Инженерные и технические средства информационной безопасности

Инженерные и технические средства информационной безопасности.

Статьи по теме
Искать по теме

Защита информации в современных условиях становится все более сложной проблемой, что обусловлено рядом обстоятельств, основными из которых являются:

- массовое распространение средств электронной вычислительной техники (ЭВТ);

- усложнение шифровальных технологий;

- необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн;

- расширяющиеся возможности несанкционированных действий над информацией.

Кроме того, в настоящее время получили широкое распространение средства и методы несанкционированного и негласного добывания информации. Они находят все большее применение не только в деятельности государственных правоохранительных органов, но и в деятельности разного рода преступных группировок.

Необходимо помнить, что естественные каналы утечки информации образуются спонтанно, в силу специфических обстоятельств, сложившихся на объекте защиты.

Что касается искусственных каналов утечки информации, то они создаются преднамеренно с применением активных методов и способов получения информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести незаконное подключение к каналам, проводам и линиям связи, высокочастотное навязывание и облучение, установка в технических средствах и помещениях микрофонов и телефонных закладных устройств, а также несанкционированный доступ к информации, обрабатываемой в автоматизированных системах (АС) и т.д.

Поэтому особую роль и место в деятельности по защите информации занимают мероприятия по созданию комплексной защиты, учитывающие угрозы национальной и международной безопасности и стабильности.

Казалось бы, на первый взгляд, ничего нового в этом нет. Требуются лишь известные усилия соответствующих органов, сил и средств, а также их соответствующее обеспечение всем необходимым.

Вместе с тем, проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицит возможностей.

Описание информационных потоков организации

Информационная безопасность играет в банковском секторе не просто важную, а поистине ключевую роль. С этим параметром напрямую связаны репутационные и финансовые риски, от него, в конечном счете, зависит судьба любого финансового бизнеса.

Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.

Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).

Информационный поток – совокупность информации, минимально необходимая для осуществления работы банка.

Банковские информационные потоки можно разделить по типам информации:

Структурированные потоки, в которых выделяются поля, имеющие тип и размерность, такого рода потокам относятся:

- платежные поручения;

- банковские выписки;

- обязательные формы отчетности.

Неструктурированные потоки, в которых информационные единицы нельзя подразделить на отдельные поля заданного типа и размерности, такого рода потокам относятся:

- стратегические планы работы;

- нормативные документы;

- текущая переписка;

Смешанные потоки, т.е. такие, в которых часть информационной единицы имеет структуру, а часть не структурирована и должна храниться и обрабатываться как единое целое, такого рода документам относятся:

- договора на обслуживание;

- кредитные договора;

- отчеты банка о деятельности.

В банке выделяются следующие целевые блоки информационных потоков, направленные для:

- Организации работы правления;

- Обеспечения работы финансовых служб;

- Обеспечения работы с клиентами;

- Создание юридического обеспечения;

- Организации сбора информации.

В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных – главным капиталом многих компаний, автоматизированная система безопасности прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, являющихся хранителями весьма конфиденциальной информации о клиентах и бизнес которых построен на непрерывной обработке электронных данных.

В общем случае, автоматизированная система безопасности банковской информационной системы должна строиться по иерархическому принципу.

Автоматизированная система безопасности должна обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам:

- Надежность – система в целом должна обладать, продолжать, функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа;

- Масштабируемость – система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов;

- Открытость – система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом;

- Совместимость – поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов.

- Унифицированность (однородность) – компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.

Анализ возможных угроз

Угроза безопасности – потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба (защищаемому ресурсу) Банка.

Угрозы можно классифицировать по различным основаниям и измерять в количественных параметрах.

Возможны следующие типы угроз:

- Экономические;

- Социальные;

- Правовые;

- Организационные;

- Информационные;

- Экологические;

- Технические;

- Криминальные.

Носителями угроз безопасности информации в банке являются источники угроз. Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации). Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации – внутренние источники, так и вне ее – внешние источники.

Деление источников на субъективные и объективные оправдано исходя из того, что субъективные уязвимости зависят от действий сотрудников и в основном, устраняются организационными и программно-аппаратными методами. А объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации банка.

А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.

Все источники угроз безопасности информации можно разделить на три основные группы:

- Обусловленные действиями субъекта (антропогенные источники угроз);

- Обусловленные техническими средствами (техногенные источники угрозы);

- Обусловленные стихийными источниками.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорить о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты информации банка, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации банка.

