Файл: Отчет о практике я проходил технологическую практику на базе ооо реал.docx
Добавлен: 08.11.2023
Просмотров: 53
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-состав защищаемой информации, ее объем, способы представления и отображения, технологии обработки: состав и структуру СЗИ; организационные мероприятия по ЗИ; состав технических средств защиты, их объем; состав нормативно-правового обеспечения КСЗИ; методы и способы ЗИ; объем материальных затрат на ЗИ;
-численный состав и структура кадров предприятия: численный состав сотрудников СЗИ; организационную структуру СЗИ; объем затрат на ЗИ; техническую оснащенность КПП; объем организационных мероприятий по ЗИ;
-организационная структура предприятия: организационную структуру КСЗИ; количество и состав сотрудников СЗИ;
-техническая оснащенность предприятия: объем и состав технических средств ЗИ; количество и квалификацию технического персонала СЗИ; методы и способы ЗИ; размер материальных затрат на ЗИ;
-нормативно-правовое обеспечение деятельности предприятия влияет на формирование нормативно-правовой базы КСЗИ; регулирует деятельность СЗИ; влияет на создание дополнительных нормативно-методических и организационно-правовых документов СЗИ;
-экономическое состояние предприятия (кредиты, инвестиции, ресурсы, возможности) определяет объем материальных затрат на ЗИ; количество и состав сотрудников и квалифицированных специалистов СЗИ; уровень технической оснащенности СЗИ средствами защиты; методы и способы ЗИ;
-режим работы предприятия влияет на режим функциональности КСЗИ, всех ее составляющих; состав технических средств ЗИ; объем затрат на ЗИ; численность персонала СЗИ;
-местоположение и архитектурные особенности предприятия: состав и структуру СЗИ; состав технических средств ЗИ; объем материальных затрат на ЗИ; численный состав и квалификацию сотрудников СЗИ;
-тип производства: организационно-функциональную структуру СЗИ;
-объем производства: размеры материальных затрат на ЗИ; объем технических средств защиты; численность сотрудников СЗИ;
-форма собственности влияет на объем затрат на ЗИ (например, на некоторых государственных предприятиях затраты на защиту информации (СЗИ) могут превышать стоимость самой информации); методы и способы ЗИ.
Организация КСЗИ на предприятии зависит от параметров рассмотренных характеристик данного предприятия. Однако степень воздействия различных характеристик предприятия на организацию КСЗИ различна. Из числа наиболее влиятельных можно выделить следующие:
-характер деятельности предприятия;
-состав защищаемой информации, ее объем, способы представления и отображения;
-численный состав и структура кадров предприятия;
-техническая оснащенность предприятия;
-экономическое состояние предприятия;
-организационная структура предприятия;
-нормативно-правовое обеспечение деятельности предприятия.
Несанкционированный доступ осуществляется через существующий или специально создаваемый канал доступа, который определяется как путь, используя который, можно получить неразрешенный доступ к конфиденциальной информации.
К каналам несанкционированного доступа к конфиденциальной информации относятся:
-установление контакта с лицами, имеющими или имевшими доступ конфиденциальной информации;
-вербовка и (или) внедрение агентов;
-организация физического проникновения к носителям конфиденциальной информации;
-подключение к средствам отображение, хранения, обработки, воспроизведения и передачи информации средствам связи;
-прослушивание речевой конфиденциальной информации;
-визуальный съем конфиденциальной информации;
-перехват электромагнитных излучений;
-исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации;
-изучение доступных источников информации;
-подключение к системам обеспечения производственной деятельности предприятия;
-замеры и взятие проб окружающей объект среды;
-анализ архитектурных особенностей некоторых категорий объектов;
-использование того или другого канала осуществляется с помощью определенных, присущих конкретному каналу методов и технологий несанкционированного доступа;
-установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации.
Самым распространенным, многообразным по методам несанкционированного доступа, а потому и самым опасным каналом является установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации.
В первую группу входят лица, работающие на данном предприятии, а также не работающие на нем, но имеющие доступ к конфиденциальной информации предприятия в силу служебного положения (из органов власти, вышестоящих, смежных предприятий и др.).
Вторая группа включает уволенных или отстраненных от данной конфиденциальной информации лиц, в том числе продолжающих работать на предприятии, а также эмигрантов и перебежчиков. Эта группа наиболее опасна, поскольку нередко имеет дополнительные причины для разглашения информации (обида за увольнение, недовольство государственным устройством и др.).
Контакт с этими людьми может быть установлен различными путями, например, на семинарах, выставках, конференциях и других публичных мероприятиях. Опосредованный контакт, осуществляемый через посредников (без прямого общения, диалога), устанавливается через коллег, родственников, знакомых, которые и выступают в роли посредников.
Использование данного канала может иметь целью уничтожение или искажение информации с помощью лиц, имеющих к ней доступ, или для получения конфиденциальной информации. При этом применяются различные методы несанкционированного доступа к информации.
