Основные направления обеспечения комплексной защиты информации крупных предприятий Текст научной статьи по специальности «Математика»

ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ КРУПНЫХ ПРЕДПРИЯТИЙ А.В. Годырева, Т.С. Николаева Научный руководитель - к.т.н., доцент Н.С. Кармановский

С переходом на рыночные отношения в условиях хозяйственной самостоятельности перед предприятиями возникают серьезные проблемы по обеспечению сохранности информации и безопасности. Само понятие «безопасность» включает в себя: информационную, коммерческую, юридическую и физическую безопасность. В статье рассматриваются актуальные вопросы по обеспечению комплексной защиты информации для крупных предприятий.

Особенности информационной защиты крупных объектов

С помощью одного или нескольких технических средств либо только силами охраны практически невозможно обеспечить полную сохранность крупного объекта, занимающего значительную территорию и имеющего на балансе целый комплекс многоэтажных зданий. С развитием в стране различных форм собственности резко увеличилось количество предприятий, возросла конкурентная борьба между ними. Информация все более превращается в товар, а защита ее становится важнейшим направлением в деятельности фирм.

Увеличение числа предприятий часто сопровождается их «дроблением» на более мелкие хозяйственные объекты, численность работников в которых не превышает нескольких человек. Наряду с этим сохранились достаточно крупные предприятия, охрана которых зачастую не учитывает появление новых технических средств, а защита информации ограничивается упорядочиванием бумажного делопроизводства. Кроме того, даже государственные предприятия имеют коммерческую деятельность, в то время как законодательно коммерческая тайна определена сравнительно недавно.

В работе рассматриваются вопросы комплексной защиты информации крупных объектов. Интерес к крупным предприятиям обусловлен рядом причин:

• большой площадью предприятий;

• расположением предприятий в черте города, часто в зоне исторически сложившейся застройки;

• появлением новых форм собственности;

• расширением средств коммуникации и способов представления и передачи информации;

• сложностью создания единой системы защиты территории;

• большой протяженностью сетей коммуникаций;

• высокой стоимостью оборудования средств защиты, средств их интеграции, что доступно только крупным предприятиям.

Для исключения или существенного снижения возможных потерь материальных средств и информационных ресурсов служба безопасности объекта должна быть оснащена современным комплексом технических средств, что делает разработку системы контроля и управления доступом для режимного объекта своевременной и актуальной. Для эффективного решения этих задач необходим тщательный анализ существующих систем защиты, возможных способов несанкционированного доступа на объект, разработка новейших систем контроля и управления доступом, вспомогательного оборудования, что позволяет принять меры для противодействия возможным угрозам. Важнейшей задачей является своевременность обнаружения попыток несанкционированного проникновения на объект, несанкционированного доступа к конфиденциальной информации, а также принятия адекватных мер по ее нейтрализации.

Интегрирование средств безопасности

В целях повышения уровня безопасности крупных хозяйствующих объектов в настоящее время представляется целесообразным внедрение в структуру подобных предприятий интегрированных систем обеспечения безопасности (ИСОБ) - комплексных структур, предназначенных для обеспечения защищенного состояния наиболее важных объектов) (рис. 1) [1].

Рис. 1. Структура интегрированной системы обеспечения безопасности

Интегрированные системы безопасности представляют широкие возможности для объединения оборудования сторонних производителей, позволяют создать в единый комплекс безопасности системы видеонаблюдения, контроля доступа, видеоидентификации, охранно-пожарной сигнализации, мониторинга тревог, управления персоналом и посетителями. На сегодняшней день на рынке товаров и услуг предлагается широкий выбор интегрированных систем безопасности как зарубежных, так и отечественных производителей. Интегрированная система обеспечения безопасности должна удовлетворять следующим требованиям:

• тактическая надежность - выполнение системой безопасности своих функций при попытках вывода ее из строя или обхода охраняемых зон, предпринимаемых нарушителем,

• эксплуатационная надежность - безотказность оборудования при непрерывной работе в течение многих лет путем дублирования и резервирования основных систем, обеспечения централизованного и децентрализованного управления, обязательным обеспечения ключевых элементов средствами автономного питания.

Эффективное функционирование ИСОБ обеспечивают центральные посты, осуществляющие постоянный контроль и управление всеми техническими подсистемами. Аппаратура центрального поста должна обеспечивать максимальную автоматизацию текущих процедур в режиме нормального функционирования. В случае возникновения тревоги должно, по возможности, моментально привлекаться внимание персонала службы безопасности, а также обеспечиваться объективное и оперативное отображение и регистрация ситуации. Достигнутый уровень интеграции подсистем, входящих в ИСОБ, позволяет на единой программно-аппаратной платформе и с общей базой дан-

ных осуществлять отображение информации, управление и контроль состояния всех подсистем [2].