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако последствия, вызванные такой деятельностью, вышли из-под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы:

- пожары;

- землетрясения;

- наводнения;

- ураганы;

- различные непредвиденные обстоятельства;

- необъяснимые явления;

- другие форс-мажорные обстоятельства.

Внешние источники угроз

Чаще всего к возникновению значительного ущерба приводят злонамеренные или ошибочные действия людей, а техногенные источники, как правило, выступают в качестве предпосылки.

1) Хакеры и криминальные структуры.

Популярность такого источника угроз, как хакеры, к сожалению, активно поддерживается средствами массовой информации.

Важный мотив действий хакера – материальная выгода. Особенно часто совершаются попытки кражи номеров кредитных карт, либо конфиденциальной информации с последующим шантажом с целью вымогательства. Сюда же можно отнести случаи взлома финансовых систем или мошенничества.

Реальная квалификация большинства хакеров ниже, чем у профессиональных программистов. Иногда попытки злоупотреблений совершаются лицами с преступными наклонностями, совсем не обладающими специальными знаниями. Но даже если вас очень впечатлили навыки компьютерного преступника, не рекомендуется принимать его на работу ввиду наличия деструктивных наклонностей. Взлом и построение информационных систем банка – далеко не одно и то же, а "бомба" внутри организации гораздо опаснее, чем снаружи.

Практика показывает, что в большинстве случаев хакеры, представляющие реальную опасность, работают по заказу и под контролем организованных криминальных структур.

2) Недобросовестные партнёры и конкуренты:

В качестве источника информации недобросовестные партнёры и конкуренты используют Web-сайты, СМИ, материалы публичных выступлений. Для сбора информации в глобальной сети всё чаще привлекаются хакеры.

Но самым опасным для компании источником утечки конфиденциальной информации являются ее собственные сотрудники.

Конкуренты могут получать информацию в ходе беседы после выступлений и на специально организованных переговорах. При соответствующей подготовке недоброжелатели могут эффективно использовать современные психотехнологии, эксплуатировать желание субъекта показать себя влиятельным, осведомлённым, компетентным, использовать вредные привычки и скрытые потребности.

В первую очередь объектом воздействия становятся менеджеры и высококвалифицированные специалисты, так как именно они осведомлены в наибольшей степени.

Как лица, обладающие большими организационными полномочиями, наибольшую потенциальную угрозу для информационных ресурсов банка представляют менеджеры. Например, к потерям могут привести распоряжения предоставить пользователю неоправданно высокие права, реализовать в информационной системе небезопасный, но удобный функционал. Иногда информационные угрозы возникают вследствие неудовлетворительного выполнения руководителями контролирующих функций. Известны случаи, когда продавалось оборудование, с дисков которого не удалялась конфиденциальная информация компании и партнёров.

Значительной угрозой информационной безопасности компании является низкая квалификация персонала, недостаточная для корректной работы с корпоративной информационной системой банка. Особо опасными являются некомпетентные сотрудники, выдающие себя за грамотных пользователей, или считающие себя таковыми.

Во многих банках отсутствует контроль над установкой на рабочих станциях программного обеспечения. Не понимая возможных последствий, сотрудник может установить на своём рабочем месте заинтересовавшую его программу или "патч", существенно снизив эффективность усилий по обеспечению корпоративной сетевой безопасности. Подобная угроза возникает и в случае подключения находящейся в локальной сети рабочей станции Интернет через модем или мобильный телефон, оснащённый функцией цифровой связи.

В ряде случаев проблемы безопасности связаны с тем, что легальные пользователи используют необходимую для работы информацию не по назначению. Причиной может быть злой умысел, халатность, непонимание последствий распространения доступных им сведений. Очевидно, что данная проблема неразрешима только технологическими мерами.

Последствием воздействия угроз является нарушение безопасности системы банка. Рассмотрим эти последствия угроз, а также перечень и сущность различных видов угрожающих воздействий, которые являются причинами дискредитации системы защиты информационно-вычислительной системы банка.

Анализ представленных угроз и последствий их воздействия показывает, что конечными их целями являются: информация о данных клиентах банка, циркулирующая в информационно-вычислительной сети или системе банка – чтение и искажение (разрушение) информации и/или нарушение процедур информационного обмена; работоспособность самой информационно-вычислительной сети или системы безопасности банка – чтение и искажение (разрушение) управляющей информации и/или нарушение процедур управления компонентами или системой безопасности банка.

