tehnică de securitate
tehnică de securitate trebuie să se bazeze pe:
• sistem de standardizare și unificare;
• activități de sistem de licențiere;
• sisteme de protecție de certificare;
• certificarea sistemului de mijloace și obiecte de informații;
• un sistem de certificare a obiectelor informatizării protejate.
Principalele componente ale resurselor de securitate ale afacerii sunt:
• sistem de protecție fizică (de securitate) a obiectelor materiale și a resurselor financiare;
• securitatea sistemului de resurse informaționale.
Securitatea fizică (de securitate) a obiectelor materiale și resurse financiare ar trebui să includă:
• sistem de măsuri tehnice și organizatorice de securitate;
• Sistemul de control al accesului;
• un sistem de măsuri (mod) și controlul posibilelor canale de scurgere de informații;
• Sistemul măsoară restituirea proprietății.
Sistemul de măsuri de protecție ar trebui să includă:
• mnogorubezhnost construirea de protecție (zone, clădiri, facilități) pentru creștere betonului cel mai valoros păzit;
• utilizarea cuprinzătoare a mijloacelor tehnice moderne de protecție, detecție, monitorizare, colectare și prelucrare a datelor, pentru a oferi cartografiere fiabile și documentare obiectivă a evenimentelor;
• inginerie de încredere se suprapun posibile modalități de intruziune în limitele protejate;
• stabile (dublate) de comunicații și sistemul de control al tuturor structurilor de protecție care interacționează;
• formare de înaltă și de pregătire de protecție primară de energie și de rezervă pentru activități chirurgicale contra penale;
• Personalul samoohranu.
Sistemul de control al accesului ar trebui să includă:
• o definiție obiectivă a „fiabilitate“ a persoanelor autorizate să lucreze;
• limitarea maximă a numărului de persoane permise pe obiecte de afaceri;
• stabilirea pentru fiecare angajat (sau vizitator) diferențiate în ceea ce privește timpul, locul și activitatea permisiunile la obiect;
• O definiție clară a procedurii de eliberare a permiselor și a documentelor de înregistrare pentru intrare (de intrare) la obiect;
• determinarea volumului funcțiilor checkpoints pe fiecare de trecere și trec puncte;
• puncte de control de echipament (posturi), mijloace tehnice care asigură un control fiabil trece, trecerea de înregistrare obiectiv și prevenirea neautorizate (inclusiv energie) intruziunilor;
• personalul de securitate, și de-a lungul (puncte de control) de înaltă calificare.
Sistemul de Aranjamente (modul) valori de siguranță și de control ar trebui să includă:
• controlată strict accesul persoanelor la zonele cu acces limitat (zona de circulație și de depozitare de Finanțe);
• limita maximă de vizite zonelor cu regim de către persoane care nu sunt implicate în activitatea;
• reducerea maximă a numărului de persoane cu imunitate de inspecție;
• organizarea și punerea în aplicare a prezențelor (recrutare) și la distanță - prin canale tehnice (ascunse) monitorizează respectarea de securitate;
• organizarea monitorizării atente a oricăror obiecte și substanțe transportate în afara zonelor de regim;
• să asigure stocarea securizată a documentelor, bani și titluri de valoare;
• conformitatea cu materialul personale și colective și responsabilitatea financiară în procesul de circulație deschisă a resurselor financiare și a valorilor materiale;
• organizarea de canale de control atent pentru posibile scurgeri;
• identificarea promptă a cauzelor condițiilor de alarmă în zone sigure, suprimarea sau eliminarea dezvoltării lor, în colaborare cu forțele de protecție.
Sistemul măsoară revenirea materialului pierdut și a resurselor financiare este format din eforturile comune ale serviciilor site-ului de securitate și de aplicare a legii guvernamentale și de securitate.
Obiectul de pe Serviciul de Securitate este responsabil pentru:
• detectarea capturării ilicite a resurselor materiale și financiare ale manipulării sau depozitării;
• informarea promptă a autorităților de aplicare a legii cu privire la evenimentele și situațiile critice;
• stabilirea făptuitorului;
• Efectuarea de cercetări posibile „skhoroneniya“ a pierdut fonduri în zona de obiect.