Современная концепция защиты объектов техническими средствами охраны (ТСО) заключается в выполнении четырех принципов:

• определение целей (предметов) защиты (кого и что защищать?),

• определение и оценка угроз (от кого защищать?),

• разработка и реализация адекватных мер защиты (как защищать?),

• создание и обеспечение функционирования комплексной защиты (рис. 2).

Рис. 2. Концепция защиты объекта техническими средствами охраны

Принципы организации охраны крупного объекта

На охраняемом предприятии можно выделить три группы объектов защиты: люди, имущество, информация. Цели защиты образуют пространство угроз, которые принято делить на естественные и искусственные. Система охраны должна выполнять следующие задачи:

• своевременно обнаружить факт совершения криминальной акции;

• транслировать сообщения о ней на центральный пункт охраны;

• провести верификацию (подтверждение истинности) тревожной ситуации;

• выдать команду тревожной группе для принятия адекватных мер по предотвращению ущерба;

• зарегистрировать факт возникновения любой аномальной ситуации, а также все действия оператора и персонала охраны для последующего анализа;

• нейтрализовать нарушителя.

Исходя из этих задач, система охраны должна включать в себя следующие основные составляющие:

• технические средства охраны - средства контроля, обнаружения и слежения,

• инженерные средства охраны - средства физической преграды,

• силы (подразделения) охраны - людские ресурсы.

Перечислим принципы построения систем охраны.

1. Системный подход к построению охраны техническими средствами. Данный принцип реализуется при выполнении следующих этапов:

• обследование существующей системы ТСО,

• выявление спектра угроз (составление описательной модели объектов охраны и нарушителя),

• формирование концепции построения ТСО,

• оценка возможностей сил охраны.

2. Обеспечение максимального эффекта при использовании ТСО.

3. Совместимость и развиваемость средств ТСО.

4. Многорубежность (многозональность) комплекса инженерно-технических средств охраны (КИТСО), в частности, для объектов особой важности.

5. Непрерывность рубежей ТСО.

6. Знание принципов построения КИТСО не должно позволить нарушителю «обойти» рубежи охраны и получить несанкционированный доступ на объект.

Задачи, выполняемые ТСО, порождают разнообразие типов технических средств, сложность устройства которых определяется конкретными условиями охраны. Тактико-технические требования, предъявляемые к ТСО, весьма разнообразны. Они делятся на три группы и должны учитывать условия эксплуатации монтажа, транспортировки, ремонта и безопасности:

• общие требования, предъявляемые ко всем видам ТСО;

• специальные тактико-технические требования, предъявляемые к отдельным видам средств обнаружения;

• частные требования, предъявляемые к конкретным типам аппаратуры.

Выделение зон и формирование рубежей безопасности крупных предприятий

Равноценная защита крупных объектов представляется либо невозможной технически, либо экономически нецелесообразной. По этой причине актуально деление предприятия на зоны и рубежи безопасности, которые предусматривают различные уровни защиты. Рассмотрим предприятие ООО «Информационные системы» и на его примере определим вопросы по обеспечению комплексной безопасности крупных объектов. Данная организация занимается поставкой и установкой компьютерной техники для государственных и коммерческих организаций. Она находится в центре города и занимает площадь 5000 м , численность персонала составляет 250 человек.

Одним из принципов защиты информации на данном предприятии является выделение рубежей и создание зон безопасностей. Под зоной понимается территория, имеющая собственное ограждение и ограничение допуска лиц на эту территорию. Правильное формирование зон безопасности может не только повысить эффективность системы защиты, но и сократить расходы на ее оборудование. Типовыми зонами являются:

• территория, занимаемая учреждением и ограничиваемая забором или условной внешней границей;

• здание на территории;

• коридор или его часть;

• помещение (служебное, кабинет, склад и др.);

• шкаф, сейф, хранилище, в которых хранятся носители информации.

Рубежи охраны создаются на границе зоны с целью воспрепятствования проникновения на нее нарушителя (рис. 3).

охр. зона 1 охр. зона 2 охр. зона 3 охр. зона 4

1 рубеж охраны

2 рубеж охраны

3 рубеж охраны

4 рубеж охраны

Рис. 3. Рубежи охраны и охраняемые зоны на пути движения нарушителя

Рис. 4. План территории с выделением рубежей и зон безопасности

Особенностью рубежа охраны является равная прочность границ рубежей и наличие контрольно-пропускных пунктов или постов, обеспечивающих управление доступом в зону людей и автотранспорта. Чем большей ценностью обладает объект, тем большим количеством рубежей целесообразно окружать его источник. Если безопасность в каждой зоне обеспечивается только рубежом на ее границе, то для доступа нарушителя, например, к документу, хранящемуся в сейфе, ему необходимо преодолеть 4 рубежа: границу территории (забор), войти в здание, в помещение, открыть сейф [1].