Технические средства защиты информации

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз – главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

- Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

- Информация в банковских системах затрагивает интересы большого количества людей и организаций – клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

- Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

- Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

- Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Инженерно-технический элемент защиты информации

Инженерно-технический элемент предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. По функциональному назначению средства инженерно-технической защиты можно условно разделить:

I. Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (доступу) злоумышленников на объекты защиты (территорию, в здание и помещения) и материальными носителями. Например, заборы, стальные двери, кодовые замки, сейфы и т.д.:

1) Наибольшую стойкость имеют электронные замки с ключами в виде электронных карточек типа Touch Memory (iButton) (рисунок 1). Электронный идентификатор этого вида представляет микросхему, размещенную в герметичном корпусе из нержавеющей стали. Корпус имеет цилиндрическую форму диаметром 16 мм и высотой 3-5 мм. Такой корпус устойчив к воздействию агрессивных сред, к влаге, грязи и механическим нагрузкам.

- Характеристики электронных замков приведены в таблице 1.

Окна, особенно на 1-2 этажах зданий, являются слабым местом в системе инженерной защиты. Их укрепляют двумя основными способами:

- применением специальных, устойчивых к механическим ударам стекол;

- установлением в оконных проемах металлических решеток.

Рисунок 1- Электронный замок Touch Memory (iButton)

Таблица 1- Характеристики электронных замков

Тип изделия производитель

Способ идентификации

Конструктивное исполнение

Дополнительные функции

"Визит-2А" (НПФ "Модус")

Набор кода на клавиатуре за ограниченное время

Защищенный корпус с символьной клавиатурой

Несколько рубежей защиты кода

"Тантал" (НПФ "Модус")

Ввод кода с помощью специальной карточки

Защищенный корпус

КС-4001 (РТК "КиС Электроника")

"Touch Memory"

Моноблочный ригельный замок, считыватель контактный

Различные режимы работы,  сигнал "Тревога" при механическом и тепловом воздействии

"Классик" (НПО Спецтехника "Классик")

Карточка со штрихкодом

Раздельно:

считыватель щелевого типа, блок обработки, тюк

Дистанционное управление, аварийное освещение, двухстороннее ограничение доступа

 "Полонез-2А" (Ассоциация "Конфидент")

"Touch Memory"

Раздельно: считыватель, блок обработки. ригельный замок

Аварийное вскрытие Замка механическим ключом, дистанционное управление

ЭССД-2 (АО "Пирометр")

Бесконтактная карта

Раздельно: считыватель щелевого типа, блок обработки,

замокK

Тревожная сигнализация при попытках подбора кода-вскрытия помещения и элементов замка

2) Извещатели разбития стекла

Датчики разбития стекла, или извещатели разбития стекла – устройства, предназначенные для обнаружения повреждения стекол на охраняемом объекте и генерации сигнала тревоги. Фактически, датчики разбития стекла предотвращают несанкционированные проникновения в зону ограниченного доступа через оконные проемы, за счет предупреждения охраны о механическом воздействии на стекла помещения.

Одним из основных показателей классификации извещателей разбития стекла является принцип их действия. Такие датчики могут работать на обнаружение:

- механического нарушения целостности стекла (электроконтактные извещатели);

- механических колебаний, характерных для повреждения стекла (ударно-контактные, пьезоэлектрические извещатели);

- звуковых колебаний, характерных для повреждения стекла (акустические датчики).

Пример такого датчика: извещатель охранный Астра-С (ИЩ329-5):

Конструктивно датчик разбития стекла Астра-С выполнен в виде блока со съемной крышкой, закрывающей доступ к колодке внешних подключений и элементам крепления. Внутри находится печатная плата с расположенными на ней радиоэлементами (рисунок 2):

Инженерные и технические средства информационной безопасности

Рисунок 2 – Структура охранного извещателя Астра-С (ИЩ329-5)

Чувствительный элемент датчика разбития стекла Астра-С представляет собой конденсаторный электретный микрофон со встроенным усилителем. Микрофон преобразует звуковые колебания в электрические сигналы, которые усиливаются и поступают на микроконтроллер, который производит обработку полученного сигнала и, в соответствии с заранее выбранным алгоритмом работы, принимает решение о наличии разрушения стекла или низкочастотных и высокочастотных помех, формируя извещения о тревоге (рисунок 3).

