Научная статья на тему 'Основные направления обеспечения комплексной защиты информации крупных предприятий'

Основные направления обеспечения комплексной защиты информации крупных предприятий Текст научной статьи по специальности «Математика»

CC BY
519
212
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по математике, автор научной работы — Годырева А. В., Николаева Т. С., Кармановский Н. С.

С переходом на рыночные отношения в условиях хозяйственной самостоятельности перед предприятиями возникают серьезные проблемы по обеспечению сохранности информации и безопасности. Само понятие «безопасность» включает в себя: информационную, коммерческую, юридическую и физическую безопасность. В статье рассматриваются актуальные вопросы по обеспечению комплексной защиты информации для крупных предприятий.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по математике , автор научной работы — Годырева А. В., Николаева Т. С., Кармановский Н. С.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Основные направления обеспечения комплексной защиты информации крупных предприятий»

ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ КРУПНЫХ ПРЕДПРИЯТИЙ А.В. Годырева, Т.С. Николаева Научный руководитель - к.т.н., доцент Н.С. Кармановский

С переходом на рыночные отношения в условиях хозяйственной самостоятельности перед предприятиями возникают серьезные проблемы по обеспечению сохранности информации и безопасности. Само понятие «безопасность» включает в себя: информационную, коммерческую, юридическую и физическую безопасность. В статье рассматриваются актуальные вопросы по обеспечению комплексной защиты информации для крупных предприятий.

Особенности информационной защиты крупных объектов

С помощью одного или нескольких технических средств либо только силами охраны практически невозможно обеспечить полную сохранность крупного объекта, занимающего значительную территорию и имеющего на балансе целый комплекс многоэтажных зданий. С развитием в стране различных форм собственности резко увеличилось количество предприятий, возросла конкурентная борьба между ними. Информация все более превращается в товар, а защита ее становится важнейшим направлением в деятельности фирм.

Увеличение числа предприятий часто сопровождается их «дроблением» на более мелкие хозяйственные объекты, численность работников в которых не превышает нескольких человек. Наряду с этим сохранились достаточно крупные предприятия, охрана которых зачастую не учитывает появление новых технических средств, а защита информации ограничивается упорядочиванием бумажного делопроизводства. Кроме того, даже государственные предприятия имеют коммерческую деятельность, в то время как законодательно коммерческая тайна определена сравнительно недавно.

В работе рассматриваются вопросы комплексной защиты информации крупных объектов. Интерес к крупным предприятиям обусловлен рядом причин:

• большой площадью предприятий;

• расположением предприятий в черте города, часто в зоне исторически сложившейся застройки;

• появлением новых форм собственности;

• расширением средств коммуникации и способов представления и передачи информации;

• сложностью создания единой системы защиты территории;

• большой протяженностью сетей коммуникаций;

• высокой стоимостью оборудования средств защиты, средств их интеграции, что доступно только крупным предприятиям.

Для исключения или существенного снижения возможных потерь материальных средств и информационных ресурсов служба безопасности объекта должна быть оснащена современным комплексом технических средств, что делает разработку системы контроля и управления доступом для режимного объекта своевременной и актуальной. Для эффективного решения этих задач необходим тщательный анализ существующих систем защиты, возможных способов несанкционированного доступа на объект, разработка новейших систем контроля и управления доступом, вспомогательного оборудования, что позволяет принять меры для противодействия возможным угрозам. Важнейшей задачей является своевременность обнаружения попыток несанкционированного проникновения на объект, несанкционированного доступа к конфиденциальной информации, а также принятия адекватных мер по ее нейтрализации.

Интегрирование средств безопасности

В целях повышения уровня безопасности крупных хозяйствующих объектов в настоящее время представляется целесообразным внедрение в структуру подобных предприятий интегрированных систем обеспечения безопасности (ИСОБ) - комплексных структур, предназначенных для обеспечения защищенного состояния наиболее важных объектов) (рис. 1) [1].

Рис. 1. Структура интегрированной системы обеспечения безопасности

Интегрированные системы безопасности представляют широкие возможности для объединения оборудования сторонних производителей, позволяют создать в единый комплекс безопасности системы видеонаблюдения, контроля доступа, видеоидентификации, охранно-пожарной сигнализации, мониторинга тревог, управления персоналом и посетителями. На сегодняшней день на рынке товаров и услуг предлагается широкий выбор интегрированных систем безопасности как зарубежных, так и отечественных производителей. Интегрированная система обеспечения безопасности должна удовлетворять следующим требованиям:

• тактическая надежность - выполнение системой безопасности своих функций при попытках вывода ее из строя или обхода охраняемых зон, предпринимаемых нарушителем,

• эксплуатационная надежность - безотказность оборудования при непрерывной работе в течение многих лет путем дублирования и резервирования основных систем, обеспечения централизованного и децентрализованного управления, обязательным обеспечения ключевых элементов средствами автономного питания.