На рис. 4 представлен план территории рассматриваемого предприятия.

Первый рубеж безопасности - периметр территории: пограничная часть территории объекта, которая просматривается сотрудниками охраны, не выходя из здания (например, с помощью средств видеонаблюдения). Для этого рассчитывается количество видеокамер, необходимых для просмотра 1-й зоны, установка возможных сигнальных

устройств, средств освещения и т.д. Особое внимание уделяется подходам к охраняемому объекту, подъездным путям, аварийным выходам и другим местам, способствующим подходу (подъезду) посторонних лиц к объекту в любое время суток.

Второй рубеж безопасности - периметр здания предприятия. Специалисту по охране необходимо четко уяснить размеры, площадь и конфигурацию охраняемого объекта. Он должен понять, какие технические мероприятия по защите необходимо осуществить, чтобы не допустить проникновения на объект криминальных элементов.

Внутри объекта также предполагается возможное выделение зон безопасностей в зависимости от степени важности циркулирующей информации и от степени защищенности помещения.

Руководство безопасностью объекта

Когда речь заходит о безопасности предприятия, его руководство часто недооценивает важность информационной защиты. Основной упор часто делается на физическую безопасность (пропускной режим, охрану, систему видеонаблюдения и т. д.). Однако за последние годы ситуация существенно изменилась. Чтобы проникнуть в тайны предприятия, достаточно проникнуть в информационную систему или вывести из строя какой-либо узел компьютерной сети. Все это приведет к огромному ущербу, причем не только к прямому ущербу, который может выражаться в денежном эквиваленте, но и к косвенному. Для защиты секретов на предприятиях организуют службу безопасности (рис. 5), созданию которой обычно предшествует два события - это острое желание руководителей объекта отреагировать на внезапно возникшие реальные угрозы имуществу либо основанный на результатах исследований вывод о неудовлетворительном состоянии безопасности объекта. После детального изучения состояния безопасности предприятия появляется реальное представление о его системе безопасности, позволяющее осознано и целенаправленно проводить работу по обеспечению безопасности деятельности и самого объекта всеми его подразделениями и сотрудниками. Важной предпосылкой создания службы безопасности предприятия является разработка ее структуры, состава, положений о подразделениях и должностных инструкций для руководящего состава и сотрудников. Создавать ее надо осознанно и рационально, максимально используя опыт специалистов в сфере безопасности. Понимание своей роли и места в системе безопасности предприятия приведет ее к положительным результатам.

Надежность защиты информации, прежде всего, будет определяться тем, насколько правильно выбрана структура подразделения, на которое возложены эти функции, четкостью, с которой оно придерживается выбранного на предприятии режима конфиденциальности и безопасности. Предложенный вариант службы безопасности не претендует на бесспорность, однако призван помочь специалистам в вопросах организации работы по обеспечению безопасности защищаемого объекта.

Создание систем защиты информации обычно осуществляется в следующей последовательности:

• изучение объекта и обоснование необходимости создания системы,

• разработка проекта системы,

• приобретение необходимых средств,

• монтаж и оборудование системы,

• испытания и приемка системы [3].

Рис. 5. Структура службы безопасности

Заключение

Решение проблемы безопасности обеспечивается системным подходом к ней. Из практики применения системного анализа следует, что 50 % успеха в решении сложной задачи - ее правильная постановка. Чем более четко определены источники защищаемой информации, места их нахождения, способы и средства добывания информации злоумышленниками, тем конкретнее могут быть сформулированы задачи по защите и требования к соответствующим средствам. Источники информации определяются в результате структурирования защищаемой информации. Рост числа и видов угроз безопасности информации, сопровождающих повышение значимости информации в жизни общества и человека, представляют собой тенденцию, которую нельзя не учитывать. Не менее ответственные и сложные задачи возникают при непосредственном выборе рациональных способов и средств защиты, которые обеспечивают требуемый уровень защиты при минимальных затратах, не превышающих ущерб от хищения информации. В нахождении рациональных вариантов, удовлетворяющих этим условиям, состоит основная задача подразделений, занимающихся обеспечением защиты информации на предприятии.

Таким образом, сформулированы основные направления обеспечения комплексной защиты информации крупных объектов и предложены меры по повышению эффективности защиты:

• введение на предприятии интегрированной системы безопасности,

• формирование зон безопасности,

• создание службы безопасности.

Литература

1. Андрианов В.И., Соколов А.В. Охранные системы для дома и офиса. СПб: БХВ-Петербург; Арлит, 2002. 304 с.

2. Максимов Ю.Н., Сонников В.Г. и др. Шпионские штучки. Технические методы и средства защиты информации. СПб: Полигон, 2000. 320 с.

3. Струков В.И. Экономика защиты информации. ТРТУ, 2000. 185 с.