Căutarea și a reveni resursele care lipsesc sunt organizate în modul stabilit de către organele de drept relevante și ordine și securitate.
securitatea sistemului de resurse de informații ar trebui să includă un set de organizare, tehnice, software și mijloace criptografice și măsuri de protejare a informațiilor în timpul fluxului de lucru tradițional, atunci când artiștii cu documente și informații confidențiale de lucru, în prelucrarea informațiilor în sistemele automatizate de diferite niveluri și scopuri, transferul pe canalele de comunicare , pentru discuții confidențiale.
Direcțiile principale de realizare a politicii tehnice de securitate a informațiilor în aceste domenii sunt:
• protejarea resurselor informaționale de la divulgare; furt, distrugere, denaturare și falsificare din cauza accesului neautorizat și efecte speciale;
• protecția informațiilor de la scurgeri datorită prezenței câmpurilor fizice PEMIN datorate (semnalelor de radiații și de interferență electromagnetică) pe circuitele electrice, conductele și construcția de clădiri.
În cadrul domeniilor tehnice de mai sus ale politicii de securitate a informațiilor presupune:
• punerea în aplicare a sistemului de licențiere de punere în aplicare de acces (utilizatori) la locul de muncă, documente și informații de natură confidențială;
• restricționarea interpreților de acces și alte persoane în clădirile, spațiile, în cazul în care lucrările de natură confidențială, inclusiv informații ale obiectelor, care sunt gestionate informațiile (stocate) de natură confidențială;
• diferențierea accesului utilizatorilor la datele sistemelor automatizate de diferite niveluri și scopuri;
• documente contabile, dosare de informații, înregistrarea utilizatorilor sistemelor informatice existente, controlul accesului și acțiunilor utilizatorilor neautorizate;
• informații de transformare criptografică prelucrate și transmise prin intermediul echipamentelor informatice și de comunicații;
• reducerea și PEMIN informativ creat diverse elemente ale activităților de producție hardware și software automate de sisteme informatice;
• Reducerea nivelului de emisii acustice;
• alimentarea cu energie electrică de decuplare, de legare la pământ și alte lanțuri de mijloace, dincolo de zona controlată;
• activ într-o varietate de benzi zgomotoase;
• combaterea mijloace optice și cu laser de observare;
• Verificarea mijloacelor tehnice și informații pentru a identifica obiectele incluse în ele dispozitive trage cu urechea ( „bug-uri“);
• Prevenirea introducerea sistemului informațional automatizat de natura virala a programelor.
Protecția resurselor informaționale împotriva accesului neautorizat ar trebui să includă:
• valabilitate de acces, atunci când un interpret (utilizator) trebuie să aibă forma de admitere adecvată pentru familiarizarea cu documentația (informații) un anumit nivel de intimitate și este necesar să se familiarizeze cu aceste informații sau acțiuni sunt necesare pentru a pentru a îndeplini funcțiile de producție;
• responsabilitatea personală constă în faptul că contractantul (utilizator) ar trebui să fie responsabil pentru siguranța documentelor care îi sunt încredințate (mass-media, fișiere de informare), pentru acțiunile lor în sistemele de informații;
• fiabilitatea de stocare atunci când documentele (media de înregistrare, fișierele de informații) sunt stocate în condiții care exclud familiarizarea neautorizată cu ei, distrugerea lor, denaturarea sau manipulare;
• diferențierea nivelului de confidențialitate a informațiilor, este de a preveni informația de plasare a unui nivel mai ridicat de confidențialitate a documentelor (media, informații matrici) cu un nivel mai scăzut de confidențialitate, precum și prevenirea transmiterii informațiilor confidențiale asupra liniilor de comunicație nesigure;
• controlul asupra acțiunilor interpreților (utilizatorilor) de documentare și informare, precum și sisteme automate și sisteme de comunicații;
• compensare (reducere la zero excepție conținutul informațional) de RAM, tampoane la eliberarea de către utilizator pentru redistribuire între aceste resurse de către alți utilizatori;
• integritatea mediului tehnic și software, informațiile și căile de atac prelucrate, este conservarea fizică a resurselor informaționale, imutabilitatea mediului software-ului definit de prescrisă tehnologia de prelucrare a informațiilor, mijloacele de opțiuni disponibile de protecție, de protecție izolare a utilizatorilor.
