Категории объектов защиты реферат

Обновлено: 02.07.2024

В современных информационных системах (ИС) информация обладает двумя противоречивыми свойствами – доступностью и защищенностью от несанкционированного доступа. Во многих случаях разработчики ИС сталкиваются с проблемой выбора приоритета одного из этих свойств.

Под защитой информации обычно понимается именно обеспечение ее защищенности от несанкционированного доступа. При этом под самим несанкционированным доступом принято понимать действия, которые повлекли "…уничтожение, блокирование, модификацию, либо копирование информации…"(УК РФ ст.272). Все методы и средства защиты информации можно условно разбить на две большие группы: формальные и неформальные.

Рис. 1. Классификация методов и средств защиты информации

Формальные методы и средства

Это такие средства, которые выполняют свои защитные функции строго формально, то есть по заранее предусмотренной процедуре и без непосредственного участия человека.

Техническими средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.

Физическими средствами защиты называются физические и электронные устройства, элементы конструкций зданий, средства пожаротушения, и целый ряд других средств. Они обеспечивают выполнение следующих задач:

  • защиту территории и помещений вычислительного центра от проникновения злоумышленников;
  • защиту аппаратуры и носителей информации от повреждения или хищения;
  • предотвращение возможности наблюдения за работой персонала и функционированием оборудования из-за пределов территории или через окна;
  • предотвращение возможности перехвата электромагнитных излучений работающего оборудования и линий передачи данных;
  • контроль за режимом работы персонала;
  • организацию доступа в помещение сотрудников;
  • контроль за перемещением персонала в различных рабочих зонах и т.д.

Криптографические методы и средства

Криптографическими методами и средствами называются специальные преобразования информации, в результате которых изменяется ее представление.

В соответствии с выполняемыми функциями криптографические методы и средства можно разделить на следующие группы:

  • идентификация и аутентификация;
  • разграничение доступа;
  • шифрования защищаемых данных;
  • защита программ от несанкционированного использования;
  • контроль целостности информации и т.д.

Неформальные методы и средства защиты информации

Неформальные средства – такие, которые реализуются в результате целенаправленной деятельности людей, либо регламентируют ( непосредственно или косвенно) эту деятельность.

К неформальным средствам относятся:

Организационные средства

Это организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. По своему содержанию все множество организационных мероприятий условно можно разделить на следующие группы:

  • мероприятия, осуществляемые при создании ИС;
  • мероприятия, осуществляемые в процессе эксплуатации ИС: организация пропускного режима, организация технологии автоматизированной обработки информации, организация работы в сменах, распределение реквизитов разграничения доступа(паролей, профилей, полномочий и т.п.) ;
  • мероприятия общего характера: учет требований защиты при подборе и подготовке кадров, организация плановых и превентивных проверок механизма защиты, планирование мероприятий по защите информации и т.п.

Законодательные средства

Это законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного использования и устанавливаются меры ответственности за нарушение этих правил. Можно сформулировать пять ”основных принципов”, которые лежат в основе системы законов о защите информации:

Морально – этические нормы

Эти нормы могут быть как не писанными (общепринятые нормы честности, патриотизма и т.п.) так и писанными, т.е. оформленными в некоторый свод правил и предписаний (устав).

С другой стороны, все методы и средства защиты информации можно разделить на две большие группы по типу защищаемого объекта. В первом случае объектом является носитель информации, и здесь используются все неформальные, технические и физические методы и средства защиты информации. Во втором случае речь идет о самой информации, и для ее защиты используются криптографические методы.

1.3.2. Угрозы безопасности информации и их источники

Наиболее опасными (значимыми) угрозами безопасности информации являются:

  • нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую, судебную, врачебную и коммерческую тайну, а также персональных данных;
  • нарушение работоспособности (дезорганизация работы) ИС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
  • нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов ИС, а также фальсификация (подделка) документов.

Приведем ниже краткую классификацию возможных каналов утечки информации в ИС – способов организации несанкционированного доступа к информации.

Косвенные каналы, позволяющие осуществлять несанкционированный доступ к информации без физического доступа к компонентам ИС:

  • применение подслушивающих устройств;
  • дистанционное наблюдение, видео и фотосъемка;
  • перехват электромагнитных излучений, регистрация перекрестных наводок и т.п.

Каналы, связанные с доступом к элементам ИС, но не требующие изменения компонентов системы, а именно:

Каналы, связанные с доступом к элементам ИС и с изменением структуры ее компонентов :

  • незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или к линиям связи;
  • злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;
  • злоумышленный вывод из строя механизма защиты.

1.3.3. Ограничение доступа к информации

В общем случае система защиты информации от несанкционированного доступа состоит из трех основных процессов:

  • идентификация;
  • аутентификация;
  • авторизация.