Наиболее распространенными методами является:
- Выведывание информации под благовидным предлогом («использование собеседника втемную»). Это может осуществляться в неофициальных беседах на публичных мероприятиях и т. д. с включением в них пунктов, касающихся конфиденциальной информации;
- переманивания сотрудников конкурирующих предприятий с тем, чтобы, помимо использования их знаний и умения, получить интересующую конфиденциальную информацию, относящуюся к прежнему месту их работы;
- покупки конфиденциальной информации активно ищут недовольных заработком, руководством, продвижением по службе;
- принуждение к выдаче конфиденциальной информации шантажом, различного рода угрозами, применением физического насилия как к лицу, владеющему информацией, так и к его родственникам и близким;
- склонение к выдаче конфиденциальной информации убеждением, лестью, посулами, обманом, в том числе с использованием национальных, политических, религиозных факторов.
Организация физического проникновения к носителям конфиденциальной информации.
Организация физического проникновения к носителям конфиденциальной информации сотрудников разведывательных служб - используется сравнительно редко, поскольку он связан с большим риском и требует знаний о месте хранения носителей и системе защиты информации, хотя уровень защиты информации в некоторых государственных и многих частных структурах дает возможность получать через этот канал необходимую информацию.
Физическое проникновение лиц, не работающих на объекте, включает два этапа:
- проникновение на территорию (в здания) охраняемого объекта.
- проникновение к носителям конфиденциальной информации.
При проникновении на территорию объекта возможно применение следующих методов:
- использование подложного, украденного или купленного (в том числе и на время) пропуска;
- маскировка под другое лицо;
- проход под видом внешнего обслуживающего персонала;
- проезд спрятанным в автотранспорте;
- отвлечение внимания охраны для прохода незамеченным (путем создания чрезвычайных ситуаций, с помощью коллеги и т. д.);
- изоляция или уничтожение охраны;
- преодоление заграждающих барьеров (заборов), минуя охрану, в том числе и за счет вывода из строя технических средств охраны.
Проникновение к носителям конфиденциальной информации может осуществляться путем:
- взлома дверей хранилищ и сейфов (шкафов) или их замков, через окна, ее проникновение производится в нерабочее время, с отключением (разрушением) сигнализации, телевизионных средств наблюдения (при необходимости), или, при проникновении в рабочее время, путем прохода в комнаты исполнителе работающих с конфиденциальными документами, в производственные и складские помещения для осмотра технологических процессов и продукции, а также в помещения, которых производится обработка информации.
- Проникновение к носителям конфиденциальной информации осуществляется и во время их транспортировки с использованием, в зависимости от вида, условий и маршрута транспортировки, соответствующих методов.
Целью проникновения является, как правило, получение конфиденциальной информации, но она может состоять и в оказании на информацию дестабилизирую воздействий, приводящих к ее уничтожению, искажен, блокированию.
Подключение к средствам отображение, хранения, обработки, воспроизведения и передачи информации средствам связи.
Подключение к средствам отображения, хранения, работки, воспроизведения и передачи информации, средства может осуществляться лицами, находящимися на территории объекта и вне ее.
Несанкционированное подключение, а, следовательно, и санкционированный доступ к конфиденциальной информации может производиться:
- с персонального компьютера с использованием телефонного набора или с несанкционированного терминала со взломом парольно-ключевых систем защиты или без взлома с помощью маскировки под зарегистрированного пользователя;
- с помощью программных и радиоэлектронных устройств;
- с помощью прямого присоединения к кабельным линиям связи, в том числе с использованием параллельных телефонных аппаратов;
- за счет электромагнитных наводок на параллельно проложенные провода или методов высокочастотного навязывания.
Прослушивание речевой конфиденциальной информации - всегда широко использовалось, опасность увеличивается по мере появления новых технических средств прослушивания. При этом речь идет о прослушивании не агентами, находящимися внутри помещения, а лицами, расположенными вне задания, иногда на значительном расстоянии от него.
Такое прослушивание чаще всего осуществляется по двум направлениям:
- подслушивание непосредственных разговоров лиц, допущенных к данной информации;
- прослушивание речевой информации, зафиксированной на носителе, с помощью подключения к средствам ее звуковоспроизведения.
Визуальный съем конфиденциальной информации может осуществляться следующими методами:
- чтением документов на рабочих местах пользователей (в том числе с экранов дисплеев, с печатающих устройств) в присутствии пользователей и при их отсутствии;
- осмотром продукции, наблюдением за технологическим процессом изготовления продукции;
- просмотром информации, воспроизводимой средствами видеовоспроизводящей техники и телевидения;
- чтением текста, печатаемого на машинке и размножаемого множительными аппаратами;
- наблюдением за технологическими процессами изготовления, обработки, размножения информации;
- считыванием информации в массивах других пользователей, в том числе чтением остаточной информации.
Под эффективностью системы обычно понимают ее приспособленность к выполнению своей целевой функции.
Различают два вида эффективности: результативная - эффективность в смысле результативности; экономическая - эффективность в смысле экономичности.
Оценка эффективности - процедура, направленная на определение качественных и количественных показателей эффективности, выявление критических элементов системы, а также определение интегрального показателя эффективности системы в целом.
Оценка эффективности ведется по определенным показателям:
Показатель эффективности - величина, характеризующая степень достижения системой любой из поставленных перед ней задач. Значение показателя эффективности, при котором система удовлетворяет предъявляемым к ней требованиям, называется критерием эффективности.
Все показатели эффективности можно разделить на 2 группы: