Защита информации в локальных сетях

16. Для обеспечения защиты программного и информационного обеспечения от воздействия программ-вирусов, при использовании ПЭВМ, пользователям необходимо выполнять следующие правила безопасности:

- все принесенные из вне дискеты перед использованием должны проверяться на наличие программ-вирусов;

- никогда не использовать нелегальное программное обеспечение;

- перед использованием нового программного обеспечения необходима его проверка с помощью имеющихся в институте антивирусных программ.

При неуверенности в своих силах для этой работы привлекать специалистов;

- все оригиналы программ должны быть защищены от записи и изъяты из обращения, а для работы использоваться только защищенные рабочие копии. У ответственного за эксплуатацию ПЭВМ должна быть системная дискета, с которой можно загрузить операционную систему DOS, на которой должны быть программы FORMAT, СHKDISK и программы Norton Commander;

- перед окончанием работы необходимо сделать копии созданных или измененных программ или данных;

- использовать следующие примеры для предотвращения несанкционированного доступа: закрывать на ключ ПЭВМ при уходе, использовать средства разграничения доступа на ПЭВМ, запрет загрузки MS DOS для ПЭВМ типа PC/AT с внешнего магнитного носителя, а также использование дополнительных аппаратно-программных средств защиты;

- программы и данные , находящиеся на жестком диске и не требующие изменений, размещать на логических дисках защищенных от записи;

- в составе программного обеспечения ПЭВМ иметь антивирусные программы, которые должны запускаться автоматически перед началом работы ПЭВМ и периодически дополняться новыми антивирусными программами. Эталон антивирусных программ храниться у ответственного за ОБИ.

17. К наиболее типичным ситуациям при работе на "зараженном" компьютере относятся:

а). бесконечный автоматический рестарт или замедленная работа ПЭВМ;

б). обнаружение разницы между активной (имеющейся) и используемой

ПЭВМ памятью;

в). неожиданное получение сообщений:

- с просьбой вставить дискету с COMMAND.COM;

- о защите дискеты по записи при загрузке с дискеты или выполняя команду DIR;

- об отсутствии файла;

г). после включения ПЭВМ операционная система (ОС) не загружается с жесткого диска, при загрузке с дискет MS DOS не распознает драйверы жесткого диска;

д). обнаружены неизвестные резидентные программы;

е). пользовательская программа перестает работать или работает с нарушениями;

ж). на экран выводятся посторонние сообщения или символы и т.п.;

з). некоторые файлы оказались испорченными и т.п..

18. Ежегодно проводится проверка всех магнитных носителей информации на наличие программ-вирусов внутри проверочной комиссией в период проверки состояния ОБИ в институте.

Кроме этого проверка ЖМД на наличие "программ-вирусов" должна производится перед каждым включением ПЭВМ в период её загрузки. Аналогичная проверка проводится пользователем перед работой с ГМД.

19. При обнаружении программы-вируса или подозрении в заражении им ПЭВМ необходимо:

- немедленно выключить ПЭВМ, чтобы "вирус" не продолжал своих разрушительных действий и доложить по команде;

- привлечь для "лечения" ПЭВМ ответственного за ОБИ или опытного специалиста.

При обнаружении программы-вируса, если не удается его уничтожить имеющимися в распоряжении антивирусными средствами, необходимо произвести переформатирование заранее зараженных магнитных носителей, с последующим их восстановлением с защищенных эталонных или архивных магнитных носителей информации. Другие действия в этом случае могут привести к повторному заражению ПЭВМ и потери информации в нем.

I.VI. Организация обращения со средствами разграничения доступа

20. В зависимости от режима использования ПЭВМ в нее может быть загружено программное обеспечение как имеющее средства защиты и разграничения доступа, так и не имеющее их.

Загрузка общего и специального программного обеспечения без средств защиты от НСД допускается в следующих случаях:

а) ПЭВМ используется в интересах одного пользователя;

б) ПЭВМ используется в интересах группы пользователей, имеющих равные полномочия (права) на доступ (чтение, запись, изменение, стирание) ко всей секретной информации, имеющейся на съемных магнитных носителях.

21. Персональные ЭВМ с жесткими магнитными дисками, до установки на них разрешенных и принятых в эксплуатацию в институте аппаратно-программных средств разграничения доступа и (или) криптографических, использовать в многопользовательском режиме, с различными полномочиями по доступу ко всей информации и действий с ней, запрещается.