При этом участниками этих процессов принято считать субъекты – активные компоненты (пользователи или программы) и объекты – пассивные компоненты (файлы, базы данных и т.п.).

Задачей систем идентификации, аутентификации и авторизации является определение, верификация и назначение набора полномочий субъекта при доступе к информационной системе.

Идентификацией субъекта при доступе к ИС называется процесс сопоставления его с некоторой, хранимой системой в некотором объекте, характеристикой субъекта – идентификатором. В дальнейшем идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий при пользовании информационной системой.

Аутентификацией субъекта называется процедура верификации принадлежности идентификатора субъекту. Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и информационная система. Обычно в некотором объекте в информационной системе, называемом базой учетных записей, хранится не сам секретный элемент, а некоторая информация о нем, на основании которой принимается решение об адекватности субъекта идентификатору.

Авторизацией субъекта называется процедура наделения его правами соответствующими его полномочиям. Авторизация осуществляется лишь после того, как субъект успешно прошел идентификацию и аутентификацию.

Весь процесс идентификации и аутентификации можно схематично представить следующим образом:

Рис. 2. Схема процесса идентификации и аутентификации

1- запрос на разрешение доступа к ИС;

2- требование пройти идентификацию и аутентификацию;

3- отсылка идентификатора;

4- проверка наличия полученного идентификатора в базе учетных записей;

5- запрос аутентификатора;

6- отсылка аутентификаторов;

7- проверка соответствия полученного аутентификатора указанному ранее идентификатору по базе учетных записей.

Из приведенной схемы (рис.2) видно, что для преодоления системы защиты от несанкционированного доступа можно либо изменить работу субъекта, осуществляющего реализацию процесса идентификации/аутентификации, либо изменить содержимое объекта – базы учетных записей. Кроме того, необходимо различать локальную и удаленную аутентификацию.

При локальной аутентификации можно считать, что процессы 1,2,3,5,6 проходят в защищенной зоне, то есть атакующий не имеет возможности прослушивать или изменять передаваемую информацию. В случае же удаленной аутентификации приходится считаться с тем, что атакующий может принимать как пассивное, так и активное участие в процессе пересылки идентификационной /аутентификационной информации. Соответственно в таких системах используются специальные протоколы, позволяющие субъекту доказать знание конфиденциальной информации не разглашая ее (например, протокол аутентификации без разглашения).

Общую схему защиты информации в ИС можно представить следующим образом (рис.3):

Рис. 3. Съема защиты информации в информационной системе

Таким образом, всю систему защиты информации в ИС можно разбить на три уровня. Даже если злоумышленнику удастся обойти систему защиты от несанкционированного доступа, он столкнется с проблемой поиска необходимой ему информации в ИС.

Семантическая защита предполагает сокрытие места нахождения информации. Для этих целей может быть использован, например, специальный формат записи на носитель или стеганографические методы, то есть сокрытие конфиденциальной информации в файлах-контейнерах не несущих какой-либо значимой информации.

В настоящее время стеганографические методы защиты информации получили широкое распространение в двух наиболее актуальных направлениях:

  • сокрытие информации;
  • защита авторских прав.

Последним препятствием на пути злоумышленника к конфиденциальной информации является ее криптографическое преобразование. Такое преобразование принято называть шифрацией. Краткая классификация систем шифрования приведена ниже (рис.4):

Рис. 4. Классификация систем шифрования

Основными характеристиками любой системы шифрования являются:

В настоящее время принято считать, что алгоритм шифрации/дешифрации открыт и общеизвестен. Таким образом, неизвестным является только ключ, обладателем которого является легальный пользователь. Во многих случаях именно ключ является самым уязвимым компонентом системы защиты информации от несанкционированного доступа.

Из десяти законов безопасности Microsoft два посвящены паролям:

Именно поэтому выбору, хранению и смене ключа в системах защиты информации придают особо важное значение. Ключ может выбираться пользователем самостоятельно или навязываться системой. Кроме того, принято различать три основные формы ключевого материала:

1.3.4. Технические средства защиты информации

В общем случае защита информации техническими средствами обеспечивается в следующих вариантах:
источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей его технических средств

  • соотношение энергии носителя и помех на входе приемника установленного в канале утечки такое, что злоумышленнику не удается снять информацию с носителя с необходимым для ее использования качеством;
  • злоумышленник не может обнаружить источник или носитель информации;
  • вместо истинной информации злоумышленник получает ложную, которую он принимает как истинную.

Эти варианты реализуют следующие методы защиты:

  • воспрепятствование непосредственному проникновению злоумышленника к источнику информации с помощью инженерных конструкций, технических средств охраны;
  • скрытие достоверной информации;
  • "подсовывание" злоумышленнику ложной информации.

