Файл: Страница 1 из 27 утверждаю генеральный директор ооо Сатурн.pdf

Страница 13 из 27
Организации, занимающиеся разработкой, поставкой, ремонтом и обслуживанием оборудования или информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Конкурирующие организации, криминальные структуры и спецслужбы могут использовать эти организации для временного устройства на работу своих членов с целью доступа к ресурсам информационной системы Компании.
Принимаются следующие ограничения и предположения о характере действий возможных нарушителей:
▪ Нарушитель скрывает свои несанкционированные действия от других сотрудников
Компании;
▪ Несанкционированные действия могут быть следствием ошибок пользователей, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;
▪ В своей деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.
2.12. Утечка информации по техническим каналам
При проведении мероприятий и эксплуатации технических средств возможны следующие каналы утечки или искажения информации, нарушения работоспособности технических средств:
▪ Побочные электромагнитные излучения технических средств и линий передачи информации;
▪ Наводки информативного сигнала, обрабатываемого техническими средствами корпоративной информационной системы, на провода и линии, выходящие за пределы контролируемой зоны, в т.ч. на цепи заземления и электропитания;
▪ Электрические сигналы или радиоизлучения, обусловленные воздействием на средства передачи информации высокочастотных сигналов, создаваемых с помощью специальной аппаратуры, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.) и модуляцией их информативным сигналом;
▪ Радиоизлучения или электрические сигналы от внедренных в помещения специальных электронных устройств перехвата информации («закладок»), модулированные информативным сигналом;
▪ Радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
▪ Акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации;
▪ Электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации;
▪ Вибрационные сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации;
▪ Просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
▪ Воздействие на технические или программные средства в целях нарушения целостности (разрушение, искажение) информации, работоспособности технических

Страница 14 из 27
средств, средств защиты информации, адресности и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства («закладки»).
Перехват информации или воздействие средства ее обработки, хранения и передачи может вестись непосредственно из зданий, расположенных в непосредственной близости от объектов
Компании, мест временного пребывания, заинтересованных в перехвате или искажении информации лиц при посещении ими подразделений Компании, а также с помощью скрытно устанавливаемой аппаратуры.
В качестве аппаратуры разведок или воздействия на информацию и технические средства могут использоваться:
▪ Средства для перехвата радиоизлучений от средств радиосвязи и радиорелейных станций, а также приема сигнала от автономных автоматических средств разведки и электронных устройств перехвата информации («закладок»);
▪ Стационарные средства, размещаемые в зданиях;
▪ Мобильные специальные средства;
▪ Автономные средства, скрытно устанавливаемые на объектах защиты или поблизости от них.
Стационарные средства обладают наибольшими энергетическими, техническими и функциональными возможностями. В то же время они, как правило, удалены от объектов защиты и не имеют возможности подключения к линиям, коммуникациям и сооружениям. Мобильные средства могут использоваться непосредственно на объектах защиты или поблизости от них и могут подключаться к линиям и коммуникациям, выходящим за пределы контролируемой территории.
Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Такого рода утечка информации возможна вследствие:
▪ Непреднамеренного прослушивания без использования технических средств разговоров, ведущихся в выделенном помещении, из-за недостаточной звукоизоляции его ограждающих конструкций, систем вентиляции и кондиционирования;
▪ Случайного прослушивания телефонных переговоров при проведении профилактических работ на АТС, кроссах, кабельных коммуникациях с помощью контрольной аппаратуры;
▪ Просмотра информации с экранов дисплеев и других средств ее отображения.

Страница 15 из 27
▪ обоснованность и техническая реализуемость;
▪ специализация и профессионализм;
▪ обязательность контроля.
3.1.
Законность
Предполагает осуществление защитных мероприятий и разработку Политики информационной безопасности Компании в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных подсистем.
Все пользователи информационной системы Компании должны иметь представление об ответственности за правонарушения в области информации.
Реализация данного принципа необходима для защиты имени и репутации Компании.
3.2.
Системность
Системный подход к построению системы защиты информации в Компании предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности информации.
При создании системы защиты должны учитываться все уязвимые места информационной системы Компании, а также характер, возможные объекты и направления атак на нее со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и несанкционированного доступа к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
3.3.
Комплексность
Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты информации, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
3.4.
Непрерывность защиты
Обеспечение безопасности информации – постоянный процесс, осуществляемый руководством Компании, подразделением безопасности и сотрудниками всех уровней Компании.
Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности всех подразделений Компании.
Кроме того, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе системы защиты информации могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления защиты.
3.5.
Своевременность

Страница 16 из 27
Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите информации и реализацию мер обеспечения безопасности информации на ранних стадиях разработки информационных систем в целом и их систем защиты информации в частности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой информационной системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) системы, обладающие достаточным уровнем защищенности.
3.6.
Преемственность и совершенствование
Предполагает постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационной системы Компании и системы ее защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
3.7.
Разумная достаточность (экономическая целесообразность)
Предполагает соответствие уровня затрат на обеспечение информационной безопасности ценности защищаемой информации и величине возможного ущерба от ее разглашения, утраты, утечки, блокирования или искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать функциональность компонентов информационной системы Компании. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности информации.
Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
3.8.
Персональная ответственность
Предполагает возложение ответственности за обеспечение информационной безопасности на каждого сотрудника Компании в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников и степень их ответственности были четко определены.
3.9.
Минимизация полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии со служебной необходимостью по принципу «запрещено все, что не разрешено». Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.
3.10. Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективах структурных подразделений Компании. В такой обстановке сотрудники должны осознанно соблюдать

Страница 17 из 27
установленные правила и оказывать содействие подразделениям, обеспечивающим режим безопасности информации.
Важным элементом эффективной Политики информационной безопасности является высокая культура работы с информацией. Руководители структурных подразделений Компании несут ответственность за строгое соблюдение этических норм и стандартов профессиональной деятельности, за создание корпоративной культуры, подчеркивающей и демонстрирующей персоналу на всех уровнях важность обеспечения информационной безопасности. Все сотрудники Компании должны понимать свою роль в процессе обеспечения информационной безопасности и принимать участие в этом процессе. Несмотря на то, что высокая культура обращения с информацией не гарантирует автоматического достижения целей защиты информации, ее отсутствие или низкий уровень создают больше возможностей для нарушения безопасности или необнаружения фактов ее нарушения.
3.11. Гибкость системы защиты
Политика информационной безопасности должна быть способна реагировать на изменения внешней среды и условий осуществления Компаниям своей деятельности. В число таких изменений входят:
▪ Изменения организационной и штатной структуры Компании;
▪ Корпоративная реструктуризация, слияния и поглощения;
▪ Расширение или приобретение бизнеса (включая влияние изменений в соответствующей экономической или правовой среде);
▪ Изменение существующих или внедрение принципиально новых информационных систем;
▪ Новые технические средства;
▪ Новые виды деятельности;
▪ Новые услуги, продукты.
Свойство гибкости системы информационной безопасности избавляет в таких ситуациях от необходимости принятия кардинальных мер по полной замене средств и методов защиты на новые, что снижает ее общую стоимость.
3.12. Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация об используемых системах и механизмах защиты должна быть общедоступна.
3.13. Простота применения средств защиты
Механизмы и методы защиты должны быть интуитивно понятны и просты в использовании. Применение средств и методов защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций.
3.14. Обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня безопасности информации и