Вы находитесь на странице: 1из 66

МИРЭА

РОССИЙСКИЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ

МЕТОДЫ И СТАНДАРТЫ ОЦЕНКИ

ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ

СИСТЕМ
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

СЕМИНАР № 1-2019.
Каналы
несанкционированного
получения информации с
компьютерных систем
3
СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

Цель занятия: рассмотрение основных каналов


несанкционированного получения информации с
компьютерных систем

Учебные вопросы:  
Введение
ВОПРОС 1. Основные каналы утечки
информации с компьютерных систем
ВОПРОС 2. Техническая защита
компьютерных систем
ВОПРОС 3. Организационные мероприятия
по защите информации в компьютерных
системах
4
СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

Цель занятия: рассмотрение основных каналов


несанкционированного получения информации с
компьютерных систем

Учебные вопросы:  
Введение
ВОПРОС 1. Основные каналы утечки
информации с компьютерных систем
ВОПРОС 2. Техническая защита
компьютерных систем
ВОПРОС 3. Организационные мероприятия
по защите информации в компьютерных
системах
5 СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

ВВЕДЕНИЕ
Защита информации в Российской Федерации
рассматривается как одна из приоритетных
государственных задач.
Впервые в нашей стране эта задача была
сформулирована в 2000 году в Доктрине
информационной безопасности Российской
Федерации, которая развивала и поддерживала в
то время Концепцию национальной безопасности
России, а с 2009 года и Стратегию национальной
безопасности России до 2020 года.
6 СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

Вопросы информационной безопасности


Российской Федерации, как составной
части национальной безопасности
России постоянно находятся в области
внимания руководства страны и
обсуждаются в том числе и на
заседаниях Совета Безопасности
Российской Федерации.
7 СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

В области защиты информации в Российской Федерации


первым был Федеральный закон «Об информации,
информатизации и защите информации».
Введен в действие в феврале 1995 года и направлен на
регулирование взаимоотношений в информационной
сфере.
С июля 2006 года действует Федеральный закон
«Об информации, информационных технологиях и о
защите информации».
Федеральный закон регулирует отношения, возникающие
при осуществлении права на поиск, получение, передачу,
производство и распространение информации, при
применении информационных технологий, а также при
обеспечении защиты информации, за исключением
отношений, возникающих при охране результатов
интеллектуальной деятельности и приравненных к ним
средств индивидуализации.
8
Цели защиты информации

— предотвращение утечки, хищения, утраты, искажения,


подделки информации;
— обеспечение безопасности личности, общества,
государства;
— предотвращение несанкционированных действий по
уничтожению, модификации, обеспечение правового
режима документированной информации как объекта
собственности;
— защита конституционных прав граждан на сохранение
личной тайны и конфиденциальности персональных
данных, имеющихся в информационных системах;
— сохранение государственной тайны,
конфиденциальности документированной информации в
соответствии с законодательством;
— обеспечение прав субъектов в информационных
процессах и при разработке, производстве и применении
информационных систем, технологий и средств их
обеспечения.
9
СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

Цель занятия: рассмотрение основных каналов


несанкционированного получения информации с
компьютерных систем

Учебные вопросы:  
Введение
ВОПРОС 1. Основные каналы утечки
информации с компьютерных систем
ВОПРОС 2. Техническая защита
компьютерных систем
ВОПРОС 3. Организационные мероприятия
по защите информации в компьютерных
системах
10
СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

ВОПРОС 1.

Основные каналы
утечки информации с
компьютерных систем
11 ВОПРОС 1.
Основные каналы утечки информации с компьютерных систем

Канал — маршрут передачи информации.


Государственный стандарт Российской Федерации
ГОСТ Р ИСО 7498-2-99
Информационная технология. Взаимосвязь открытых систем.
Базовая эталонная модель.
Часть 2. Архитектура защиты информации

Технический канал утечки информации —


совокупность носителя информации (средства
обработки), физической среды распространения
информативного сигнала и средств, которыми
добывается защищаемая информация.

Рекомендации по обеспечению безопасности персональных данных при их


обработке в информационных системах персональных данных.
Утверждены заместителем директора ФСТЭК России 15 февраля 2008 года
12 ВОПРОС 1.
Основные каналы утечки информации с компьютерных систем

Информация ограниченного доступа


— вид сведений, доступ к которым ограничен и
разглашение которых может нанести ущерб
интересам других лиц, общества и государства.

Национальный стандарт Российской Федерации ГОСТ Р 53113.1-2008.


Информационная технология.
Защита информационных технологий и автоматизированных систем от угроз
информационной безопасности, реализуемых с использованием скрытых
каналов.
Часть 1. Общие положения
13 Технические каналы
утечки информации

Естественные Искусственные

Причины возникновения

Побочные (нежелательные) Внедрение на объекты


излучения и создаваемые наводки от специальных технических
ТСОИ при их применении по целевому средств негласного добывания
предназначению, а также особенности информации
зданий(сооружений)

ИСТОЧНИКИ

Средства телефонных
Радиомикрофоны
коммуникаций

Средства телефонных Телефонные


энергообеспечения радиоретрансляторы

ИК (лазерные)
ПЭВМ и сети
микрофоны

Системы звукоусиления Акустические микрофоны

Ограждающие
Портативные диктафоны
поверхности

Микрофоны для
Системы вентиляции
проводных линий
14 ВОПРОС 1.
Основные каналы утечки информации с компьютерных систем
1. Утечка за счет структурного звука в стенах и перекрытиях.
15 2. Съем информации с ленты принтера, плохо стертых дискет и т.п.
3. Съем информации с использованием видео-закладок
4. Программно-аппаратные закладки в ПЭВМ.
5. Радио-закладки в стенах и мебели.
6. Съем информации по системе вентиляции.
7. Лазерный съем акустической информации с окон.
8. Производственные и технологические отходы.
9. Компьютерные вирусы и т.п.
10. Съем информации за счет наводок и «навязывания».
11. Дистанционный съем видеоинформации (оптика).
12. Съем акустической информации с использованием диктофонов.
13. Хищение носителей информации.
14. Высокочастотный канал утечки в бытовой технике.
15. Съем информации направленным микрофоном.
16. Внутренний канал утечки информации через обслуживающий персонал.
17. Несанкционированное копирование.
18. Утечка за счет побочного излучения терминала.
19. Съем информации за счет использования «телефонного уха».
20. Съем с клавиатуры и принтера по акустическому каналу.
21. Съем с дисплея по электромагнитному каналу.
22. Визуальный съем с дисплея и принтера.
23. Наводки на линии коммуникаций и сторонние проводники.
24. Утечка через линии связи.
25. Утечка по цепям заземления.
26. Утечка по сети электрочасов.
27. Утечка по трансляционной сети и громкоговорящей связи.
28. Утечка по охранно-пожарной сигнализации.
29. Утечка по сети электропитания.
30. Утечка по сети отопления, газо- и водоснабжения.
1. Утечка за счет структурного звука в стенах и перекрытиях.
16
1. Утечка за счет структурного звука в стенах и перекрытиях.
17
1. Утечка за счет структурного звука в стенах и перекрытиях.
18
19 3. Съем информации с использованием видео-закладок

Видео передатчик в видеокассете

Размещенный в видеокассете типа VHS


передатчик видеоизображения SEL VK-03
"Свидетель-3" (или "Свидетель-2") с
миниатюрной камерой предназначен для
негласного контроля аудио- и
видеоинформации с передачей по
радиоканалу. Прием информации
осуществляется на входящий в комплект
поставки тюнер. Возможна комплектация
системой включения/выключения.

Технические характеристики:
диапазон частот 1000-1200 МГц или 2400-2500 МГц
дальность передачи до 500 м
напряжение питания 12 В ± 10%
модуляция частотная
габариты 50 х 26 х 7 мм
масса 90 г
20 Видео передатчик в бруске

Видео передатчик SEL VK-02 "Свидетель-


02" (или SEL VK-03 "Свидетель-3") и
миниатюрная камера (ч/б или цветная)
встраиваются в деревянную или
пластмассовую коробку, размеры которой
зависят от типа применяемого видео
передатчика и аккумулятора.

Прием информации осуществляется на входящий в комплект поставки тюнер с


антенной. По желанию заказчика возможно оснащение системой дистанционного
включения/выключения.

