Классификация мер по защите информации в соответствии с ст. 16 ?. 1 Федерального закона № 149-ФЗ представляет собой сочетание правовых, организационных и технических мер. При широкой трактовке понятия защита информации, которое в этом случае правильнее заменить на сочетание информационная безопасность, в перечень мер защиты должны быть включены и физические меры защиты.
Законодательные меры
Законодательные меры занимают около 5% объема средств, расходуемых на защиту информации. Это меры, но разработке и практическому применению законов, постановлений, инструкций и правил эксплуатации, контроля как аппаратного, так и программного обеспечения компьютерных и информационных систем, включая линии связи, а также все объекты инфраструктуры, обеспечивающие доступ к этим системам. В России деятельность в информационной сфере регулируют более 1000 нормативных документов. Уголовное преследование за преступления в этой сфере осуществляется в соответствии с гл. 28 Уголовного кодекса РФ «Преступления в сфере компьютерной информации», содержащей три статьи.
- 1. Статья 272 — несанкционированный доступ к информации. Несанкционированный доступ к информации — нарушение установленных правил разграничения доступа с использованием штатных средств, предоставляемых ресурсами вычислительной техники и автоматизированными системами (сетями).
Отметим, что при решении вопроса о санкционированности доступа к конкретной информации необходимо наличие документа об установлении правил разграничения доступа, если эти правила не прописаны законодательно.
- 2. Статья 273 — создание, использование и распространение (включая продажу зараженных носителей) вредоносных программ для ЭВМ, хотя перечень и признаки их законодательно не закреплены. Вредоносная программа — специально созданная или измененная существующая программа, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети.
- 3. Статья 274 — нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Это — нарушение работы программ, баз данных, выдача искаженной информации, а также нештатное функционирование аппаратных средств и периферийных устройств; нарушение нормального функционирования сети, прекращение функционирования автоматизированной информационной систем в установленном режиме; сбой в обработке компьютерной информации.
Уголовное преследование за незаконные действия с общедоступной информацией осуществляется в соответствии со ст. 146 «Нарушение авторских и смежных прав» и 147 «Нарушение изобретательских и патентных прав» гл. 19 «Преступления против конституционных прав и свобод человека и гражданина» Уголовного кодекса РФ.
Информация с ограниченным правом доступа
... как временная мера; 6) в отношении информации, полученной в результате прослушивания, применяется правило конфиденциальности; ... учреждениям и организациям; 4) о фактах нарушения прав и свобод человека и ... выше изложенные правила по работе с персональными данными, права работника и ограничения на предоставление ... сведений, которые не подлежат отнесению к государственной тайне и засекречиванию: 1) ...
Ответственность за соблюдением сотрудниками организации или компании законодательных мер по защите информации лежит на каждом сотруднике организации или компании, а контроль за их соблюдением — на руководителе.
Физические меры
Физические меры (доля 15−20%) обеспечивают ограничение физического доступа к компьютеру, линии связи, телекоммуникационному оборудованию и контроль доступа. Физические меры защиты направлены на управление доступом физических лиц, автомобилей, грузов в охраняемую зону, а также на противодействие средствам агентурной и технической разведки. Эти меры включают: охрану периметра, территории, помещений; визуальное и видеонаблюдение; опознавание людей и грузов; идентификацию техники; сигнализацию и блокировку; ограничение физического доступа в помещения.
Выделяют три основные макрофункции физической защиты (рис. 11.2):
-
- внешнюю защиту;
- опознавание;
- внутреннюю защиту.
Перечисленные средства служат для обнаружения угроз и оповещения сотрудников охраны или персонала объекта о появлении и нарастании угроз.
Из 12 разбитых по функциональному признаку групп более детально рассмотрим четыре группы, использующие в своей технической реализации собственные компьютерные средства либо пригодные для защиты самих рабочих помещений с компьютерами.
Охранная сигнализация.
Датчики классифицируют по следующим группам:
-
- объемные, позволяющие контролировать пространство помещений, например внутри компьютерных классов;
- линейные, или поверхностные, для контроля периметров территорий, зданий, стен, проемов (окна, двери);
- локальные, или точечные, для контроля состояния отдельных элементов (закрыто окно или дверь).
Датчики устанавливаются как открыто, так и скрытно. Наиболее распространены:
- выключатели (размыкатели), механически или магнитным способом замыкающие (размыкающие) управляю;
- щую электрическую цепь при появлении нарушителя. Бывают напольные, настенные, на касание;
- инфраакустические, устанавливаемые на металлические ограждения для улавливания низкочастотных колебаний, возникающих во время их преодоления;
- датчики электрического ноля, состоящие из излучателя и нескольких приемников. Выполняются в виде натянутых между столбами проводов-кабелей. Изменение поля при появлении нарушителя и фиксируется датчиком;
- инфракрасные датчики (излучатель — диод либо лазер), используемые для сканирования поверхностей или объемов помещений. Тепловая «фотография» запоминается и сравнивается с последующей для выявления факта перемещения объекта в защищаемом объеме;
- микроволновые — сверхвысокочастотный передатчик и приемник;
- датчики давления, реагирующие на изменение механической нагрузки на среду, в которой они уложены или установлены;
- магнитные датчики (в виде сетки), реагирующие на металлические предметы, имеющиеся у нарушителя;
- ультразвуковые датчики, реагирующие на звуковые колебания конструкций в области средних частот (до 30- 100 кГц);
- емкостные, реагирующие на изменение электрической емкости между полом помещения и решетчатым внутренним ограждением при появлении инородного объекта.
