других полей и материальных объектов.
С учетом физической природы образования каналы утечки информации можно разделить на следующие группы:
1) визуально-оптические – это, как правило, непосредственное или удаленное наблюдение. Переносчиком информации выступает свет, испускаемый источником конфиденциальной информации.
2) акустические – образуются в помещениях при ведении переговоров в случае открытых дверей, окон, форточек. Кроме того, такие каналы образуются системой воздушной вентиляции помещения. Физической основой в данном случае являются звуковые волны, распространяющиеся в воздухе, или упругие колебания в других средах, возникающие при работе соответствующих устройств (клавиатура, например);
3) электромагнитные каналы. Переносчиком информации являются электромагнитные волны (длинные волны, короткие и другие). Различные телефонные и иные провода и кабели связи создают вокруг себя магнитное и электрическое поля, которые также выступают элементами утечки информации за счет наводок на другие провода и элементы аппаратуры в ближайшей зоне их расположения. 4) материально-вещественные – бумага, фото, магнитные носители, производственные отходы различного вида.
Хищение носителей информации и документов также рассматривается как один из возможных каналов ее утечки, кроме того, она нередко связана с потерей информации для владельца (если отсутствуют резервные копии).
Защита экономической информации предусматривает комплекс мероприятий, направленных на обеспечение информационной безопасности производственно-хозяйственной деятельности агропродовольственной корпоративной структуры. На практике это означает поддержание целостности, доступности и конфиденциальности информации при ее вводе, хранении, обработке и передаче.
Методы защиты информации должны быть направлены на:
• непрерывный процесс обеспечения ее безопасности, заключающийся в систематическом контроле доступа, выявлении уязвимых мест защиты, совершенствовании путей и направлений развития системы защиты в целом;
• обеспечение безопасности информации за счет комплексного использования всего имеющегося в распоряжении организации арсенала средств защиты;
• профессиональную подготовку пользователей, неукоснительное соблюдение ими правил защиты информации.
Всегда имеется вероятность того, что найдется специалист, который, при желании, отыщет доступ к конфиденциальным данным, поэтому никакую систему защиты нельзя считать абсолютно надежной.
Рассмотрим организационные и технические меры защиты информации в компьютерных системах обработки данных.
Организационные меры защиты – это меры общего характера, затрудняющие доступ к информации посторонним лицам, вне зависимости от способов ее обработки и каналов утечки. При этом различают организационно-технические и технические меры защиты информации.
Организационные меры предполагают:
• ограничение доступа в помещения, где обрабатывается конфиденциальная информация;
• целевое выделение одного или нескольких персональных компьютеров для обработки секретной информации. При этом расположение периферийного оборудования (дисплея, клавиатуры и другого) должно исключать несанкционированный доступ лиц к обрабатываемой информации;
• хранение магнитных носителей в специальных помещениях или в тщательно закрываемых сейфах;
• Организационно-технические меры защиты информации общего характера, как правило, связаны со спецификой каналов утечки и методов обработки. При этом их реализация не применения нестандартных приемов, ни специального оборудования.
Суть организационно-технических мер сводится к следующему:
• организация электропитания персональных компьютеров и периферийного оборудования от отдельного источника или от общей электросети через стабилизатор напряжения, сетевой фильтр, мотор-генератор или вторичный источник питания;
• ограничение доступа внутрь корпуса технических средств путем установки опечатываемых механических запирающихся приспособлений;
• полное копирование с последующим уничтожением информации, расположенной на винчестере при его ремонте;
• применение для визуализации информации жидкокристаллических или плазменных экранов, не излучающих электромагнитных волн, а для получения бумажных документов – струйных или лазерных принтеров, не порождающих акустических колебаний окружающей среды;
• временное отключение компьютеров от локальной сети или сети удаленного доступа при обработке конфиденциальной информации.
Технические меры защиты информации прямо связаны с характеристиками каналов ее утечки. Реализация этих мер требует применения особых приемов, специального оборудования, программных средств, которые могут быть использованы в приемлемых сочетаниях.