Технические характеристики:
диапазон частот 1000-1200 МГц или 2400-2500 МГц
дальность передачи до 500 м
напряжение питания 12 В ± 10%
модуляция частотная
габариты 50 х 26 х 7 мм
масса 90 г
5. Радио-закладки в стенах и мебели.
21

Схема канала перехвата речевой информации с использованием закладных устройств с


передачей информации по радиоканалу
5. Радио-закладки в стенах и мебели.
22
5. Радио-закладки в стенах и мебели.
23
Комплект дистанционного включения радиомикрофонов DU

Предназначен для дистанционного


включения и выключения радио
микрофонов.
Может программироваться на исполнение
до 8 команд.

Отличительные особенности:
- высокая чувствительность и избирательность приемника;
- устойчивость к наведенным помехам от управляемого передатчика;
- цифровая кодировка управляющих команд, исключающая ложные включения
от помех.
Технические характеристики:
рабочая частота 150 МГц
напряжение питания приемника 3,5 -12 В
ток потребления приемника 3 мА
максимальный ток управления 500 мА
питание пульта ДУ 9 В ("Крона")
мощность передатчика пульта ДУ 0,6 Вт
дальность действия системы 200 м
габариты блока ДУ 107 х 42 х 21 мм
габариты приемной части 27 х24 мм
7. Лазерный съем акустической информации с окон.
24
10. Съем информации за счет наводок и «навязывания», а также за счет
25 микрофонного эффекта
10. Съем информации за счет наводок и «навязывания», а также за счет
26 микрофонного эффекта
11. Дистанционный съем видеоинформации (оптика).
27
11. Дистанционный съем видеоинформации (оптика).
28

Схема канала перехвата речевой информации с использованием полуактивного закладного


устройства с передачей информации по радиоканалу
12. Съем акустической информации с использованием диктофонов.
29
12. Съем акустической информации с использованием диктофонов.
30
31

Диктофон Sony M-950V

Диктофон выполнен в металлическом


корпусе, имеет режим акустопуска, две
скорости (2,4 см/с и 1,2 см/с),
жидкокристаллический дисплей
с показаниями режима работы и счетчика
ленты, полный автостоп. Прослушивание
производится через наушники или
пристегивающийся спикер. Наличие авто
реверса делает возможной непрерывную
запись в течение трех часов. В комплект
входят: диктофон Sony M-950, динамик,
наушник, выносной микрофон.

Основные технические характеристики


Диапазон частот (2,4 см/с)..............300-4000 Гц
Питание..........................2 элемента типа АА
Габаритные размеры (с динамиком).......65х121х25
мм
Масса (с батареями)...........................180 г
14. Высокочастотный канал утечки в бытовой технике.
32

Схема акустоэлектромагнитного пассивного канала утечки речевой информации


14. Высокочастотный канал утечки в бытовой технике.
33

Схема акустоэлектромагнитного активного канала утечки речевой информации


15. Съем информации направленным микрофоном.
34
15. Съем информации направленным микрофоном.
35

Схема канала перехвата речевой информации с использованием направленного микрофона


15. Съем информации направленным микрофоном.
36
Прибор ночного видения с направленным микрофоном NVS 2,5x42.
NVS 2,5х42 - уникальной оптико-
электронный прибор ночного видения, не
имеющий мировых аналогов и
являющийся новым направлением в
области оптического приборостроения. В
нем впервые реализована идея
одновременного визуального и
акустического  наблюдения за объектами,
расположенными на значительном
удалении от наблюдателя, в условиях
естественной ночной освещенности.
Прибор удобен и прост в обращении.
В NVS 2,5х42 используется малогабаритная оптическая схема, основанная на ЭОПах
нулевого поколения. Благодаря оптимально рассчитанной кратности (2,5х) и
светосиле, прибор обеспечивает высокое качество изображения. наличие фото
адаптера позволяет проводить фото- и видео съемку в ночных условиях. Мощный
ИК-осветитель дает возможность вести наблюдение в условиях полной темноты. С
помощью направленного микрофона можно осуществлять прослушивание
различных звуков на расстоянии до 100 м. Наличие выходного штекера
обеспечивает возможность записи звуковых сигналов. Прибор надежно защищен
обрезиненным корпусом, упаковывается в ударопрочный чехол из ткани кардура и
вспененного полиуретана.
16. Внутренний канал утечки информации через обслуживающий персонал.
37
Сверхминиатюрная видеокамера в очках
Сверхминиатюрная (ч/б или цветная)
камера имеет в диаметре всего 7-9 мм
при толщине 3-5 мм и диаметре
объектива 0,8 мм. При этом все
характеристики ПЗС-матрицы
сохраняются в полном объеме.
Минимальные размеры камеры
позволяют с максимальной скрытностью
уставить ее в практически любые очки
без нарушения их внешнего вида. Отвод
кабеля через шнурок диаметром 1,5 мм
не раскрывает применения камеры даже
при ближайшем рассмотрении.