Инженерные и технические средства информационной безопасности

Рисунок 3 – Извещатель охранный Астра-С (ИЩ329-5)

II. Средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализации, информирования и идентификации):

a) Средства инженерно-технической укрепленности объекта предназначены для защиты объекта и находящихся на нем людей, путем создания физической преграды несанкционированным действиям нарушителя в отношении объекта и его персонала. К средствам инженерно-технической укрепленности относятся:

- инженерные средства и сооружения для ограждения периметра, зон и отдельных участков территории; мест прохода и проезда на нее;

- стены, перекрытия и перегородки зданий сооружений и помещений;

- средства защиты оконных проемов зданий и сооружений;

- средства защиты дверных проемов зданий, сооружений и помещений;

- замки и запирающие устройства.

Уязвимые места объекта оснащаются средствами охранной сигнализации и/или средствами охранного телевидения, предназначенными для обнаружения попыток несанкционированного проникновения. Средства инженерно-технической укрепленности должны удовлетворять следующим требованиям:

- обладать прочностью и долговечностью;

- затруднять нарушителю несанкционированный проход через рубеж доступа;

- ограничивать использование нарушителем подручных средств;

- обеспечивать достаточную пропускную способность при санкционированном или аварийном доступе;

- не оказывать влияния на работу технических средств охраны;

- способствовать выполнению сотрудниками службы обеспечения безопасности объекта своих обязанностей.

Выбор средств инженерно-технической укрепленности для конкретного объекта определяется в техническом задании на проектирование системы обеспечения противокриминальной защиты объектов, а также защиты объекта с учетом требований нормативных документов ведомственной принадлежности.

Сотрудники подразделений службы безопасности в целях обеспечения защиты сведений, составляющих коммерческую тайну, имеют право:

- требовать от всех сотрудников предприятия, партнеров, клиентов строгого и неукоснительного выполнения требований нормативных документов или договорных обязательств по защите коммерческой тайны;

- вносить предложения по совершенствованию правовых, организационных и инженерно-технических мероприятий по защите коммерческой тайны.

Сотрудники службы безопасности обязаны:

- осуществлять контроль, за соблюдением "инструкции по защите коммерческой тайны";

- докладывать руководству о фактах нарушения требований нормативных документов по защите коммерческой тайны и других действий, могущих привести к утечке конфиденциальной информации или утрате документов или изделий;

- не допускать неправомерного ознакомления с документами и материалами с грифом "Коммерческая тайна" посторонних лиц.

Сотрудники службы безопасности несут ответственность за личное нарушение безопасности коммерческой тайны и за не использование своих прав при выполнении функциональных обязанностей по защите конфиденциальных сведений сотрудниками предприятия.

III. Средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.):

Основной способ обнаружения закладных устройств – поиск источников излучения с помощью специальных приемных устройств. Следовательно, использование постоянно работающих мощных закладок нерационально. Разработчики стремятся использовать различные способы повышения скрытности работы закладных устройств: ограничение времени передачи, снижение мощности передатчика, применение специальных видов модуляции. Для снижения вероятности обнаружения закладных устройств стараются снизить степень соответствия между передаваемым сигналом и акустическим фоном помещения. Для этого применяют различные способы преобразования передаваемой информации, например, аналоговое скремблирование речевого сигнала или преобразование сигнала с последующим шифрованием в цифровой вид;

Для исключения несанкционированного распространения (утечки) акустической информации применяют различные поисковые средства для обнаружения и обезвреживания закладных устройств либо средства активной защиты: специальные генераторы шума. Наиболее широко применяются специальные поисковые радиоприемные устройства для обнаружения радиопередающих закладных устройств.

Детектор поля (индикатор поля) представляет собой приемник прямого усиления (рисунок 4,5). Диапазон от 20 МГц до 1000 МГц.

Инженерные и технические средства информационной безопасности

Рисунок 4 – Схема детектора поля

Инженерные и технические средства информационной безопасности

Рисунок 5 – Детектор поля ST 167 "БЕТТА"

IV. Средства противопожарной охраны:

В процессе обзора современных автоматизированных систем управления на российском рынке выяснилось, что система "Орион" наиболее подходит к обеспечению защиты информации на данном объекте. Эта система имеет следующие технические и качественные особенности:

1) Технические особенности:

- охранная сигнализация:

а) независимый контроль в одном шлейфе контакта тревоги и контакта блокировки датчика;

б) отсутствие ограничений на количество зон в разделе;

в) напряжение во всех шлейфах – 24 В;

г) автоматический сброс тревоги извещателей с питанием по шлейфу;

д) разнообразные способы взятия/снятия под охрану: с ПЭВМ, с пульта "С2000", с клавиатуры "С2000-К", с помощью ключа Touch Memory, с помощью Proximity-карты (рисунок 6):

Инженерные и технические средства информационной безопасности

Рисунок 6 – Proximity-карта EM Marine

- пожарная сигнализация:

а) распознавание двойного срабатывания извещателей в одном шлейфе;

б) автоматический сброс извещателей, питаемых по шлейфу;

в) подключение адресных извещателей;

г) программирование сценариев для управления АСПТ и оповещения.