Cerința privind valabilitatea accesul este pus în aplicare în cadrul sistemului de licențiere pentru admiterea la locul de muncă, documente și informații. Acesta este stabilit: cine, pe care, sub ce autoritate, ce documente și informații (mass-media, fișiere de informații)! pentru orice act sau pentru orice tip de acces poate furniza și în ce condiții. Sistemul presupune determinarea toleranței pentru toți utilizatorii sistemelor și resurselor informaționale automatizate de software disponibile pentru a le pentru operații specifice (a se citi, scrie, modifica, șterge, executa) prin acces software-hardware predeterminată.
Responsabilitatea personală se realizează prin:
• artiști murale din reviste, cărți de cont și alte autorizații, precum și documentele ca atare;
• Identificarea personală a utilizatorilor și a proceselor inițiate de acestea în sistemele automatizate;
• autentificare (autentificare) interpreți (membri), prin utilizarea de parole, chei, cartele magnetice, semnătura digitală, și caracteristicile biometrice ale persoanei atunci când accesează sisteme automate, cât și în camere selectate (zone).
Starea de fiabilitate de depozitare se realizează prin:
• stocarea documentelor confidențiale, echipate cu sisteme de securitate, în conformitate cu cerințele la care accesul este limitat și se efectuează în modul stabilit;
• alocarea spațiului, li se permite să lucreze cu documente confidențiale, dotate cu seifuri și cazuri de metal, precum și să restricționeze accesul la aceste premise;
• Utilizați transformarea criptografică a informațiilor în sistemele automatizate.
Regula de diferențiere a nivelului de confidențialitate a informațiilor este pus în aplicare prin:
• notebook-uri pentru înregistrările confidențiale sau suporturi de date, destinate informațiilor unui anumit nivel de intimitate pre-înregistrate.
acțiunile sistemului de control al interpreților se realizează prin:
• măsuri de control organizatorice atunci când se lucrează cu artiști documente și informații confidențiale;
• Înregistrare (exploatare) a acțiunilor utilizatorilor cu instrumentele și resursele informaționale ale sistemului automatizat cu data și ora, identitatea solicitantă și resursele solicitate, tipul de interacțiune și a rezultatelor sale, inclusiv tentative de acces ilegale;
• Alarmă cu privire la activitatea de utilizator neautorizat.
Goliți memoria și măsurile organizatorice de program și integritatea sistemelor complexe automatizate furnizate de software și hardware unelte și aranjamente.
Protecția scurgerilor de informații din cauza PEMIN
Direcția principală de protecție a informațiilor împotriva scurgerilor datorită unei scăderi în PEMIN raportul informativ semnal-interferență la un nivel stabilit de „standardele de eficiență pentru a proteja computerul de la ACS și scurgere de informații PEMIN datorate“, în care recuperarea mesajului devine imposibilă, în principiu. Soluția la această problemă este realizată ca o scădere a nivelului de informare semnalelor de radiații, și crește nivelul de interferență în intervalele respective de frecvență.
Prima metodă este implementată atunci când selectarea deciziilor sistemelor de inginerie și proiectare la crearea mijloacelor tehnice de EVT în „rigidizate“ și raționale plasări alegerea mijloacelor tehnice pe direcția unui posibil semnal informativ interceptare.
A doua metodă este implementată în principal prin utilizarea mijloacelor de protecție activă sub formă de „generatoare de zgomot“ și un sistem special de antenă.
Protecția informațiilor în linii de comunicații
Dacă este necesar, transmiterea informațiilor confidențiale pe acestea mijloace primare de ao proteja de la interceptarea, denaturarea și spoofing este de a utiliza informații transformarea criptografică și la distanțe mici, în plus, - utilizarea liniilor de comunicații prin fibră optică sigure.