Применение инженерных конструкций и охрана - наиболее древний метод защиты людей и материальных ценностей. Основной задачей технических средств защиты является недопущение (предотвращение) непосредственного контакта злоумышленника или сил природы с объектами защиты.

Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве. К таким носителям относятся бумага, машинные носители, фото- и кинопленка, продукция, материалы и т.д., то есть всё, что имеет четкие размеры и вес. Для организации защиты таких объектов обычно используются такие технические средства защиты как охранная и пожарная сигнализация.

Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ и для защиты такой информации могут быть использованы методы скрытия информации. Эти методы предусматривают такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.

1.3.5. Программные средства защиты информации

Эти средства защиты предназначены специально для защиты компьютерной информации и построены на использовании криптографических методов. Наиболее распространенными программными средствами являются:

1.3.6. Антивирусные средства защиты информации

Аннотация: В лекции описаны основные объекты защиты информации и их классификация. Рассмотрены принципы классификации автоматизированных систем и средств вычислительной техники по классам защищенности от несанкционированного доступа.

Классификация информации

Как уже было сказано выше, объект информатизации – совокупность информационных ресурсов, средств и систем информатизации , используемых в соответствии с заданной информационной технологией, и систем связи вместе с помещениями (транспортными средствами), в которых они установлены[8.1].

ФСТЭК в своих руководящих документах трактует данное понятие несколько иначе. Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

Защищаемыми объектами информатизации в соответствии с СТР-К являются:

  • средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники), в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно- цифровой информации ), программные средства (операционные системы, системы управления базами данных , другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;
  • технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);
  • защищаемые помещения.

Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.

В соответствии с данным определением можно классифицировать объекты защиты в соответствии с рисунком 8.1.

Существуют различные признаки, по которым классифицируется информация. С точки зрения защиты информации наиболее интересной является классификация по категории доступа.

В статье 5, ФЗ "Об информации, информационных технологиях и защите информации" от 27.7.2006 г. № 149-ФЗ, сказано: "Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)".

Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне , и конфиденциальную. Отнесение информации к государственной тайне осуществляется в соответствии с Законом Российской Федерации "О государственной тайне ". Перечень сведений, отнесенных к государственной тайне " опубликован в ст. 5 Закона РФ 1993 г. № 5485 "О государственной тайне ". Существует три степени секретности такой информации:

  • Особой важности
  • Совершенно Секретно
  • Секретно

Информация в зависимости от порядка ее предоставления или распространения подразделяется на:

  1. информацию, свободно распространяемую;
  2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
  3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
  4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации. То есть, если журнал публикуется в Интернете и находится в открытом доступе по решению его создателей, они вправе требовать ссылки на источник в случае использования информации из него где-либо еще. К общедоступной также относится информация, доступ к которой нельзя ограничить.Примером может служить информация о состоянии окружающей среды, о деятельности органов государственной власти и органов местного самоуправления, документы, накапливаемые в открытых фондах библиотек и архивов. Так же в эту категорию можно отнести нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, правовое положение организаций и полномочия государственных органов, органов местного самоуправления.

Перечень сведений конфиденциального характера опубликован в Указе Президента РФ от 6.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера". К видам конфиденциальной информации можно отнести следующее:

На настоящее время защита информации на государственном уровне сконцентрирована вокруг вопросов обеспечения конфиденциальности информации. Тем не менее, современное развитие информатизации требует уделять больше внимания обеспечению таких свойств информации , как целостность и доступность. На практике же есть достаточно много форм деятельности, где доля конфиденциальной информации сравнительно мала. Например, для открытой информации приоритетными направлениями будет обеспечение целостности и доступности информации. Для платежных документов, отправляемых через системы дистанционного банковского обслуживания, наибольшую важность представляет целостность информации, так как если документ будет подделан, владелец может получить колоссальный финансовый ущерб. Следовательно, традиционный подход к защите информации с точки зрения обеспечения только конфиденциальности, требует существенной модернизации.

Internet как глобальная компьютерная сеть, охватывающая весь мир. Основные проблемы защиты информации (утрата конфиденциальности, подмена информации, атака на сервер или на систему клиента). Особенности ограничения доступа в www серверах. Понятие Java.

Подобные документы

Сущность и задачи защиты информации в информационных и телекоммуникационных сетях. Угрозы информации, способы их воздействия на объекты защиты информации. Криптографические методы и средства защиты. Потребности современной практической информатики.

курсовая работа, добавлен 30.04.2013

Работа с электронным архивом "Search" в виде базы данных, особенности ее создания и управления ею. Совершенствование комплексных средств защиты информации. Методы защиты информации, их основные виды. Требования к организации системы защиты информации.

реферат, добавлен 28.05.2014

Общая характеристика компьютерных средств защиты информации, таких как программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты.

