Наталия Гришина - Организация комплексной системы защиты информации

Согласно ГОСТ 50922-96 «Защита информации. Основные термины и определения», носитель информации — это «физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов».

Для записи как секретной, так и несекретной информации используются одни и те же носители.

Как правило, носители секретной и конфиденциальной информации охраняются собственником этой информации.

Носители защищаемой информации можно классифицировать как документы; изделия (предметы); вещества и материалы; электромагнитные, тепловые, радиационные и другие излучения; акустические и другие поля и т. п.

Особым носителем информации является человек, мозг которого представляет исключительно сложную систему, хранящую и перерабатывающую информацию, поступающую из внешнего мира. Свойство мозга отражать и познавать внешний мир, накапливать в памяти колоссальные объемы информации ставят человека на особое место как носителя информации. Человек обладает возможностью генерировать новую информацию. И как носитель информации он обладает позитивными и негативными чертами.

Положительные — без согласия субъекта-носителя защищаемой информации из его памяти, как правило, никакая информация не может быть извлечена. Он может оценивать важность имеющейся у него информации и в соответствии с этим обращаться с нею. Он может ранжировать и потребителей защищаемой информации, т. е. знать, кому и какую информацию он может доверить.

Отрицательные — он может заблуждаться в отношении истинности потребителя защищаемой информации или умышленно не сохранять доверенную ему информацию: измена или просто разболтать.

Среди наиболее распространенных видов носителей конфиденциальной информации можно выделить следующие.

Бумажные носители, в которых информация фиксируется рукописным, машинописным, электронным, типографским и другими способами в форме текста, чертежа, схемы, формулы и т. п., а отображается в виде символов и образов.

Магнитные носители: аудиокассеты (аудиопленки) для магнитофонов и диктофонов; видеокассеты (видеопленки) Для видеомагнитофонов и некоторых видеокамер; жесткие (твердые) диски, дискеты, магнитные ленты для ЭВМ. В этих носителях информация фиксируется (наносится) с помощью магнитного накопления (записи сигналов), осуществляемого магнитным устройством, а отображается в виде символов. Воспроизведение (считывание) информации осуществляется также магнитным устройством посредством восстановления сигналов.

Магнитооптические и оптические носители (лазерные диски, компакт-диски). Запись данных в них выполняется лазерным лучом (в магнитооптических и магнитным полем), информация отображается в виде символов, а ее считывание (воспроизведение) осуществляется посредством лазерного луча.

Выпускаемая продукция (изделия). Эти изделия выполняют свое прямое назначение и одновременно являются носителями защищаемой информации. В этом случай информация отображается в виде технических решений.

Технологические процессы изготовления продукций которые включают в себя как технологию производства продукции, так и применяемые при ее изготовлении компоненты (средства производства): оборудование, приборы, материалы, вещества, сырье, топливо и др. Информация отображается в виде технических процессов (первая составляющая) и технических решений (вторая составляющая).

Физические поля, в которых информация фиксируется путем изменения их интенсивности, количественных характеристик, отображается в виде сигналов, а в электромагнитных полях и в виде образов.

Носители конфиденциальной информации как объекты защиты должны защищаться, в зависимости от их видов, от несанкционированного доступа к ним, от утраты и от утечки содержащейся в них информации.

Но, чтобы обеспечить защиту, необходимо защищать и объекты, которые являются подступами к носителям, и их защита выступает в роли определенных рубежей защиты носителей. И чем таких рубежей больше, чем сложнее их преодолеть, тем надежнее обеспечивается защита носителей.

В качестве первого рубежа рассмотрим прилегающую к предприятию территорию. Некоторые предприятия на периметре устанавливают и пропускной пункт. Прилегающая территория защищается от несанкционированного проникновения лиц к зданиям предприятия и отходам производства (при наличии отходов). Другим объектом защиты являются здания предприятия. Их защита осуществляется теми же способами и имеет ту же цель, что и охрана территории. Защита зданий является вторым рубежом защиты носителей.

Следующий объект защиты — помещения, в которых расположены хранилища носителей, производится обработка носителей и осуществляется управленческо-производственная деятельность с использованием носителей. К таким помещениям относятся:

— помещения подразделений защиты информации, в которых расположены хранилища носителей и осуществляется обработка носителей. Эти помещения должны защищаться от несанкционированного проникновения;

— помещения, в которых производится работа с носителями информации либо в течение рабочего дня, либо круглосуточно: комнаты, в которых работает с носителями персонал; комнаты, в которых проводятся закрытые мероприятия (совещания, заседания, семинары и др.); производственные участки по изготовлению продукции. Эти помещения должны защищаться во время нахождения в них носителей от несанкционированного проникновения, от визуального наблюдения за носителями, а также, в необходимых случаях, от прослушивания ведущихся в них конфиденциальных разговоров. Защита осуществляется Работающими в помещениях сотрудниками, различными техническими средствами, в том числе в нерабочее время средствами охранной сигнализации.

Еще одним объектом защиты являются непосредственно хранилища носителей. Хранилища защищаются от несанкционированного доступа к носителям. Их защита осуществляется ответственными хранителями, с помощью замков, а во внерабочее время они могут, помимо замков защищаться средствами охранной сигнализации.

Кроме того, объектами защиты должны быть:

— средства отображения, обработки, воспроизведения и передачи конфиденциальной информации, в том числе ЭВМ, которые должны защищаться от несанкционированного подключения, побочных электромагнитных излучений, заражения вирусом, электронных закладок, визуального наблюдения, вывода из строя, нарушения режима работы; копировально-множительная техника, защищаемая от визуального наблюдения и побочных электромагнитных излучений во время обработки информации; средства видео- звукозаписывающей и воспроизводящей техники, которые требуют защиты от прослушивания, визуального наблюдения и побочных электромагнитных излучений;