Эффективное функционирование ИСОБ обеспечивают центральные посты, осуществляющие постоянный контроль и управление всеми техническими подсистемами. Аппаратура центрального поста должна обеспечивать максимальную автоматизацию текущих процедур в режиме нормального функционирования. В случае возникновения тревоги должно, по возможности, моментально привлекаться внимание персонала службы безопасности, а также обеспечиваться объективное и оперативное отображение и регистрация ситуации. Достигнутый уровень интеграции подсистем, входящих в ИСОБ, позволяет на единой программно-аппаратной платформе и с общей базой дан-

ных осуществлять отображение информации, управление и контроль состояния всех подсистем [2].

Современная концепция защиты объектов техническими средствами охраны (ТСО) заключается в выполнении четырех принципов:

• определение целей (предметов) защиты (кого и что защищать?),

• определение и оценка угроз (от кого защищать?),

• разработка и реализация адекватных мер защиты (как защищать?),

• создание и обеспечение функционирования комплексной защиты (рис. 2).

Рис. 2. Концепция защиты объекта техническими средствами охраны

Принципы организации охраны крупного объекта

На охраняемом предприятии можно выделить три группы объектов защиты: люди, имущество, информация. Цели защиты образуют пространство угроз, которые принято делить на естественные и искусственные. Система охраны должна выполнять следующие задачи:

• своевременно обнаружить факт совершения криминальной акции;

• транслировать сообщения о ней на центральный пункт охраны;

• провести верификацию (подтверждение истинности) тревожной ситуации;

• выдать команду тревожной группе для принятия адекватных мер по предотвращению ущерба;

• зарегистрировать факт возникновения любой аномальной ситуации, а также все действия оператора и персонала охраны для последующего анализа;

• нейтрализовать нарушителя.

Исходя из этих задач, система охраны должна включать в себя следующие основные составляющие:

• технические средства охраны - средства контроля, обнаружения и слежения,

• инженерные средства охраны - средства физической преграды,

• силы (подразделения) охраны - людские ресурсы.

Перечислим принципы построения систем охраны.

1. Системный подход к построению охраны техническими средствами. Данный принцип реализуется при выполнении следующих этапов:

• обследование существующей системы ТСО,

• выявление спектра угроз (составление описательной модели объектов охраны и нарушителя),

• формирование концепции построения ТСО,

• оценка возможностей сил охраны.

2. Обеспечение максимального эффекта при использовании ТСО.

3. Совместимость и развиваемость средств ТСО.

4. Многорубежность (многозональность) комплекса инженерно-технических средств охраны (КИТСО), в частности, для объектов особой важности.

5. Непрерывность рубежей ТСО.

6. Знание принципов построения КИТСО не должно позволить нарушителю «обойти» рубежи охраны и получить несанкционированный доступ на объект.

Задачи, выполняемые ТСО, порождают разнообразие типов технических средств, сложность устройства которых определяется конкретными условиями охраны. Тактико-технические требования, предъявляемые к ТСО, весьма разнообразны. Они делятся на три группы и должны учитывать условия эксплуатации монтажа, транспортировки, ремонта и безопасности:

• общие требования, предъявляемые ко всем видам ТСО;

• специальные тактико-технические требования, предъявляемые к отдельным видам средств обнаружения;

• частные требования, предъявляемые к конкретным типам аппаратуры.

Выделение зон и формирование рубежей безопасности крупных предприятий

Равноценная защита крупных объектов представляется либо невозможной технически, либо экономически нецелесообразной. По этой причине актуально деление предприятия на зоны и рубежи безопасности, которые предусматривают различные уровни защиты. Рассмотрим предприятие ООО «Информационные системы» и на его примере определим вопросы по обеспечению комплексной безопасности крупных объектов. Данная организация занимается поставкой и установкой компьютерной техники для государственных и коммерческих организаций. Она находится в центре города и занимает площадь 5000 м , численность персонала составляет 250 человек.

Одним из принципов защиты информации на данном предприятии является выделение рубежей и создание зон безопасностей. Под зоной понимается территория, имеющая собственное ограждение и ограничение допуска лиц на эту территорию. Правильное формирование зон безопасности может не только повысить эффективность системы защиты, но и сократить расходы на ее оборудование. Типовыми зонами являются:

• территория, занимаемая учреждением и ограничиваемая забором или условной внешней границей;

• здание на территории;

• коридор или его часть;

• помещение (служебное, кабинет, склад и др.);

• шкаф, сейф, хранилище, в которых хранятся носители информации.

Рубежи охраны создаются на границе зоны с целью воспрепятствования проникновения на нее нарушителя (рис. 3).

охр. зона 1 охр. зона 2 охр. зона 3 охр. зона 4

1 рубеж охраны

2 рубеж охраны

3 рубеж охраны

4 рубеж охраны

Рис. 3. Рубежи охраны и охраняемые зоны на пути движения нарушителя

Рис. 4. План территории с выделением рубежей и зон безопасности

Особенностью рубежа охраны является равная прочность границ рубежей и наличие контрольно-пропускных пунктов или постов, обеспечивающих управление доступом в зону людей и автотранспорта. Чем большей ценностью обладает объект, тем большим количеством рубежей целесообразно окружать его источник. Если безопасность в каждой зоне обеспечивается только рубежом на ее границе, то для доступа нарушителя, например, к документу, хранящемуся в сейфе, ему необходимо преодолеть 4 рубежа: границу территории (забор), войти в здание, в помещение, открыть сейф [1].