Так же в этом случае запрещается записывать на жесткий магнитный диск секретную информацию.

22. При использовании средства криптографической защиты данных (СКЗД) "Криптон-3м", если на магнитный носитель предварительно не записывалась секретная информация, то данный магнитный носитель является несекретным, а обращение в этом случае с ПЭВМ осуществляется как с несекретным изделием.

Работа с СКЗД определяется специальной инструкцией (Правилами работы).

23. Пароль входа в систему пользователи обязаны хранить в секрете. В случае утери или компрометации пароля пользователь обязан сообщить об этом ответственному за объект ВТ.

Ответственный за сохранность паролей от компрометации возлагается на пользователей. Пользователь, при получении значения паролей обязан занести значение пароля в свою секретную рабочую тетрадь на отдельный лист, на котором не должно быть записей, раскрывающих их смысл и значение.

24. Обеспечение пользователей паролями осуществляется заместителем начальника секретариата по РС лично.

I.VII. Стирание информации с магнитных носителей

25. Организация и проведение работ по стиранию секретной информации, обрабатываемой и хранимой в персональных ЭВМ института определяется специальной инструкцией, утвержденной начальником института.

Для осуществления стирания информации с ЖМД и ГМД в институте должна использоваться программа "STIRATEL".

Секретные магнитные носители, после стирания с них информации не рассекречиваются, с учета секретного органа не снимаются.

I.VIII. Техническое обслуживание и ремонт средств ВТ

26. Техническое обслуживание и ремонт осуществляется личным составом отдела средств обучения института (тел. 3-45).

Если ремонт ПЭВМ производился на предприятии зарубежного (совместного) производства или его представителями, то данная ПЭВМ подлежит в установленном порядке спецпроверке и специсследованию.

Отправка в ремонт ПЭВМ с секретным жестким магнитным носителем информации запрещается. Неисправный жесткий магнитный носитель информации подлежит уничтожению установленным порядком.

II. ПО КОМПЛЕКСНОМУ ПРОТИВОДЕЙСТВИЮ ТЕХНИЧЕСКИМ РАЗВЕДКАМ

II.I. Общие положения

Данный раздел определяет содержание и порядок выполнения мероприятий, направленных на обеспечение защиты от ТР охраняемых сведений на объектах ЭВТ института и эксплуатирующейся на них спецтехники и техники связи.

Противодействие техническим разведкам должно быть комплексным, активным, убедительным и разнообразным. Это предусматривает:

- высокую ответственность и бдительность личного состава института при несении дежурства и выполнении функциональных обязанностей;

- постоянный комплексный контроль за эксплуатацией средств ЭВТ, спецзащиты, выполнением мер противодействия техническим разведкам;

- применение средств специальной защиты секретной информации.

Специальная защита средств ЭВТ достигается:

- применением аппаратных, криптографических, программных средств и способов защиты секретной информации;

- соблюдением правил пользования средствами ЭВТ;

- проведением организационных мероприятий, исключающих несанкционированный доступ к секретной информации.

II.II. Общая характеристика объектов ЭВТ института

Объекты ЭВТ института - третьей категории (высшая категория), расположены в зданиях.

Проход к объектам ЭВТ возможен со стороны улицы Ярославской, и улицы Волгоградской 50 и более метров. Контролируемая зона для всех объектов более50 метров, что удовлетворяет требованиям по размещению объектов ЭВТ третьей категории при условии применения средств специальной защиты. Система пространственного зашумления выполнена штатными генераторами шума типа "Гном-1" и "Гном-2" в соответствии с требованиями указанными в технической документации.

II.III. Охраняемые сведения на объектах ЭВТ

К охраняемым сведениям института относятся:

- информационно-справочные данные о деятельности института;

- данные о средствах разграничения доступа к информации;

- данные об оперативно-розыскной деятельности;

- научные разработки ограниченного распространения согласно приказа МВД РФ № 020.

II.IV. Демаскирующие признаки объектов ЭВТ

Общий демаскирующий признак - корпус института. Специфические демаскирующие признаки - излучение электронной вычислительной техники и наличие активного зашумления.

II.V. Оценка возможностей технических разведок

Перехват секретной информации ТР возможен только радиотехнической разведкой за пределами контролируемой зоны носимыми, возимыми на автомашинах и стационарными средствами.