презентация, добавлен 09.01.2019

Методы, способы и средства защиты информации. Антивирусная зашита. Основные потенциально возможные каналы утечки информации. Цель и основные способы несанкционированного вторжения в процесс обмена данными в IP-сетях. Проблемы безопасности IP-сетей.

контрольная работа, добавлен 15.02.2010

Проблемы защиты информации в компьютерных системах, направления и мероприятия по ее обеспечению, используемые при этом инструменты и механизмы: криптография, электронная подпись, аутентификация. Требования к современным средствам защиты информации.

курсовая работа, добавлен 06.06.2011

Свойство информации как предмета защиты, ее источники и носители. Защита информации в организации. Способы и средства добывания и защиты информации. Материально-вещественные, радиоэлектронные, оптические каналы утечки информации и их особенности.

учебное пособие, добавлен 06.05.2015

Цели и задачи защиты данных и информации, криптография и ее виды. Рассматриваются варианты атаки и защиты информации, в частности набирающий популярность метод социальной инженерии. Решаются часто встречаемые проблемы комплексной защиты информации.

статья, добавлен 29.07.2018

Обзор современных методов защиты информации. Физический доступ и доступ к данным. Криптографическое преобразование информации. Система защиты информации от несанкционированного доступа. Компьютерные вирусы и средства защиты от них, безопасность интранета.

курсовая работа, добавлен 23.11.2017

Анализ проблемы защиты информации в процессе ее сбора, хранения и обработки. Изучение программных и технических средств решения задачи защиты информации. Описание программы для защиты данных на основе библиотек Borland Pascal 7.0 и Turbo Vision 2.0.

реферат, добавлен 07.01.2015

Проблемы защиты информации в компьютерных системах. Принципы защиты информации. Методы решения проблем защиты электронной информации. Классификация сбоев в сети. Пошаговая методика построения системы защиты информации. Физическая защита данных.

Собрала для вас похожие темы рефератов, посмотрите, почитайте:

Введение

Для предотвращения несанкционированного доступа к вашим компьютерам необходимы средства идентификации и разграничения доступа к информации.

Информационная безопасность и технические меры защиты

Информация является результатом отражения движения объектов материального мира в системах живой природы.

Важным событием последнего десятилетия в области технической защиты информации является появление и развитие концепции аппаратной защиты.

Основные идеи аппаратной защиты следующие:

Необходимость защиты информационных технологий была признана совсем недавно.

В процессе информационного взаимодействия на разных его этапах люди (операторы, пользователи) заняты и используются средства информатизации — технические (ПК, ЛВС) и программные (ОС, ПП). Информация создается людьми, затем трансформируется в данные и представляется в автоматизированных системах в виде электронных документов, которые объединяются в информационные ресурсы. Данные между компьютерами передаются по каналам связи. Во время работы автоматизированной системы данные преобразуются в соответствии с используемой информационной технологией.

Меры технической защиты могут быть дифференцированы соответствующим образом:

  1. аутентификация участников информационного взаимодействия;
  2. защита технических средств от несанкционированного доступа;
  3. разграничение доступа к документам, ресурсам ПК и сети;
  4. защита электронных документов;
  5. защита данных в каналах связи;
  6. защита информационных технологий;
  7. дифференциация доступа к потокам данных.

В следующем разделе рассматриваются виды мер по выявлению и разграничению информации, относящейся к нашей теме.

Методы идентификации и разграничения информации

Идентификация/аутентификация (ИА) участников информационного взаимодействия должна осуществляться на аппаратном уровне до этапа загрузки операционной системы. Базы данных ИА должны храниться в энергонезависимой памяти ЛВС, организованной таким образом, чтобы доступ к ним с помощью ПК был невозможен, т.е. энергонезависимая память должна размещаться вне адресного пространства ПК. Программное обеспечение блока управления должно храниться в памяти блока управления и быть защищено от несанкционированного изменения. Целостность программного обеспечения контроллера должна быть гарантирована технологией производства контроллера LPG. Идентификация производится с помощью отчужденных носителей.

Современные операционные системы все чаще содержат встроенные средства разграничения доступа. Как правило, эти инструменты используют функции конкретной файловой системы (ФС) и основаны на атрибутах, которые тесно связаны с одним из уровней API операционной системы. Это неизбежно приводит к проблемам, по крайней мере, следующим.