На рис. 4 представлен план территории рассматриваемого предприятия.

Первый рубеж безопасности - периметр территории: пограничная часть территории объекта, которая просматривается сотрудниками охраны, не выходя из здания (например, с помощью средств видеонаблюдения). Для этого рассчитывается количество видеокамер, необходимых для просмотра 1-й зоны, установка возможных сигнальных

устройств, средств освещения и т.д. Особое внимание уделяется подходам к охраняемому объекту, подъездным путям, аварийным выходам и другим местам, способствующим подходу (подъезду) посторонних лиц к объекту в любое время суток.

Второй рубеж безопасности - периметр здания предприятия. Специалисту по охране необходимо четко уяснить размеры, площадь и конфигурацию охраняемого объекта. Он должен понять, какие технические мероприятия по защите необходимо осуществить, чтобы не допустить проникновения на объект криминальных элементов.

Внутри объекта также предполагается возможное выделение зон безопасностей в зависимости от степени важности циркулирующей информации и от степени защищенности помещения.

Руководство безопасностью объекта

Когда речь заходит о безопасности предприятия, его руководство часто недооценивает важность информационной защиты. Основной упор часто делается на физическую безопасность (пропускной режим, охрану, систему видеонаблюдения и т. д.). Однако за последние годы ситуация существенно изменилась. Чтобы проникнуть в тайны предприятия, достаточно проникнуть в информационную систему или вывести из строя какой-либо узел компьютерной сети. Все это приведет к огромному ущербу, причем не только к прямому ущербу, который может выражаться в денежном эквиваленте, но и к косвенному. Для защиты секретов на предприятиях организуют службу безопасности (рис. 5), созданию которой обычно предшествует два события - это острое желание руководителей объекта отреагировать на внезапно возникшие реальные угрозы имуществу либо основанный на результатах исследований вывод о неудовлетворительном состоянии безопасности объекта. После детального изучения состояния безопасности предприятия появляется реальное представление о его системе безопасности, позволяющее осознано и целенаправленно проводить работу по обеспечению безопасности деятельности и самого объекта всеми его подразделениями и сотрудниками. Важной предпосылкой создания службы безопасности предприятия является разработка ее структуры, состава, положений о подразделениях и должностных инструкций для руководящего состава и сотрудников. Создавать ее надо осознанно и рационально, максимально используя опыт специалистов в сфере безопасности. Понимание своей роли и места в системе безопасности предприятия приведет ее к положительным результатам.

Надежность защиты информации, прежде всего, будет определяться тем, насколько правильно выбрана структура подразделения, на которое возложены эти функции, четкостью, с которой оно придерживается выбранного на предприятии режима конфиденциальности и безопасности. Предложенный вариант службы безопасности не претендует на бесспорность, однако призван помочь специалистам в вопросах организации работы по обеспечению безопасности защищаемого объекта.

Создание систем защиты информации обычно осуществляется в следующей последовательности:

• изучение объекта и обоснование необходимости создания системы,

• разработка проекта системы,

• приобретение необходимых средств,

• монтаж и оборудование системы,

• испытания и приемка системы [3].

Рис. 5. Структура службы безопасности

Заключение

Решение проблемы безопасности обеспечивается системным подходом к ней. Из практики применения системного анализа следует, что 50 % успеха в решении сложной задачи - ее правильная постановка. Чем более четко определены источники защищаемой информации, места их нахождения, способы и средства добывания информации злоумышленниками, тем конкретнее могут быть сформулированы задачи по защите и требования к соответствующим средствам. Источники информации определяются в результате структурирования защищаемой информации. Рост числа и видов угроз безопасности информации, сопровождающих повышение значимости информации в жизни общества и человека, представляют собой тенденцию, которую нельзя не учитывать. Не менее ответственные и сложные задачи возникают при непосредственном выборе рациональных способов и средств защиты, которые обеспечивают требуемый уровень защиты при минимальных затратах, не превышающих ущерб от хищения информации. В нахождении рациональных вариантов, удовлетворяющих этим условиям, состоит основная задача подразделений, занимающихся обеспечением защиты информации на предприятии.

Таким образом, сформулированы основные направления обеспечения комплексной защиты информации крупных объектов и предложены меры по повышению эффективности защиты:

• введение на предприятии интегрированной системы безопасности,

• формирование зон безопасности,

• создание службы безопасности.

Литература

1. Андрианов В.И., Соколов А.В. Охранные системы для дома и офиса. СПб: БХВ-Петербург; Арлит, 2002. 304 с.

2. Максимов Ю.Н., Сонников В.Г. и др. Шпионские штучки. Технические методы и средства защиты информации. СПб: Полигон, 2000. 320 с.

3. Струков В.И. Экономика защиты информации. ТРТУ, 2000. 185 с.

i Надоели баннеры? Вы всегда можете отключить рекламу.