Возможными каналами утечки секретной информации являются:

- информационное излучение при работе средств ЭВТ (системного блока, дисплея, устройства печати, накопителя на жестких и гибких магнитных дисках и их соединительных кабелей);

- побочные электромагнитные излучения от спецтехники и средств связи.

II.VI. Организационные и технические мероприятия по противодействию техническим разведкам

К данным мероприятиям относятся:

- применение ЭВТ, имеющих предписания на эксплуатацию, а для импортных, кроме того проведение специсследования и спецпроверки;

- изменение времени начала запуска программ с секретной информацией - ежесуточно;

- применение генераторов шума типа "Гном-1(2,3)" при обработке секретной информации;

- использование для электропитания ЭВТ и вспомогательных средств силовой сети, принятой в зданиях института (через полосовые фильтры от силовой подстанции расположенной в пределах контролируемой зоны);

- соблюдение установленных норм размещения ЭВТ и ориентация дисплеев ЭВМ экранами в сторону минимального размера контролируемой зоны для конкретного объекта ЭВТ;

- запрещение самовольного изменения внутреннего монтажа ЭВТ, а также их размещения.

Приказ о вводе объектов в эксплуатацию и разрешение об обработке секретной информации издается только после завершения всех работ по спецзащите и при положительных результатах спецпроверки.

II.VII. Контроль за эффективностью мер ПД ТР

Мероприятия по контролю за состоянием и эффективностью ПД ТР планируются ежегодно и включаются в годовой план работы института.

Спецпроверка объектов ЭВТ по заявке института проводится не реже одного раза в 3 года, а спецобследование - внутри проверочной комиссией во время годовой проверки состояния обеспечения безопасности информации с отражением результатов в акте проверки.

Ответственность за организацию, осуществление и контроль мероприятий по спецзащите возлагается на заместителя начальника института по учебной работе.

Непосредственное выполнение мероприятий по спецзащите на объектах ЭВТ возлагается на ответственных за объекты ЭВТ.

К обработке секретной информации допускается личный состав института, указанный в "Разрешении на автоматизированное производство расчетов...".

Контроль за выполнением данного раздела инструкции возлагается на заместителя начальника секретариата по РС за обеспечение защиты от технических средств разведки института.

Заместитель начальника института

по учебной работе

полковник милиции

В.А.Вишневецкий

Приложение № 2

ОБОСНОВАНИЕ ШТАТОВ ГРУППЫ ЗАЩИТЫ ИНФОРМАЦИИ В КЮИ МВД РФ

Одной из угроз деятельности любой организации является несанкционированный съем циркулирующей в ней информации - служебной, коммерческой, личной и др. В последнее время в такой деятельности применяются самые современные достижения науки и техники, использующие не только принцип слухового контроля.

В настоящее время для проникновения в чужие секреты используются такие возможности, как :

- подслушивание разговоров в помещении или автомашине с помощью предварительно установленных "радиожучков" или магнитофонов;

- контроль телефонов, телексных и телефаксных линий связи, радиотелефонов и радиостанций;

- дистанционный съем информации с различных технических средств, в первую очередь, с мониторов и печатающих устройств компьютеров и другой электронной техники;

- лазерное облучение оконных стекол в помещении, где ведутся "интересные разговоры" или, например, направленное радиоизлучение, которое может заставить "откликнуться и заговорить" детали в телевизоре, в радиоприемнике или другой технике .

Обилие приемов съема информации противодействует большое количество организационных и технических способов, так называемая специальная защита.

Одним из основных направлений специальной защиты является поиск техники подслушивания или поисковые мероприятия.

В системе защиты объекта поисковые мероприятия выступают как средства обнаружения и ликвидации угрозы съема информации.

ОРГАНИЗАЦИОННАЯ ЧАСТЬ ПРОВЕДЕНИЯ ПОИСКОВЫХ МЕРОПРИЯТИИ

Комплексная задача, которая решается в процессе поисковых мероприятий - это определение состояния технической безопасности объекта, его помещений, подготовке и выполнении мер, исключающих возможность утечки информации в дальнейшем.

Предварительно подготовленная и отработанная технология (план) проведения поиска на конкретном объекте позволит избежать ненужных вскрытий и заделок, а главное - после завершения всех поисковых работ дать ответ о состоянии специальной защиты помещения и объекта в целом, ее достаточности для отражения действий конкретного противника, направления совершенствования противодействия угрозе съема информации.

Важным условием эффективности поисковых мероприятий является их оперативное обеспечение - изучение обстановки вокруг объекта , организация установок и проверок посещающих объект подозрительных лиц, проверочные мероприятия в отношении персонала объекта и др.