Привязка к свойствам файловой системы

Современные операционные системы обычно используют не одну, а несколько ФС — как новые, так и устаревшие. В этом случае, как правило, работает на новой ТС, встроенной в операционную систему, а на старой — может не работать, так как встроенный разъединитель доступа использует существенные отличия новой ТС. Этот факт обычно явно не упоминается в сертификате, что может ввести пользователя в заблуждение. И на самом деле, представим себе, что на компьютере с новой операционной системой используется программное обеспечение, разработанное для предыдущей версии, которое фокусируется на особенностях предыдущей ФС. Пользователь имеет право верить, что установленные механизмы безопасности, сертифицированные и специально разработанные для используемой операционной системы, выполняют свои функции, когда на самом деле они отключены. В реальной жизни такие случаи могут встречаться довольно часто — зачем переписывать задание приложения после смены операционной системы? Кроме того, она должна обеспечить совместимость со старой FS и быть включена в новую операционную систему.

Привязка к API операционной системы

Обычно операционные системы меняются очень быстро — раз в полтора года. Возможно, что они будут меняться еще чаще. Некоторые из этих изменений связаны с изменениями, включая API — например, переход с Win9x на WinNT. Если атрибуты разграничения доступа отражают состав API — при переходе на современную версию операционной системы, настройки безопасности придется переустанавливать, персонал будет проходить переподготовку и т.д. и т.п.

Таким образом, можно сформулировать общее требование — подсистема разграничения доступа должна быть наложена на операционную систему и при этом независима от файловой системы. Конечно, структура атрибутов должна быть достаточной для описания политики безопасности, и описание не должно быть в таких терминах, как API операционной системы, а также в терминах, где обычно работают администраторы безопасности.

Теперь рассмотрим конкретный комплекс мероприятий на программно-аппаратном уровне, направленных на обеспечение информационной безопасности информационных систем.

Здесь можно назначить следующие группы:

  • универсальные инструменты для ОС;
  • Брандмауэры.

Борьба с угрозами, присущими сетевой среде, с помощью универсальных операционных систем невозможна. Универсальная операционная система — это огромная программа, которая, помимо очевидных недостатков, вероятно, содержит некоторые возможности, которые могут быть использованы для получения незаконных привилегий. Современные технологии программирования не позволяют сделать такие большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия внесенных изменений (а также врач, который не знает всех побочных эффектов рекомендуемых препаратов). Наконец, в универсальной многопользовательской системе дыры в безопасности постоянно создаются самими пользователями (слабые и/или редко меняющиеся пароли, плохо настроенные права доступа, необслуживаемый терминал и т.д.).

Как упоминалось выше, единственным перспективным направлением является разработка специальных средств защиты, которые в силу своей простоты позволяют проводить формальную или неформальную проверку. Брандмауэр как раз и является таким инструментом, который позволяет осуществлять дальнейшую декомпозицию в связи с работой различных сетевых протоколов.

Брандмауэр — это полупроницаемая мембрана, расположенная между защищенной (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети), которая контролирует все информационные потоки, входящие и выходящие из внутренней сети (Рисунок 1). Управление информационными потоками заключается в их фильтрации, т.е. избирательном прохождении экрана, возможно, с некоторыми проведенными преобразованиями и уведомлением отправителя о том, что его данные в паспорте будут отклонены. Фильтрация основана на наборе предустановленных на экране правил, которые представляют собой выражение сетевых аспектов политики безопасности организации.

Рекомендуется разделять случаи, когда экран устанавливается на границе внешней (обычно публичной) сети или на границе между сегментами корпоративной сети. Соответственно, мы поговорим о внешних и внутренних брандмауэрах.

При общении с внешними сетями обычно используется только семейство протоколов TCP/IP. Поэтому внешний брандмауэр должен учитывать особые функции этих протоколов. Для внутренних брандмауэров ситуация более сложная; здесь, помимо TCP/IP, следует учитывать, по крайней мере, протоколы SPX/IPX, используемые в сетях Novell NetWare. Другими словами: Внутренние экраны часто должны быть многопротокольными. Ситуации, когда корпоративная сеть содержит только один внешний канал, являются скорее исключением, чем правилом. Напротив, типичная ситуация, когда корпоративная сеть состоит из нескольких географически рассредоточенных сегментов, каждый из которых подключен к публичной сети (Рисунок 2). В этом случае каждое соединение должно быть защищено отдельным экраном. Точнее, можно предположить, что внешний корпоративный брандмауэр составлен и что он должен решить проблему скоординированного управления (управления и аудита) всеми компонентами.

Семиуровневая референсная модель ISO/OSI является основой для любого рассмотрения сетевых технологий. Также полезно классифицировать брандмауэры в соответствии с тем, осуществляется ли фильтрация на уровне соединения, сети, транспорта или приложения. Соответственно, можно сделать ссылку на экранирующие концентраторы (уровень 2), маршрутизаторы (уровень 3), транспортное экранирование (уровень 4) и прикладное экранирование (уровень 7). Существуют также сложные экраны, которые анализируют информацию на нескольких слоях.

В этой статье мы не будем рассматривать экранирующие концентраторы, так как они концептуально очень сильно отличаются от экранирующих маршрутизаторов.

Таким образом, возможности брандмауэра напрямую определяются тем, какую информацию можно использовать в правилах фильтрации и насколько мощными могут быть наборы правил. В целом, чем выше уровень в модели ISO/OSI, на котором работает экран, тем больше информации доступно на экране и тем тоньше и надежнее можно настроить экран. В то же время, фильтрация на каждом из вышеупомянутых уровней имеет свои преимущества, такие как низкая стоимость, высокая эффективность или прозрачность для пользователей. По этой причине, как и по некоторым другим причинам, в большинстве случаев используются смешанные конфигурации, сочетающие различные типы экранов. Наиболее распространенной является комбинация экранирующих маршрутизаторов и экрана приложений.

Помимо выразительности и допустимого количества правил, качество брандмауэра определяется двумя другими очень важными характеристиками — удобством использования и самозащитой. С точки зрения удобства использования, четкий интерфейс при настройке правил фильтрации и возможность централизованного управления сложными конфигурациями имеют первостепенное значение. В последнем аспекте, с другой стороны, было бы желательно предусмотреть средства для централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Также важным является централизованный сбор и анализ регистрационной информации и получение сигналов о попытках совершения действий, запрещенных политикой безопасности.

Собственная защита брандмауэра обеспечивается теми же средствами, что и защита универсальных систем. При выполнении централизованного управления все равно необходимо обеспечить защиту информации от пассивного и активного перехвата сети, то есть обеспечить ее (информации) целостность и конфиденциальность.

Вид экранирования (фильтрации) как защитного механизма очень глубокий. Помимо блокирования потоков данных, нарушающих политики безопасности, брандмауэр также может скрывать информацию о защищаемой сети, что затрудняет действия потенциальных злоумышленников. Например, окно приложения может действовать от имени субъектов внутренней сети, создавая впечатление, что только брандмауэр взаимодействует (рисунок 4). Такой подход скрывает топологию внутренней сети от внешних пользователей, что значительно усложняет задачу злоумышленника.

Заключение

В области защиты компьютерной информации дилемма безопасности сформулирована следующим образом: Необходимо выбирать между безопасностью системы и открытостью. Однако правильнее говорить о равновесии, чем о выборе, поскольку система, не обладающая свойством открытости, не может быть использована.

Список литературы

Помощь студентам в учёбе
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal
lfirmal

Образовательный сайт для студентов и школьников

© Фирмаль Людмила Анатольевна — официальный сайт преподавателя математического факультета Дальневосточного государственного физико-технического института

Любимов А. А.

Рассказываем, каковы обязанности руководителя организации в части защиты объектов от террористического акта, как обеспечить безопасность работников и посетителей, избежать административного или уголовного наказания

Основные понятия и нормативно-правовое регулирование

Что такое антитеррористическая защищенность объекта

Противодействовать терроризму обязаны не только органы государственной и муниципальной власти. Обычные граждане, индивидуальные предприниматели и юридические лица должны организовать работу по предупреждению терроризма. Для этого необходимо обеспечить безопасность собственных или арендуемых зданий и сооружений.

Каждый объект должен быть максимально защищен от угрозы извне. Если это школа, директор принимает меры, чтобы террористы не проникли на территорию, а если такое произошло, чтобы помощь была вызвана мгновенно. Персонал должен знать свои действия на случай террористической угрозы, уметь оказать первую помощь пострадавшим.

Антитеррористическая защищенность объекта (далее — АТЗ) — состояние здания или территории, которое не позволит совершить террористический акт. Цель АТЗ — сберечь жизнь и здоровье людей, сохранность имущества, окружающей среды, флоры и фауны.

Чтобы обеспечить АТЗ, организация должна:

  • провести оценку уязвимости,
  • составить акт обследования;
  • категорировать объект защиты;
  • составить, согласовать паспорт безопасности и актуализировать его по мере необходимости;
  • отслеживать, как выполняется план по повышению защищенности, проводить ежегодные проверки.

Какие объекты подлежат антитеррористической защищенности

Шобохонова

Марина Шобохонова, специалист по техносферной безопасности, эксперт по независимой оценке квалификации в области охраны труда:

  • территории общего пользования поселения, муниципального округа или городского округа,
  • специально отведенные территории за их пределами,
  • места общего пользования в здании, строении, сооружении или ином объекте, на которых при определенных условиях может одновременно находиться более 50 человек.

В одной организации может быть несколько объектов защиты, если в каждом из зданий или строений находится одновременно больше 50 человек.