Технические характеристики:
ПЗС матрица 1/3 ″ Sony
разрешение по горизонтали 400 твл
минимальная освещенность 0,05 Лк
объектив pinhole, F=3,7 мм
потребляемый ток менее 20 мА
рабочие температуры - 10 ° C - + 50 ° C
16. Внутренний канал утечки информации через обслуживающий персонал.
38

Сверхминиатюрная видеокамера в галстуке

Сверхминиатюрная (ч/б или цветная)


камера размером 9 х 9 и толщиной
всего 3,5 мм может устанавливаться в
галстук более незаметно, чем другие
подобные системы скрытого видео
наблюдения. Размещение камеры на
специальной подложке позволяет
пользователю самостоятельно
переносить ее в другой галстук.

Технические характеристики:

ПЗС матрица 1/3 ″ Sony


разрешение по горизонтали 400 твл
минимальная освещенность 0,05 Лк
объектив pinhole, F=3,7 мм
потребляемый ток менее 20 мА
рабочие температуры - 10 ° C - + 50 ° C
габариты встроенной камеры 9 х 9 х 3,5 мм
16. Внутренний канал утечки информации через обслуживающий персонал.
39

"НД-Р" - НОСИМЫЙ РАДИОМИКРОФОН (РЕМЕНЬ)


Диапазон частот, МГц 417,5; 418; 423,2
Вид модуляции частотная манипуляция
Девиация, кГц 40 ÷ 60
Выходная мощность, мВт 100
Скорость цифрового потока, Кбит/с 100
Динамический диапазон канала передачи
45
информации, дБ
Динамический диапазон акустических сигналов на
входе микрофонного усилителя передатчика 89
информации, дБ
Напряжение питания (встроенный аккумулятор Li-
3,6
Ion), В
Среднее потребление, не более, мА 100
Полоса по НЧ, Гц 200 ÷ 6000
Диапазон рабочих температур, °С +5 ÷ +50
Относительная влажность воздуха, % 85
16. Внутренний канал утечки информации через обслуживающий персонал.
40
РМК 131 “Папка” Камуфлированный РМК 141
передатчик акустической Передатчик акустической информации с
информации питанием от сети 220 В

РМК 151 РМК 155 "Тройник импортный" (ток


“Удлинитель” Радиомикрофон с потребления 12 мА) Передатчик
кварцевой стабилизацией частоты акустической информации
16. Внутренний канал утечки информации через обслуживающий персонал.
41

"AJ-007"- НАРУЧНЫЕ ЧАСЫ С ДИКТОФОНОМ

Встроенная память, Мб 512


Полоса 0,02 ÷20
воспроизводимых
частот, кГц
Максимальный объем 8,5
записи, ч
Непрерывное время 3
записи, прослушивания
при полностью
заряженной батарее, ч