- управление видеонаблюдением:

а) автоматическое и ручное управления системами видеонаблюдения через релейные модули;

б) реагирование системы на самые разнообразные события: от тревоги и предоставления доступа до удаленного управления постановкой на охрану.

- управление инженерными системами зданий:

а) использование шлейфов сигнализации;

б) для измерения значений аналоговых параметров (температура, давление, влажность и т.п.);

в) программирование сценариев для управления инженерными системами зданий.

V. Средства защиты помещений от визуальных способов технической разведки:

Автоматизированная система объекта относится к классу защищенности 1Г. Для обеспечения программно-аппаратной защиты используется система "Secret Net" (рисунок 7):

Инженерные и технические средства информационной безопасности

Рисунок 7 – Плата Secret Net Card

SecretNet является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями регулирующих документов:

- №98-ФЗ ("о коммерческой тайне")

- №152-ФЗ ("о персональных данных")

- №5485-1-ФЗ ("о государственной тайне")

- СТО БР (Стандарт Банка России)

Основные возможности комплекса "Secret Net":

- поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;

- разграничение доступа пользователей к ресурсам компьютера с помощью механизмов дискретного и мандатного управления доступом;

- создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ;

- управление временем работы всех пользователей;

- регистрация действий пользователя в системном журнале;

- защита компьютера от проникновения и размножения вредоносных программ;

- контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;

- централизованный мониторинг состояния безопасности информационной системы и управления защитными механизмами;

- криптографическая защита данных.

Реализация инженерно-технического элемента защиты информации

К инженерно-техническим мерам относятся меры, реализуемые путем установки новых или модернизации используемых инженерных и технических средств защиты информации. Основу организационных мер инженерно-технической зашиты информации составляют меры, определяющие порядок использования этих средств.

Организационные меры инженерно-технической защиты информации включают в себя, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом.

Регламентация предусматривает:

- установление границ контролируемых и охраняемых зон:

Постоянная контролируемая зона – это зона, границы которой устанавливаются на длительный срок.

Временная зона – это зона, устанавливаемая для проведения закрытых мероприятий разового характера.

Согласно требованиям НДТЗИ должна обеспечиваться контролируемая зона следующих размеров:

1) Первой категории универсального объекта требуется 50 метров контролируемой зоны.

2) Второй категории объекта требуется 30 метров.

3) Третьей категории объектов требуется 15 метров контролируемой зоны.

- определение режимов работы технических средств, в том числе сбора, обработки и хранения защищаемой информации на ПЭВМ, передачи документов. Организационные вопросы, влияющие на изменение режима работы технических средств во время проведения передач, записей и других видов работ, решаются ответственными представителями телеорганизации совместно с ответственным представителем редакционно-творческих и технических служб.

Управление доступом к информации включает следующие мероприятия:

- идентификацию лиц и обращений;

- проверку полномочий лиц и обращений;

- регистрацию обращений к защищаемой информации;

- реагирование на обращения к информации.

Идентификация пользователей, сотрудников, посетителей, обращений к каналам телекоммуникаций проводится с целью их надежного опознавания.

Следующие способы идентификации:

- носимые (карточки, ключи).

- знания (пароль, коды, способ использования).

- в некоторых помещениях биометрические идентификаторы (цифровое изображение лица (3D и 2D), отпечаток пальца и изображение радужной оболочки глаза).

С помощью биометрических систем безопасности банк ограничивает или разрешает доступ:

- для сотрудников – в служебные помещения банка (касса, серверная, бухгалтерия, кабинеты руководства); в депозитарий для клиентов;

- для клиента – к своей ячейке;

- для особо важных клиентов – в ряд специальных помещений.

При этом биометрия решает следующие задачи:

- существенно понижает вероятность проникновения нежелательной личности в зону с ограниченным доступом;

- создает психологический барьер для потенциального злоумышленника;

- документально подтверждает факт прохода в охраняемые помещения каждой личности.

Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к информации уровень полномочий обращения не может быть ниже разрешенного. С целью обеспечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.

Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

Меры контроля, также как и защиты, представляют совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по защите информации.

Технические меры контроля проводятся с использованием технических средств радио- и электроизмерений, физического анализа и обеспечивают проверку:

- напряженности полей с информацией на границах контролируемой зоны;

- уровней опасных сигналов и помех в проводах и экранах кабелей, выходящих за пределы контролируемой зоны;

- степени зашумления генераторами помех структурных звуков в ограждениях;

Одним из основных требований к подсистеме видеоконтроля банка является работа с повышенными разрешениями (768х288 и 768х576) и скоростями записи / видео отображения от 3-6 FPS до 25 FPS. Инспектор+ позволяет распределить приоритеты между видеоканалами таким образом, что в момент тревоги тревожной камере выделяется максимальный ресурс по скорости записи, который даже в режиме мультиплексирования составляет до 10-12,5 FPS (без мультиплексирования – 25 FPS). Помимо качественного видеоконтроля "Инспектор+" (рисунок 8) осуществляет синхронно с видеоконтролем аудиоконтроль. Наличие в системе синхронного звука на порядок повышает информативность отображаемого и записываемого видеоряда.

Инженерные и технические средства информационной безопасности

Рисунок 8 – Цифровой сетевой видеосервер

Система безопасности филиальной сети банка объединена в единый комплекс не только по оптоволоконным сетям, но даже по низкоскоростным сетям связи, таким как X25, коммутируемым телефонным линиям. При этом система безопасности функционирует как автономная система.

Объединение сети банка в единое пространство безопасности в технологии "Инспектор+" происходит через видеошлюз, который призван сопрягать высокоскоростные характеристики локальных сетей с медленной работой межсетевых соединений.

Помимо вида шлюза в арсенале технологии "Инспектор+" содержатся и другие полезные модули.

Модуль резервного копирования, или иначе – модуль видеоархивации – это объект, управляющий процессами архивации видеоданных. Модуль видеоархивации позволяет создавать централизованный архив видеоданных. Как правило, данная функция используется при решении задач долговременного хранения большого объема информации или информации, имеющей стратегическое значение.

Модуль телеметрического управления используется для дистанционного управления камерами, установленными на двухкоординатных поворотных устройствах и снабженными вариообъективами с сервоприводом. Использоваться различные приемники телеметрического управления. Управление всеми камерами может осуществляться как с любой клавиатуры, так и посредством управляющих окон на экране компьютера.

Система позволяет передавать видеоряд о тревожных событиях на пост охраны сети банкоматов в трех различных режимах:

- удаленный видеоконтроль в режиме on-line;

- немедленной реакции (сразу после происшествия или сразу после окончания обслуживания клиента);

- по расписанию (как правило, передача видеоархива за прошедший день в ночное время).

Системы охраны по периметру, берут под охрану не только помещение, но и прилегающую территорию.

Подключение пультов-концентраторов к компьютеру, позволяет наблюдать за контролируемым объектом в целом на схематическом изображении. Дополнительно появляется возможность управлять всей сигнализацией с клавиатуры, а также управлять интегрированной системой контроля доступа и видеонаблюдения.

Система охранно-пожарной сигнализации – составляющая интегрированного охранного комплекса, обеспечивающая пожарную безопасность на объекте, позволяющая выявлять, ликвидировать и локализировать источники возгорания.

Программно-аппаратный элемент защиты информации и его реализация

Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Он включает в себя:

- автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;

- программы защиты информации, работающие в комплексе с программами обработки информации;

- программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.);

Один из важных элементов системы защиты информации – это обеспечение бесперебойного питания всех электронно-технических устройств системы.

Для реализации программного элемента защиты информации используется комплексная система защиты информации "Панцирь-К".

Комплексная система защиты информации (КСЗИ) "Панцирь-К" (рисунок 9) для ОС Windows 2000/XP/2003 – программный комплекс защиты конфиденциальной информации и персональных данных, предназначенная для защиты, как автономных компьютеров, так и компьютеров в составе сети предприятия.

Рисунок 9 – Комплексная система защиты "Панцирь-К"

КСЗИ реализована программно. Одна и та же клиентская часть установлена на различные ОС семейства Windows (XP/2003/2008).