-
- вероятностью ошибочного допуска «чужого» — ошибка первого рода;
- вероятностью ошибочного задержания (отказа в допуске) «своего» легального пользователя — ошибка второго рода;
- временем доступа или временем идентификации;
- стоимостью аппаратной и программной частей биометрической системы контроля доступа, включая расходы на обучение персонала, установку, обслуживание и ремонт.
Бо?льшая часть биометрических средств защиты реализована на трех компонентах: сканер (датчик) — преобразователь (сигналы датчика в цифровой код для компьютера) — компьютер (хранитель базы биометрических кодов — характеристик объекта, сравнение с принятой от датчика информацией, принятие решения о допуске объекта или блокировании его доступа).
В качестве уникального биологического кода человека в биометрии используются параметры двух групп.
Поведенческие, основанные на специфике действий человека, — это тембр голоса, подпись, индивидуальная походка, клавиатурный почерк. Главный недостаток поведенческих характеристик — временна? я неустойчивость, т. е. возможность значительного изменения со временем. Это в значительной степени ограничивает применение поведенческих характеристик как средств ограничения доступа. Однако на протяжении относительно короткого временно? го интервала они применимы как идентифицирующие личность средства. Пример — фиксация клавиатурного почерка работающего в процессе осуществления им сетевой атаки и последующий (после задержания злоумышленника) контрольный набор определенного текста желательно на изъятой у него клавиатуре (лучше на его же компьютере) [https:// , 13].
Физиологические, использующие анатомическую уникальность каждого человека, — радужная оболочка глаза, сетчатка глаза, отпечатки пальцев, отпечаток ладони, геометрия кисти руки, геометрия лица, термограмма лица, структура кожи (эпителия) на пальцах на основе ультразвукового цифрового сканирования, форма ушной раковины, трехмерное изображение лица, структура кровеносных сосудов руки, структура ДНК, анализ индивидуальных запахов. Справедливости ради отметим, что бо? льшая часть перечисленных биометрических средств пока не производится в массовых масштабах.
Устройства биометрического контроля начали распространяться в России еще до 2000 г. Однако из-за высокой цены на российских рынках (десятки тысяч долларов за устройство) подобная техника была экзотикой. Сегодня биометрические средства доступны и имеют устойчивый спрос в России. Иная причина — осознание необходимости защиты от преступности у нас в стране. Как показывает опыт, сложность применяемых устройств контроля допуска растет. Раньше в России на режимных предприятиях применялись замки с PIN-кодом, затем появились магнитные пластиковые карты, которые необходимо было провести через специальные устройства считывания, еще позднее — карточки дистанционного считывания. Опыт, в том числе и российский, показывает, что данные средства эффективны только от случайного посетителя и слабы при жестких формах преступности, когда похищаются и пароли входа в информационную систему, и пластиковые карточки, оказывается давление на отдельных сотрудников служб охраны и безопасности.
Уровень современной биометрической защиты весьма высок: он исключает возможность взлома даже в ситуации, когда злоумышленник пытается использовать труп или изъятые органы. Возможность технического взлома базы эталонов или их подмены на этапе идентификации, как правило, исключена: сканер и каналы связи сильно защищены, а компьютер дополнительно изолирован от сети и не имеет даже терминального доступа.
Известная компания Identix, занимающаяся автоматизированным дактилоскопическим оборудованием, прошла регистрацию в 52 странах. Ее серийно выпускаемое оборудование решает следующие идентификационные задачи:
-
- контроль физического доступа в здание, на стоянки автомашин и в другие помещения;
- контроль компьютерных станций (серверов, рабочих мест) и систем телекоммуникаций;
- контроль доступа к сейфам, складам и т. п. ;
- идентификация в электронной коммерции;
- контроль членства в различных организациях и клубах;
- паспортный контроль;
- выдача и контроль виз, лицензий;
- контроль времени посещения;
- контроль транспортных средств;
- идентификация кредитных и смарт-карт.
В табл. 11.1 сопоставлены характеристики промышленных биометрических систем контроля доступа.
Таблица 11.1
Характеристики промышленных биометрических систем контроля доступа
Модель.
Принцип действия.
Вероятность допуска «чужого*, %.
Вероятность ложного задержания «своего», %
Время идентификации, с.
EyeDentify.
Параметры глаза.
0,001.
0,4.
1,5−4,0.
Iriscan.
Параметры зрачка.
0,78.
0,46.
Identix.
Отпечаток пальца.
0,0001.
