В качестве небольшого примера по защите информации от утечки по акустическим каналам можно рассмотреть технические меры защиты, которые необходимо использовать для защиты комнаты конфиденциальных переговоров в организации. Возможными каналами утечки акустической информации могут являться стены, пол, потолок, окна, двери, батарея отопления, линии связи. Для защиты информации от утечки стоит сочетать активные и пассивные меры: к первым относятся - обнаружение, локализация и изъятие закладных устройств, глушение акустических сигналов, зашумление помещения, а ко вторым -звукоизоляция, звукопоглощение и экранирование.
Звукоизоляцию помещения необходимо обеспечить еще на этапе строительства здания или же при необходимости увеличить её обшив конкретную комнату дополнительным звукоизолирующим материалом. Экранирование помещения должно осуществляться специальными жалюзи, которые могут быть прикреплены на окна и дверь. Звукопоглощение, так же как и звукоизоляция может быть осуществлена наличием дополнительного звукопоглотителя.
Перечислим технические устройства для предотвращения утечек информации по акустическим каналам: комплекс виброакустической защиты БАРОН, система защиты речевой информации Соната-АВ-4Б, генератор виброакустического шума ANG-2000, список можно продолжать долго, но стоит отметить чем больше функций у средства защиты, тем более высока цена.
Часто в процессе работы обсуждение критически важной информации происходит в непредназначенных для этого помещениях, защита информации от утечки по акустическим каналам является одной из нескольких важных задач в общем обеспечение информационной безопасности предприятия.
Список использованной литературы:
1. НЕЛК [Электронный ресурс] Режим доступа: http://www.nelk.ru/catalogue/s92/s94 (Дата обращения: 17.10.2016)
2. Техника СпецСлужб [Электронный ресурс] Режим доступа: http://www.t-ss.ru/vibroacustik.htm (Дата обращения: 17.10.2016)
3. Secandsafe.ru [Электронный ресурс] Режим доступа: http://secandsafe.ru/stati/zaschita_informacii/vibroakustichieskaia_zashchita_pomieshchienii (Дата обращения: 17.10.2016)
©Хлестова Д.Р., Байрушин Ф.Т., 2016
УДК 004
Хлестова Дарья Робертовна
Студентка 3 курса ИУБП БашГУ, г. Уфа, РФ E-mail: [email protected] Байрушин Фёдор Тимофеевич к.б.н., доцент кафедры ИПОБ БашГУ, г. Уфа, РФ
E-mail: [email protected]
АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ
Аннотация
В статье рассматривается понятие аудита информационной безопасности в организации, приведены его виды и основные этапы. Приведены плюсы и минусы проведения аудита ИБ сторонней организацией и своими силами. Обоснована необходимость проведения аудита ИБ в организациях.
Ключевые слова
Информационная безопасность, аудит ИБ, защита информации
_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» №11-3/2016 ISSN 2410-700Х_
В наше время, когда на любом предприятие есть как минимум простые компьютеры у сотрудников, связанные часто в локальную сеть, соответственно организация должна строить систему информационной безопасности предприятия. Для качественного функционирования системы ИБ, необходимо обязательное проведение аудита информационной безопасности организации. Правильно организованная система информационной безопасности сегодня стала одним из решающих факторов эффективной работы организации.
Определение аудита ИБ в организации зафиксировано в ГОСТе Р 53114-2008. Проведение аудита информационной безопасности организации обязательно направленно на какую-то конкретную цель. Часто, это анализ уровня защищенности информационной структуры организации, выявление потенциальных угроз.
Первое, что должна решить организация, после того как необходимость проведения аудита информационной безопасности стала ясна, кто же будет проводить его - сама организация своими силами, или же будут приглашены сторонние специалисты. Данный вопрос достаточно спорный, поскольку оба варианта, кем будет проведен аудит, имеют свои плюсы и минусы. Так, положительные стороны аудита своими силами - отсутствие финансовых затрат, более полное понимание результатов, которые останутся конфиденциальными для третьих лиц. Отрицательная сторона может состоять в том, что у компании может просто не быть квалифицированного специалиста, который мог бы провести аудит ИБ. Положительная сторона проведения аудита ИБ внешними силами заключаются в том, что у специализированной организации будет более высокий уровень экспертизы. Отрицательные стороны - финансовый вопрос, и конечно сведения об аудите останутся у проверяющей стороны.