Реализованные подходы к построению обеспечивают высокую надежность функционирования КСЗИ и независимость от установленных обновлений (path-ей) ОС и приложений – основные компоненты КСЗИ – системные драйверы протестированы с использованием соответствующих средств отладки производителя ОС. Все механизмы защиты реализованы собственными средствами, не использован ни один встроенный в ОС механизм защиты, многие из которых обладают серьезными архитектурными недостатками.

КСЗИ "Панцирь-К" собственными средствами реализует все требования, предъявляемые к защите конфиденциальной информации от несанкционированного доступа. КСЗИ сертифицирована ФСТЭК по 5 классу СВТ (сертификат №1144, ограничения по использованию в сертификате отсутствуют) и выполняет все требования к классу защищенности 1Г для АС.

КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве). КСЗИ также может использоваться для:

- эффективного противодействия вирусным атакам;

- вредоносным, шпионским и любым иным деструктивным программам.

Атакам на ошибки программирования в системном и прикладном ПО; содержит в своем составе, как механизмы защиты от несанкционированного доступа, так и механизмы криптографической защиты данных.

В части криптографической защиты конфиденциальности информации в КСЗИ реализована возможность шифрования данных (на жестком диске и на отчуждаемых накопителях, локальных и разделенных в сети), при этом обеспечивается шифрование "на лету" (прозрачно для пользователя) любого заданного администратором файлового объекта (диска, папки, файла). Реализованная ключевая политика позволяет защитить данные от раскрытия даже при хищении компьютера и при наличии ключа шифрования, позволяет осуществлять коллективный доступ к локальным и разделенным в сети зашифрованным объектам.

Для шифрования данных в КСЗИ интегрированы возможности использования сертифицированных криптопровайдеров "Signal-COM CSP" и "КриптоПро CSP 3.0 (3.6 для ОС Vista)" (соответствующих требованиям ФСБ РФ к шифрованию конфиденциальной информации по классам "КС1" и "КС2").

Мероприятия по технической защите информации

КСЗИ по технической защите информации. Система предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе корпоративной сети. КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС.

КСЗИ "Панцирь-К" предоставляет следующие возможности:

- Использование аппаратных решений для авторизации пользователей при входе в систему и при доступе к критичным файловым объектам (смарт-карта, Aladdin eToken, ruToken, iButton);

- Разграничения и аудит работы пользователей с локальными и сетевыми ресурсами (файловые ресурсы – FAT/NTFS/DFS/любые монтируемые ФС), ресурсы реестра ОС, сменные носители, принтеры, сервисы олицетворения, буфер обмена и т.д.);

- Разграничения и аудит работы программ (приложений) с локальными и сетевыми ресурсами;

- Разграничения и аудит работы пользователей с устройствами с использованием их серийных номеров (Flash-диски, CD/DVD, USB, WiFi, Bluetooth, IrDA, IEEE1394/ FireWire, PCMCIA, COM/LPT и т.д.);

- Разграничения и аудит работы пользователей и приложений с локальными и глобальными сетями (ЛВС, Internet/Intranet) – персональный Firewall;

- Шифрование данных "на лету" (3DES, AES, DES, ГОСТ 28147-89), включая сетевые ресурсы, скрытие, разграничение доступа, а также гарантированное удаление остаточной информации, реализации коллективного доступа к зашифрованным данным;

- Контроль рабочего времени пользователя, в том числе, средствами компьютерного видео наблюдения;

Механизмы формирования объекта защиты

К механизмам формирования объекта защиты в КСЗИ относятся:

- Механизм обеспечения замкнутости программной среды. В КСЗИ могут задаваться папки (это каталоги Windows (для разрешения запуска системных процессов), Program Files и др.), из которых разрешен запуск программ (в них администратор должен штатными средствами ОС инсталлировать приложения), и которые запрещено модифицировать – какая-либо несанкционированная модификация этих папок предотвращается, даже при наличии у злоумышленника системных прав. В итоге, принципиально предотвращается возможность запуска любой деструктивной программы (вируса, трояна, шпионской программы, эксплойта и др.), причем при попытке их запуска, как удаленно, так и локально – инсайдером. Весь компьютер может быть "заражен" подобными программами, но запустить их при этом невозможно.

- Механизм управления подключением (монтированием) к системе устройств. Этот механизм призван обеспечить жестко заданный набор устройств, подключение которых разрешается к системе. Только при реализации подобного механизма можно однозначно описать объект защиты (автономный он или сетевой, с возможностью или без использования отчуждаемых накопителей и каких, и т.д., и т.п.). Важен он и в том смысле, что к устройствам, которые разрешено монтировать к системе, должны разграничиваться права доступа – и без реализации данного механизма потребуется разграничивать доступ ко всем устройствам (что, попросту, глупо). КСЗИ позволяет разрешить монтирование к системе только необходимых для работы пользователя устройств (в отличие от ОС Windows XP, в КСЗИ реализована разрешительная политика управления подключением устройств – это единственно возможное корректное решение задачи защиты), причем с учетом серийных номеров их производителей (например, два Flash – устройства могут быть различимы между собою – монтировать можно разрешить не просто устройства, а конкретные устройства, идентифицируемые их серийными номерами).

Решение механизмами защиты КСЗИ

Эффективность средства защиты обусловливается тем, в какой мере им могут решаться ключевые задачи защиты информации, по сути, это является одним из важнейших потребительских свойств средства защиты.

- Для каждого пользователя создается число учетных записей по числу ролей;

- Для каждой учетной записи определяются файловые объекты (папки), в которых будет храниться информация, обрабатываемая в рамках реализации роли;

- Механизмами разграничения доступа к ресурсам, монтирование которых разрешено к системе (файловые объекты, локальные и разделенные в сети, на жестком диске и на внешних накопителях; сетевые ресурсы, принтеры и т.д.), разграничиваются права доступа между учетными записями, применительно к реализации ролевой модели;

- Изолируется возможность обмена информацией между учетными записями различных ролей (в КСЗИ реализуется механизмом разделения между учетными записями файловых объектов, не разделяемых системой и приложениями, механизмом разделения буфера обмена – в ОС Windows буфер обмена принадлежит не учетной записи, а "рабочему столу" – не разделяется системой при многопользовательском режиме, например, при запуске программы по правой кнопке "мыши" под другой учетной записью).

Литература

1) Аверченков В. И. Аудит информационной безопасности: учеб. пособие для вузов / В.И. Аверченков. – Брянск: БГТУ, 2015.

2) Белов Е.Б., В.П. Лось Основы информационной безопасности. / Москва, Горячая линия – Телеком, 2013.

3) Васильевский А. Защита коммерческой тайны: организационные и юридические аспекты

4) Вихорев С.В. Информационная Безопасность Предприятий. Москва, 2015.

5) Гайкович В., Першин А. Безопасность электронных банковских систем. – М.,2011.

6) Гайкович Ю.В., Першин А.С. Безопасность электронных банковских систем. – М: Единая Европа, 2014 г.

7) Груздев С. "16 вариантов русской защиты" /КомпьютерПресс №392

8) Груздев С. Электронные ключи. – М. 2014.

9) Демин В.С. и др. Автоматизированные банковские системы. – М: Менатеп-Информ, 2013 г.

10) Карасик И. Программные и аппаратные средства защиты информации для персональных компьютеров / /КомпьютерПресс №3, 2011.

11) Крысин В.А. Безопасность предпринимательской деятельности. – М:Финансы и статистика, 2011 г.

12) Лексенцев, А.И. Понятие и назначение комплексной системы защиты информации/ А.И.Алексенцев// Вопросы защиты информации.- 2015.- № 2.

13) Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. – М: НИТ, 2011 г.

14) Мафтик С. Механизмы защиты в сетях ЭВМ. /пер. с англ. М.: МИР, 2015.

15) Мельников Ю.Н., Иванов Д.Ю. Многоуровневая безопасность в корпоративных сетях. Международный форум информатизации – 2011 Доклады международной конференции "Информационные средства и технологии". 17-19 октября 2011 г. В 3-х тт. Т. 2. – М.: Издательство "Станкин", 2011г., – 245 с.

16) Петров В.А., Пискарев С.А., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. – М., 2011.

17) Семененко В.А. Информационная безопасность. Москва, 2014.

18) Спесивцев А.В. и др. Защита информации в персональных ЭВМ. – М.: Радио и связь, 2012.

19) Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и методические основы / Под ред. В.А. Садовничего и В.П. Шерстюка. – М.: МЦНМО, 2012.

20) Титоренко Г.А. и др. Компьютеризация банковской деятельности. – М: Финстатинформ, 2013 г.

21) Торокин А.А. Основы инженерно-технической защиты информации. – М.: Издательство "Ось-89".2013.

22) Федеральный закон РФ "О персональных данных"