0,5.
StartekBioMet.
Отпечаток пальца.
0,0001.
Partners Recognition.
Геометрия руки.
0,1.
0,1.
Ограничителем распространения биометрических средств контроля доступа в ряде стран выступает действующее на их территории законодательство. В России действует закон о персональных данных (Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», введен в действие с 26 января 2007 г.).
Подобные законы существуют в других странах, а в некоторых отсутствуют. Статья 11 «Биометрические персональные данные» указанного Закона не содержит исчерпывающего перечня параметров, которые можно отнести к этим данным.
Несомненно, что создание пусть небольших, локальных баз данных, содержащих идентифицирующую гражданина информацию, должно регулироваться законодательно с обязательными мерами ответственности за несанкционированное раскрытие или искажение подобной информации.
Пластиковые карты.
Пластиковая карта представляет собой пластину стандартных размеров (85,6×53,9×0,76 мм), изготовленную из специальной устойчивой к механическим и термическим воздействиям пластмассы. Основная функция пластиковой карты — обеспечение идентификации владельца карты как субъекта системы физического доступа или платежной системы. Па пластиковую карту наносят:
-
- логотип банка-эмитента (выпустившего карту);
- логотип или название платежной системы, обслуживающей карту;
- имя держателя карты;
- номер его счета;
- срок действия.
Могут присутствовать фотография, подпись владельца и другие параметры.
Алфавитно-цифровые данные — имя, номер счета и другие могут быть нанесены рельефным шрифтом (эмбоссированы), что позволяет при ручной обработке быстро перенести данные с карты на чек с помощью импринтера, осуществляющего «прокатку» карты.
По принципу действия карты делятся на две группы — пассивные и активные.
Пассивные карты только хранят информацию на носителе, но не обеспечивают ее автономной обработки. Пример — широко распространенные во всем мире карты с магнитной полосой на обратной стороне (три дорожки).
Две дорожки хранят идентификационные записи. На третью можно записывать, например, текущее значение лимита дебетовой карты. Из-за невысокой надежности магнитного покрытия обычно карты используют только в режиме чтения. При работе с картой необходимо установление связи между банком и банкоматом, что возможно только там, где хорошо развита инфраструктура связи. Данный вид карт уязвим для мошенничества, поэтому системы Visa и MasterCard/Europay используют дополнительные средства защиты карт — голограммы и нестандартные шрифты для эмбоссирования.
Активные пластиковые карты содержат встроенную микросхему и допускают разную степень обработки информации без участия банка, обслуживающего платежную систему. Типичный пример — карты-счетчики и карты с памятью. Но они уступают место интеллектуальным или смарт-картам, в состав которых входит не просто микросхема, а специализированный процессор. Сама карта представляет собой микрокомпьютер, способный при подключении к банкомату самостоятельно (без участия банка, т. е. в режиме offline) проводить не только идентификацию клиента, но и выполнение ряда финансовых операций: снятие денег со счета, безналичную оплату счетов и товаров.
Хотя имеются случаи искажения информации, хранимой в смарт-картах, а также нарушения их работоспособности за счет воздействия высокой или низкой температуры, ионизирующих излучений, данный вид карт обладает высокой надежностью и вытесняет другие виды карт.
Организационные (административные) меры
Административные меры (доля 50−60%) включают:
-
- разработку политики безопасности применительно к конкретной информационной системе (какие профили, какие пароли, какие атрибуты, какие права доступа);
- разработку средств управления безопасностью (кто, когда и в каком порядке изменяет политику безопасности);
- распределение ответственности за безопасность (кто и за что отвечает при нарушении политики безопасности);
- обучение персонала безопасной работе и периодический контроль за деятельностью сотрудников;
- контроль за соблюдением установленной политики безопасности;
- разработку мер безопасности на случай природных или техногенных катастроф и террористических актов.
Ответственность за соблюдением в организации или компании организационных (административных) мер по защите информации лежит на руководителе, начальнике службы безопасности (информационной безопасности), системном (сетевом) администраторе.
Средства оповещения и связи., Охранное телевидение.
В отличие от обычного телевидения, в системах охранного ТВ монитор принимает изображение от одной или нескольких видеокамер, установленных в известном только ограниченному кругу лиц месте (так называемое закрытое ТВ).
4 стр., 1599 словПонятия и объекты экологического контроля
... изменением под влиянием хозяйственной и иной деятельности, проверке соблюдения экологических требований предприятиями, организациями, учреждениями, должностными лицами и гражданами. Объектами экологического контроля являются: природная среда, ее состояние и изменения; деятельность по выполнению ...
Естественно, что кабельные линии для передачи сигналов охранного ТВ не должны быть доступны иным лицам, кроме охраны. Мониторы располагаются в отдельных помещениях, доступ в которые должен быть ограничен.
Рассмотренные выше три группы относятся к категории средств обнаружения вторжения или угрозы.
Естественные средства противодействия вторжению., Средства ограничения доступа, в состав которых входит компьютерная техника., Биометрические средства ограничения доступа.