Какие нормативные акты регулируют эту сферу

Требования к антитеррористической защищенности объектов и территорий, их категории и формы паспортов безопасности утверждает Правительство РФ (п. 4 ч. 2 ст. 5 Федерального закона от 06.03.2006 № 35-ФЗ). Для разных сфер деятельности разработаны отдельные документы. Они содержат правила категорирования, формы паспортов безопасности и пр.

Перечень действующих нормативных правовых актов вы найдете в нашей шпаргалке.

В конце статьи есть шпаргалка

Категорирование объекта

Каковы критерии оценки риска

Категорию зданию или территории устанавливают, опираясь на сведения о совершенных или предотвращенных террористических актах не только на самом объекте, но и в районе его расположения. Эта информация есть в сводках федеральной службы безопасности, национальной гвардии, других статистических материалах.

Также для категоризации объектов защиты специалисты применяют математико-статистические методы расчета ущерба, которые могут оценить возможные потери населения и материального оснащения в случае террористического акта.

Чем выше категория риска, тем больше мероприятий предстоит выполнить руководству организации, чтобы обеспечить защиту.

В 2020 году в России совершено 397 преступлений террористического характера. Такие данные приводятся в аналитическом сборнике Генпрокуратуры РФ о состоянии преступности в стране.

Как организовать категорирование объекта

Критерии по категорированию перечислены в постановлениях Правительства РФ. Единого набора не существует, к разным объектам применяются разные критерии, их выбор зависит от официальной статистики по предотвращенным терактам, прогнозных показателей по количеству пострадавших и материальному ущербу.

Приказ об обследовании и категорировании объекта вы найдете в нашей шпаргалке.

В конце статьи есть шпаргалка

Чтобы правильно присвоить категорию, нужны статистические данные по совершенным или предотвращенным терактам — их необходимо получить в территориальном органе безопасности района расположения организации.

Прогнозный показатель количества пострадавших принимается равным максимальному количеству единовременно пребывающих людей на объекте или территории в рабочие дни. Прогнозный показатель возможного материального ущерба — равным балансовой стоимости объекта или территории.

Пример. Расчет категории для детских учреждений стационарного типа

Учреждение для отдыха и оздоровления детей (Постановление Правительства РФ от 14.05.2021 № 732)

Антитеррористическая защищенность объектов

Какие документы надо оформить

Шобохонова

Марина Шобохонова, специалист по техносферной безопасности, эксперт по независимой оценке квалификации в области охраны труда:

Для того чтобы работа по АТЗ была систематизированной, руководитель предприятия должен разработать несколько документов. Первый — это план организационных и технических мероприятий по защищенности вверенных ему объектов с массовым пребыванием людей.

Организационные мероприятия Технические мероприятия
Назначение ответственных за АТЗ Установка систем контроля доступа на территорию, в здания и помещения
Обучение и инструктажи по АТЗ, тренировки, обучение оказанию первой помощи пострадавшим при теракте; повышение квалификации для ответственных лиц и руководителя организации Установка системы оповещения на случай террористического акта
Заключение договоров с охранными предприятиями Оснащение объекта и территории инженерно-техническими средствами и системами охраны
Категорирование мест массового пребывания людей, с учетом степени потенциальной опасности и угрозы совершения на них террористического акта и его возможных последствий
Разработка, утверждение, актуализация паспорта безопасности

Приказ о создании комиссии, которая реализует этот план, обследует и присвоит объекту категорию риска, станет следующим документом. В комиссию кроме руководителя организации должны войти представители территориальных органов безопасности, МВД, Росгвардии.

В организации также должны быть:

  • Паспорт безопасности объекта или территории с перечнем мероприятий по обеспечению АТЗ. Это основной документ, подлежащий проверке. Его составляют с учетом присвоенной категории риска, сроков реализации мероприятий, объема планируемых работ и выделенных средств на два финансовых года, следующих за текущим.
  • Приказ о мерах по защите информации при разработке и хранении паспорта безопасности.
  • План взаимодействия с с территориальными органами безопасности, МВД РФ, Росгвардии. Нужен, потому что система антитеррористической защиты не может существовать обособленно. Она должна соответствовать характеру деятельности, быть интегрированной в систему управления предприятием.
  • Положение (инструкция) об организации пропускного и внутриобъектового режимов и план действий при установлении уровней террористической опасности.

Какие мероприятия провести

Нужна обучающая работа с персоналом организации и посетителями. Если речь идет о школе, то каждый ученик должен знать план эвакуации в случае сигнала угрозы теракта.

Проводите плановые учения и тренировки по отработке правильных действий. Всех работников и посетителей известите о правилах эвакуации, применении средств индивидуальной и коллективной защиты, месте сбора при эвакуации. Для этой цели нужно проводить инструктажи по АТЗ. Уделите внимание отработке действий при условном совершении террористического акта. Проводите устные опросы, записи о них вносите в журналы проведения инструктажа и практических занятий.