Работа по изучению объекта сводится к следующим этапам:
- определение вероятного противника и оценка его оперативно-технических возможностей по проникновению в помещение;

- изучение расположения помещений и его окружение;

- изучение режима посещения помещения, порядка установки в нем предметов интерьера, мебели, проведения ремонтных работ;

- установка всех фактов ремонта, монтажа или демонтажа коммуникаций, замены мебели или предметов интерьера;

- изучение конструктивных особенностей здания и ограждающих конструкций помещения;

- изучение всех коммуникаций, входящих в помещение и проходящих через него.

Отдельным пунктом плана поискового мероприятия является контроль эфира в месте проведения поиска, который должен начаться за несколько дней до прибытия бригады и завершиться через несколько дней после окончания работ. Поисковое мероприятие может быть как демонстративный поиск, когда работы не скрываются и изъятие спецсредств съема информации производится сразу же после обнаружения, так, и конспиративный поиск, когда обнаруженный канал используется для передачи дезинформации или "закрывается" искусственно сознаваемыми помехами, которым должен быть придан характер естественных (установлен кондиционер, вентилятор и т.п.).

Конспиративный поиск по многим причинам является более предпочтительным.

Для проведения и организации поисковых мероприятий и их эффективности как для плановых проверок, и особенно, внеплановых необходимым является следующее:

1. Заключение долгосрочного договора с фирмой, имеющей опыт в организации и проведении поисковых работ, а также лицензию на данный вид деятельности .

2 .Иметь собственную службу защиты информации - в этом случае лицензия не нужна, так как это внутренние работы фирмы.

В первом и втором случаях проводятся подготовительные работы для проведения поисковых мероприятий, создается база данных, которая позволяет оперативно и более качественно решать задачи по поисковым мероприятиям и защите информации .

Работа отдельных специалистов или любителей, привлекающихся для проведения поисковых мероприятий является поверхностной и некачественной, в связи с тем. что проводится без оперативного обеспечения.

Конфиденциальность проводимых работ в первом и втором случае оговаривается договором, при привлечении стороннего специалиста конфиденциальность проводимых работ может быть оговорена только устно т.к. юридически заключить с ним договор на данный вид работ невозможно из-за отсутствия лицензии.

ТЕХНИЧЕСКАЯ ЧАСТЬ ПРОВЕДЕНИЯ ПОИСКОВЫХ МЕРОПРИЯТИЙ

При выборе и подготовке технических средств для проведения поисковых мероприятий необходимо учитывать, что приборы способны только указывать на подозрительное место, физические характеристики которого похожи на характеристики подслушивающего устройства. Поэтому не следует переоценивать возможности использования при поиске самых совершенных систем и приборов. Необходимой основой эффективных и результативных поисковых мероприятий являются отработанные на практике поисковые методики в сочетании с профессиональными приемами использования поисковой техники .

Разнообразие техники подслушивания порождает и разнообразие аппаратуры и способов ее обнаружения . Специалист в этой области настраивает свою поисковую аппаратуру на регистрацию каких-либо признаков подслушивающей техники. Так, например, микрофон обладает магнитным полем, "радиожучок" излучает электромагнитные колебания определенной частоты. Электронные блоки устройства подслушивания могут иметь свой особый радиоотклик, а сам "жучок" можно увидеть в подарке или сувенире с помощью рентгеновского аппарата.

Специальная аппаратура для обнаружения подслушивающих устройств довольно дорога и для проведения комплексной проверки необходимо иметь несколько разнообразных устройств. Необходимым комплектом оборудования обладают специализированные фирмы и предприятия, как правило работающие по договору и предоставляющие отчет о степени защищенности объекта от несанкционированного съема информации.

Фирмы и отдельные физические лица, работающие по устной договоренности, как правило, не обладают комплектом специальной техники и оборудования для проведения поискового мероприятия из-за ее высокой стоимости, используя в основном индикатор поля, который дает положительный результат при поиске активных "радиожучков" (работающих непрерывно). Максимальная продолжительность работы таких "радиожучков" не превышает четырех суток. Поиск других подслушивающий устройств индикатором поля невозможен по физическим характеристикам индикатора поля. Комплексную проверку данные фирмы и физические лица не проводят и тем самым не могут дать оценку по степени защищенности данного объекта и рекомендации о мерах по усилению защиты объекта его конкретных помещений.