Касаемо видов аудита информационной безопасности в организации можно выделить: экспертный аудит- недостатки системы защиты выявляются на основе опята экспертов; аудит, направленный на оценку соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК и Гостехкомиссии; инструментальный аудит- нацелен на устранение программно-аппаратных уязвимостей системы; комплексный аудит.
Далее мы выделим 5 этапов проведения аудита ИБ в организации:
1. Планирование проведения аудита ИБ или же понимание необходимости его проведения;
2. сбор и анализ данных необходимых для аудита ИБ в организации
3. выработка рекомендаций, направленных на устранение замечаний выявленных при проверке;
4. подготовка отчёта о процедуре аудита;
5. выполнение рекомендаций, составленных при проведение аудита, а также разработка новых мер, направленных на повышение эффективности ИБ в организации.
Помимо участников-экспертов проведения аудита ИБ стоит выделить инструментальные средства, которые значительно упростят проведение аудита. Инструментальное обеспечение, используемое при аудите ИБ, может включать средства автоматизации анализа выполнения требований ИБ и средства автоматизации оценки рисков. При проведение аудита ИБ рекомендуется использовать: различные сканеры безопасности, сканеры уязвимостей, сетевые сканеры, различные программы мониторинга, ПО анализа рисков и аудита ПО идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и "физической" безопасности предприятия.
В конце отметим, что необходимость проведения аудита информационной безопасности в организации возникнет в любом случае, поскольку необходимо проводить оценку соответствия системы защиты требованиям международных и российских стандартов, нужно получать объективную информацию о защищенности критически важной информации в компании. Что касается вида аудита ИБ в организации на наш взгляд стоит выбрать - комплексный, поскольку его проведение наиболее полно покажет результаты.
Список использованной литературы:
1. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.
2. pentestit [Электронный ресурс] Режим доступа: https://www.pentestit.ru/audit (Дата обращения: 27.10.2016)
3. Menfis [Электронный ресурс] Режим доступа: http://www.menfis-it.ru/uslugi/Admin1178467553.php (Дата обращения: 27.10.2016)
©Хлестова Д.Р., Байрушин Ф.Т., 2016
УДК 334.02:65.011.56
Д.А.Хлыстова
студентка 4 курса ИУБП Башкирский государственный университет Е-mail: ptichko_o@mail .ru Р.А.Майский к.т.н., доцент
Уфимский государственный нефтяной технический университет
г. Уфа, Российская Федерация
ОСОБЕННОСТИ ЭТАПА ВНЕДРЕНИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ
Аннотация
Создание системы защиты информации для организаций является обязательной составляющей деятельности организации на сегодняшний день. Данная необходимость обусловлена тем, что большинство организаций обрабатывают большой объем конфиденциальных сведений. Комплексная система защиты информации позволит обеспечить бесперебойное функционирование сервисов, предотвратить прямые материальные потери от утечки или утраты конфиденциальной информации.
Ключевые слова
Средства защиты информации, политика безопасности, журнал регистрации
Созданная комплексная система защиты информации (далее-КСЗИ) какого либо предприятия будет несовершенна без правильного введения системы в эксплуатацию. Мало того, что нужно безошибочно определить меры защиты информации на предприятии, еще необходимо правильно их внедрить[1].
Введение КСЗИ в действие включает разработку распорядительных документов, которые регламентируют деятельность по обеспечению защиты информации, создание службы защиты информации, разработку и утверждение плана защиты информации, обучение пользователей всех категорий (технического обслуживающего персонала, обычных пользователей и администраторов), комплектование КСЗИ средствами защиты информации, материалами, оборудованием, проведение строительно-монтажных и пусконаладочных работ, предварительных испытаний и опытной эксплуатации КСЗИ.
Во время предварительных испытаний проверяются работоспособность КСЗИ, что позволяет выявить недоработки системы, увидеть слабые стороны защиты.
Во время опытной эксплуатации:
- отрабатывают технологии обработки информации, оборот машинных носителей информации, управление средствами защиты, разграничение доступа пользователей к ресурсам и автоматизированного контроля за действиями пользователей[2];
- сотрудники службы защиты информации и пользователи приобретают практические привычки по использованию технических и программно-аппаратных средств защиты информации, усваивают требования организационных и распорядительных документов по вопросам разграничения доступа к техническим средствам и информационным ресурсам;