Максимальная 6
скорость передачи
данных через USB-
порт, Мб/сек
Потребляемая 75
мощность, мВт
19. Съем информации за счет использования «телефонного уха».
42
19. Съем информации за счет использования «телефонного уха».
43
21. Съем с дисплея по электромагнитному каналу.
44
24. Утечка через линии связи.
45
29. Утечка по сети электропитания..
46
1. Утечка за счет структурного звука в стенах и перекрытиях.
47 2. Съем информации с ленты принтера, плохо стертых дискет и т.п.
3. Съем информации с использованием видео-закладок
4. Программно-аппаратные закладки в ПЭВМ.
5. Радио-закладки в стенах и мебели.
6. Съем информации по системе вентиляции.
7. Лазерный съем акустической информации с окон.
8. Производственные и технологические отходы.
9. Компьютерные вирусы и т.п.
10. Съем информации за счет наводок и «навязывания».
11. Дистанционный съем видеоинформации (оптика).
12. 1Съем акустической информации с использованием диктофонов.
13. Хищение носителей информации.
14. Высокочастотный канал утечки в бытовой технике.
15. Съем информации направленным микрофоном.
16. Внутренний канал утечки информации через обслуживающий персонал.
17. Несанкционированное копирование.
18. Утечка за счет побочного излучения терминала.
19. Съем информации за счет использования «телефонного уха».
20. Съем с клавиатуры и принтера по акустическому каналу.
21. Съем с дисплея по электромагнитному каналу.
22. Визуальный съем с дисплея и принтера.
23. Наводки на линии коммуникаций и сторонние проводники.
24. Утечка через линии связи.
25. Утечка по цепям заземления.
26. Утечка по сети электрочасов.
27. Утечка по трансляционной сети и громкоговорящей связи.
28. Утечка по охранно-пожарной сигнализации.
29. Утечка по сети электропитания.
30. Утечка по сети отопления, газо- и водоснабжения.
48
СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

Цель занятия: рассмотрение основных каналов


несанкционированного получения информации с
компьютерных систем

Учебные вопросы:  
Введение
ВОПРОС 1. Основные каналы утечки
информации с компьютерных систем
ВОПРОС 2. Техническая защита
компьютерных систем
ВОПРОС 3. Организационные мероприятия
по защите информации в компьютерных
системах
49
СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

ВОПРОС 2.

Техническая защита

компьютерных систем
50
ВОПРОС 2.
Техническая защита компьютерных систем

ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ —


обеспечение защиты некриптографическими методами информации,
содержащей сведения, составляющие государственную тайну, иной
информации с ограниченным доступом,
предотвращение ее утечки по техническим каналам,
несанкционированного доступа к ней,
специальных воздействий на информацию и носители информации в целях ее
добывания, уничтожения, искажения и блокирования доступа к ней на
территории Российской Федерации.

ПРИМЕЧАНИЕ:
 Техническая защита информации при применении информационных
технологий осуществляется в процессах сбора, обработки, передачи,
хранения, распространения информации с целью обеспечения ее
безопасности на объектах информатизации .

Р 50.1.053-2005.
Рекомендации по стандартизации. Информационные технологии.
Основные термины и определения в области технической защиты информации.
51
ВОПРОС 2.
Техническая защита компьютерных систем

Национальный стандарт Российской Федерации ГОСТ Р 50922-2006


Защита информации.
Основные термины и определения.

ОБЪЕКТ ИНФОРМАТИЗАЦИИ ЗАЩИЩАЕМЫЙ ОБЪЕКТ


ИНФОРМАТИЗАЦИИ
— совокупность информационных
— ОБЪЕКТ ИНФОРМАТИЗАЦИИ,
ресурсов, средств и систем обработки
информации, используемых в предназначенный для обработки
соответствии с заданной
защищаемой информации с
информационной технологией,
— а также средств их обеспечения, требуемым уровнем ее
помещений или объектов (зданий,
защищенности
сооружений, технических средств), в
которых эти средства и системы
установлены,
— или помещений и объектов,
предназначенных для ведения
конфиденциальных переговоров.
ЗАЩИТА В ИНФОРМАЦИИ
52 В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Средства
Средствазащиты
защитыинформации
информацииототутечки
утечкипо
потехническим
техническимканалам
каналам
Средства защиты Средства защиты Средства защиты
речевой информации: информации, представленной носителей информации
в виде информативных на бумажной, магнитной,
Барон, ЛГШ-402(403), электрических сигналов, магнитоопрической
SEL SP-21B1 Баррикада, физических полей: и иной основе:
Шорох-2, Соната-АВ, Гном-3, ГШ-1000, ГШ-1000К, eToken PRO 64K
Шторм-105… ГШ-2500, Октава-РС1, и eToken NG-OTP,
Гром-ЗИ-4Б Secret Disk 4…
МП-2, МП-3, МП-5, ЛФС-10-1Ф…
Интернет
Интернет

Используемые
Используемые
в информационной системе
Межсетевые в информационной системе
Межсетевые
экраны информационные технологии
экраны информационные технологии
Cisco, Z-2, 1. Защищенные ОС:
Cisco, Z-2, 1. Защищенные ОС:
WatchGuard Red Hat Enterprise Linux, QNX, МСВС 3.0..
WatchGuard Red Hat Enterprise Linux, QNX, МСВС 3.0..
Firebox…
Firebox… 2. Системы обнаружения вторжений
2. Системы обнаружения вторжений
и компьютерных атак:
и компьютерных атак:
ФОРПОСТ, Proventia Network…
ФОРПОСТ, Proventia Network…
3. Шлюзы безопасности:
Шифровальные 3. Шлюзы безопасности:
Шифровальные CSP VPN Gate, CSP RVPN…
CSP VPN Gate, CSP RVPN…
(криптографические)
(криптографические)
средства защиты
средства защиты
информации
информации
Защита
Защитаототпрограммно-
программно-
технических
техническихвоздействий
воздействий
нанатехнические
техническиесредства
средства
обработки персональных данных
обработки персональных данных
Средства
Средствазащиты
защитыинформации
информацииотот 1. Антивирусные средства:
1. Антивирусные средства:
несанкционированного
несанкционированногодоступа:
доступа: DrWed, Антивирус Касперского…
Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0, DrWed, Антивирус Касперского…
Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0, 2.2.Программное
Программноеобеспечение,
обеспечение,
Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT
Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT сертифицированное
сертифицированное
на
наотсутствие
отсутствиеНДВ.
НДВ.
53 ВОПРОС 2.
Техническая защита компьютерных систем

Выбор средств защиты информации для системы


защиты персональных данных осуществляется
оператором в соответствии с нормативными правовыми
актами, принятыми ФСБ России и ФСТЭК России во
исполнение части 4 статьи 19 Федерального закона "О
персональных данных".
Контроль за выполнением настоящих требований организуется и
проводится оператором (уполномоченным лицом) самостоятельно и
(или) с привлечением на договорной основе юридических лиц и
индивидуальных предпринимателей, имеющих лицензию на
осуществление деятельности по технической защите
конфиденциальной информации. Указанный контроль проводится не
реже 1 раза в 3 года в сроки, определяемые оператором
(уполномоченным лицом).
Постановление Правительства РФ от 1 ноября 2012 г. N 1119
«Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»
54
СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

Цель занятия: рассмотрение основных каналов


несанкционированного получения информации с
компьютерных систем

Учебные вопросы:  
Введение
ВОПРОС 1. Основные каналы утечки
информации с компьютерных систем
ВОПРОС 2. Техническая защита
компьютерных систем
ВОПРОС 3. Организационные мероприятия
по защите информации в компьютерных
системах
55
СЕМИНАР № 2.
Каналы несанкционированного получения информации с компьютерных
систем

ВОПРОС 3.
Организационные
мероприятия по защите
информации в
компьютерных системах
56
ВОПРОС 3. Организационные мероприятия по защите
информации в компьютерных системах

ОРГАНИЗАЦИОННЫЕ МЕРЫ ОБЕСПЕЧЕНИЯ


ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ — меры
обеспечения информационной безопасности,
предусматривающие установление
— временных,
— территориальных,
— пространственных,
— правовых,
— методических
— и иных ограничений на условия использования и
режимы работы объекта информатизации.

Национальный стандарт Российской Федерации


ГОСТ Р 53114-2008 «Защита информации. Обеспечение
информационной безопасности в организации. Основные
термины и определения»
57
ВОПРОС 3. Организационные мероприятия по защите
информации в компьютерных системах

Защита информации (Федеральный закон «Об


информации, информационных технологиях и о
защите информации», ст. 16).
Защита информации представляет собой принятие
правовых, организационных и технических мер,
направленных на:
• обеспечение защиты информации от
неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования,
предоставления, распространения, а также от иных
неправомерных действий в отношении такой
информации;
• соблюдение конфиденциальности информации
ограниченного доступа,
• реализацию права на доступ к информации.
58
ВОПРОС 3. Организационные мероприятия по защите
информации в компьютерных системах

Организационные меры предусматривают создание и


поддержание правовой базы безопасности и разработку (введение
в действие) предусмотренных Политикой информационной
безопасности АС следующих организационно-распорядительных
документов:
- План мероприятий по обеспечению защиты информации при ее
обработке в АС;
- План мероприятий по контролю обеспечения защиты информации;
- Порядок резервирования и восстановления работоспособности ТС
и ПО, баз данных и СЗИ;
- Должностная инструкция администратора АС в части обеспечения
безопасности информации при ее обработке в АС;
- Должностная инструкция администратора безопасности АС;
- Должностная инструкция пользователя АС в части обеспечения
безопасности информации при ее обработке в АС;
- Инструкция на случай возникновения внештатной ситуации;
- Рекомендации по использованию программных и аппаратных
средств защиты информации.
59
Под объектами информатизации, аттестуемыми по
требованиям безопасности информации, понимают
автоматизированные системы различного уровня назначения,
системы связи, отображения и размножения вместе с
помещениями, в которых они установлены, предназначенные
для обработки и передачи информации, подлежащей защите, а
также сами помещения, предназначенные для ведения
конфиденциальных переговоров.
Под аттестацией объектов информатизации понимается
комплекс организационно-технических мероприятий, в
результате которых посредством специального документа –
подтверждается, что объект
соответствует требованиям стандартов или иных нормативно-
технических документов по безопасности информации.
Наличие на объекте информатизации действующего
«Аттестата соответствия» дает право обработки информации с
уровнем секретности (конфиденциальности) и на период
времени, установленным «Аттестате соответствия».
60
ВОПРОС 3. Организационные мероприятия по защите
информации в компьютерных системах

Контроль состояния защиты информации (ЗИ)


осуществляется с целью своевременного выявления
и предотвращения утечки информации по
техническим каналам, несанкционированного доступа
к ней, преднамеренных программно-технических
воздействий на информацию и оценки защиты ее от
иностранных технических разведок (ИТР).
Контроль заключается в проверке выполнения
актов законодательства Российской Федерации по
вопросам ЗИ, решений Гостехкомиссии России, а
также в оценке обоснованности и эффективности
принятых мер защиты для обеспечения выполнения
утвержденных требований и норм по ЗИ.
61
Аттестат Гостехкомиссии при Президенте РФ
62
Лицензии
Лицензия Лицензия ФСТЭК Лицензия
Гостехкомиссии России ФСБ
при Президенте РФ России

                                

      
63

Приказ Министерства Российской


Федерации по развитию Дальнего
Востока
(Минвостокразвития России)
от 2 октября 2014 г. N 76 г.
"Об упорядочении обращения
со служебной информацией
ограниченного
распространения в
Минвостокразвития России"
64

Приказ Министерства Российской Федерации по развитию Дальнего Востока


(Минвостокразвития России)
от 2 октября 2014 г. N 76 г.

Приложение N 1.
Категории должностных лиц Минвостокразвития
России, уполномоченных относить служебную
информацию к разряду ограниченного
распространения

Приложение N 2.
Порядок передачи служебной информации
ограниченного распространения другим
органам и организациям

Приложение N 3.
Порядок снятия пометки "Для служебного
пользования" с носителей информации
ограниченного распространения

Приложение N 4.
Организация защиты служебной
информации ограниченного
распространении
65
СЕМИНАР № 1-2019.
Каналы несанкционированного получения информации с компьютерных
систем

Цель занятия: рассмотрение основных каналов


несанкционированного получения информации с
компьютерных систем

Учебные вопросы:  
Введение
ВОПРОС 1. Основные каналы утечки
информации с компьютерных систем
ВОПРОС 2. Техническая защита
компьютерных систем
ВОПРОС 3. Организационные мероприятия
по защите информации в компьютерных
системах
СЕМИНАР № 1-2019.

Каналы несанкционированного получения

информации с компьютерных систем

СПАСИБО
ЗА ВНИМАНИЕ