КРИТЕРИИ ЭКОНОМИЧЕСКОЙ ЦЕЛЕСООБРАЗНОСТИИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Целесообразность защиты конфиденциальной информации ( КИ ) зависит от размеров потенциального ущерба, причиняемого утратой (разглашением утечкой) КИ.

Предлагаемый механизм расчета, затрат по защите КИ апробирован в условиях АООТ "ЗЕЛТА" и других промышленных предприятиях, положительно оценен во ВНИИА.

Критерии экономической целесообразности защиты имеют вид:

U = К* В , где

U - затраты ресурсов (ассигнований) на защиту КИ.

В - величина, характеризующая упущенную выгоду.

К - статический коэффициент, учитывающий затраты ресурсов (ассигнования) на защиту КИ. 0,05 < К < 0,2

При расчете упущенной выгоды, условно принятой в пределах 3000 $ экономически целесообразно тратить на защиту КИ от 150$ до 600$ в месяц, т.е.

U=К*В=0,05*3000=150$

U=К*В = 0.2 * 3000 =600$ ( $ - доллар США ).

Исходя и вышеизложенного явно видна необходимости создания службы по защите информации.

ЗАТРАТЫ НА СОДЕРЖАНИЕ СЛУЖБЫ:

Заработная плата 4000000 руб.

Отчисления от з.п. во внебюджетные фонды

- социальное страхование 5,4 % 216000 руб.

- медицинское страхование 3,6 % 144000 руб.

- фонд занятости 1,5 % 60000 руб.

- пенсионный фонд 28 % 1120000 руб.

Налоги и сборы от з.п.

- транспортный налог 1% 40000 руб.

- налог на нужды образования 1 % 40000 руб.

- налог на милицию 2*75900*3%:3 1518 руб.

Транспортные расходы

- аренда автомобиля 70000 руб.

- затраты на бензин 1000000 руб.

- ремонт автомобиля 200000 руб.

Всего затрат в месяц 6761518 руб.

Переводим затраты в эквивалент долларов США при условии 1$=5770 руб.

Затраты в месяц составят 6761518:5770=1171 $

Для полноценного выполнения своих функций данную службу необходимо оснастить специализированным оборудованием.

Стоимость оборудования составляет ориентировочно 10000 $.

Расчет показывает, что содержание двух специалистов и приобретение минимума оборудования за один год составляет:

1171 $ * 12 = 14052 $

14052 $ + 10000 $ = 24052 $

При выполнении четырех проверок в месяц по стоимости 1350 $ годовой результат составит 64800 $.

Получаем следующий результат:

затраты 24052 $

доход 64800 $

Приложение № 3

РАСЧЕТ СТОИМОСТИ УСЛУГ ПРИ ОБСЛЕДОВАНИИ ОБЪЕКТОВ ВТ.

В данном расчете применяются расценки:

- Российского Центра "Безопасность".

- НПП "Рубеж".

- Фирма "МАСКОМ".

Для проведения комплексной проверки трех кабинетов общей площадью 50 кв.м. имеющих 3 персональных компьютера, 3 телефонные линии, системы охранной и пожарной сигнализации. (системы энергоснабжения необходимо затратить при :

- стоимости обследования одного ПК 100$

- стоимости обследования 1 кв.м 15$

- стоимость проверки телеф. линий 50$

- стоимость проверки охранной сигнализации 50$

- стоимость пожарной сигнализации 50$

- стоимость проверки сети питания 50$

Произведем расчет стоимости проверки.

3 ПК*100$=300$

50 кв. м * 15$ = 750 $

3 тел.лин.*50$ = 150 $

проверка охранной сигнализации 50 $

- пожарной сигнализации 50 $

- сети питания 50 $

Стоимость одной комплексной проверки составляет 1350 $

Внеплановые комплексные проверки - принимаем условно четыре проверки в год по стоимости 1350$.

Таким образом, годовые затраты составят:

1350$ * 12 = 15200 $

1350$ * 4 = 5400 $

Годовые затраты 20600 $

Среднемесячные затраты составят:

20600$ : 12=1717 $.

По мнению специалистов ВНИИА, если затраты ресурсов (ассигнований ) , т.е. величина и менее 5 % величины упущенной выгоды В, то фирма рискует экономической безопасностью, если же затраты превышают 20 % величины упущенной выгоды, то целесообразно пересмотреть структуру системы защиты КИ.