Utilizarea în siguranță a mijloacelor tehnice de informare
Una metode de informații tehnice și de spionaj industrial este de a introduce în structura diferitelor mijloace încorporate dispozitive sau informații de ieșire eșec hardware de difuzare intercepteze.
Pentru a contracara impactul acestei metode asupra obiectelor mijloacelor tehnice de informare destinate pentru tratamentul informațiilor confidențiale în mod obligatoriu de revizuire a acestor fonduri, efectuate de organizații specializate, cu ajutorul unor echipamente speciale, de obicei, într-un spital, în conformitate cu cerințele.
Protecția informațiilor de vorbire atunci când efectuează discuții confidențiale
Pe baza posibilității de interceptare a informațiilor vocale în timpul conversațiilor confidențiale prin punerea în aplicare a dispozitivelor încorporate, acustice și echipamente de recunoaștere cu laser vibroacoustic, combaterea acestor amenințări trebuie să fie realizată prin toate mijloacele și metodele posibile.
Asigurarea calității muncii în sistemul de securitate
O componentă necesară a sistemului de securitate ar trebui să fie pentru a asigura calitatea muncii și mijloacele utilizate și măsurile de securitate, cadrul de reglementare, care este un sistem de standarde și alte documente de conducere de reglementare, tehnice și metodologice privind siguranța, aprobat de organele federale ale administrației de stat, în conformitate cu competența lor și de a determina normele de protecție a datelor și cerințe pentru diferitele domenii ale securității informațiilor.
În conformitate cu aceste cerințe ar trebui să fie efectuate înainte de sondaj de proiect și proiectarea sistemelor informatice, ordinea dispozitivelor de protecție a informațiilor și de control, destinate a fi utilizate în aceste sisteme, certificarea instalațiilor informatice, precum și controlul de securitate al resurselor informaționale.
Principalele standarde și documente normative și tehnice în domeniul securității informațiilor de la accesul neautorizat includ: un set de documente de orientare a Comisiei Tehnice din România, inclusiv „protecția automată a sistemului împotriva accesului neautorizat la clasificarea informațiilor UA și cerințele pentru protecția datelor ..“, „Regulamentul cu privire la organizarea de dezvoltare, fabricarea și funcționarea programelor și a mijloacelor tehnice de protecție a informațiilor împotriva accesului neautorizat la UA și EVT“.
Împreună cu sistemul de standardizare a unui sistem unic pentru a asigura calitatea produselor și serviciilor la cerințele de securitate a informațiilor sunt după cum urmează:
• instrumente și sisteme de certificare, cerințele de calcul și de comunicare de securitate a informațiilor;
• licențierea activităților de a furniza servicii de securitate a informațiilor;
• certificarea instalațiilor de automatizare pentru cerințele de securitate a informațiilor.
În conformitate cu cerințele dreptului de a furniza servicii altor organizații din domeniul securității informațiilor, acordate doar organizațiilor cu acest tip de permisiune (licență). Unelte și sisteme de echipamente informatice și de comunicații pentru prelucrare (transmitere) a informațiilor clasificate, protecția și monitorizarea eficienței protecției acestor informații, sub rezerva certificării obligatorii pentru cerințele de securitate a informațiilor. Un obiecte de informatică, destinate tratării informațiilor confidențiale sensibile și alte, precum și pentru desfășurarea de negocieri secrete, sunt supuse certificării obligatorii pentru cerințele de securitate a informațiilor.
La proiectarea unui sistem de informații complete de protecție obiect este necesar să se utilizeze la maximum a cerințelor de securitate a informațiilor certificate disponibile, echipamente informatice și de comunicații, protecția și controlul securității prin dezvoltarea sau prin care se dispune de software tehnice sau de securitate original este doar în cazurile în care resursele disponibile nu pot obține rezultatele dorite. Pe această bază, dezvoltarea de sisteme automatizate de diferite niveluri și scopuri, trebuie acordată atenție la alegerea hardware-ului și a sistemului matobespecheniya. Aceleași circumstanțe ar trebui să ghideze alegerea strategiei sistemelor de informare.