Кого назначить ответственным за АТЗ

Для реализации всех планов, включая тренировки, оснащение СКУД, взаимодействие с ФСБ, МВД и Росгвардией и пр., необходимо назначить ответственных. Они вместе с руководителем организации должны пройти повышение квалификации по АТЗ.

Нельзя назначать ответственными тех, кто не обладает административно-управленческим ресурсом. Полномочия зафиксируйте в должностных инструкциях сотрудников, формулировки вы найдете в отраслевых постановлениях Правительства РФ.

Примеры должностных обязанностей:

  • вести общее руководство обеспечением АТЗ
  • утверждать паспорта безопасности объектов
  • анализировать эффективность системы защищенности
  • планировать мероприятия по обеспечению АТЗ объектов и территорий
  • обеспечивать мероприятия по АТЗ ресурсами
  • координировать деятельность подразделений и должностных лиц организации по обеспечению АТЗ объектов (территорий)
  • организовать взаимодействие с территориальными органами безопасности, МВД, МЧС, Росгвардии
  • разрабатывать и согласовывать проекты локальных нормативных актов в части обеспечения АТЗ объектов и территорий
  • координировать совместные действия с территориальными органами безопасности, МВД, МЧС, Росгвардии
  • участвовать в планировании и выполнении мероприятий по обеспечению АТЗ
  • проводить инструктажи и обучения по АТЗ

Как обучить оказанию первой помощи пострадавшим

Шобохонова

Сергей Мещерин, к.м.н., врач-хирург, организатор здравоохранения:

Первая помощь при терактах нужна в следующих ситуациях:

  • отсутствие сознания,
  • остановка дыхания и кровообращения,
  • наружные кровотечения,
  • инородные тела в верхних дыхательных путях,
  • травмы различных областей тела,
  • ожоги, эффекты воздействия высоких температур, теплового излучения,
  • отморожение и другие эффекты воздействия низких температур,
  • отравления.

Чтобы обучить работников и посетителей, организация должна приобрести и подготовить технические средства: тренажеры, учебные пособия, плакаты, стенды, памятки.

Обратите внимание: работник, который будет проводить обучение оказанию первой помощи при терактах, обязан пройти повышение квалификации в учебном центре (ст. 31 Федерального закона от 21.11.2011 года № 323-ФЗ).

Паспорт безопасности объекта и другие документы

Как заполнить паспорт

Паспорт безопасности состоит из обязательных разделов:

  1. Общие сведения об объекте (территории). Это сведения из устава организации, ЕГРЮЛ/ЕГРИП, из кадастрового паспорта.
  2. Сведения о работниках, обучающихся и иных лицах, находящихся на объекте (территории). Укажите среднее количество сотрудников и посетителей, сведения о площади объекта и режиме работы организации, например, количество смен.
  3. Сведения о критических элементах объекта (территории). Это важная информация, которая опирается на вероятностные методы. Критические элементы — это потенциально опасные элементы объекта, незаконное вмешательство в которые приведет к нарушению функционирования объекта.
  4. Прогноз последствий в результате совершения на объекте (территории) террористического акта.
  5. Оценка социально-экономических последствий совершения террористического акта. Этот раздел заполняется на основе бухгалтерских данных с учетом стоимости активов.
  6. Силы и средства, привлекаемые для обеспечения антитеррористической защищенности объекта (территории). Укажите, кто охраняет объект: частное охранное предприятие или войска Росгвардии.
  7. Меры по инженерно-технической, физической защите и пожарной безопасности объекта. Перечислите, какие автоматические системы оповещения и связи, средства пожаротушения применяются на объекте.
  8. Выводы и рекомендации.
  9. Дополнительные сведения с учетом особенностей объекта (территории).

Как оформить акт обследования и категорирования объекта

Категорирование проводят в момент ввода объекта в эксплуатацию и в случае значимых изменений его характеристик, например, при монтаже новой автоматической системы пожаротушения.

Каждый федеральный орган исполнительной власти (министерство, ведомство), в ведении которого находятся организации, разрабатывает методический материал, который помогает составлять акт обследования и категорировать объекты защиты.

Пример. Для вузов применяется Письмо Минобрнауки России от 22.02.2018 № ТС-543/12. Для школ и детских садов — Письмо Минпросвещения России от 28.01.2020 № ВБ-85/12.

Акт обследования и категорирования объекта защиты составляет комиссия, назначенная приказом руководителя организации. Требования к созданию комиссии в органах исполнительной власти различны. Во всех случаях можно привлекать сотрудников органов безопасности и МВД России.

В некоторых ведомствах допустимо привлекать:

  • сотрудников специализированных организаций;
  • экспертов специализированных организаций, у которых есть право проводить экспертизу безопасности объектов (территорий);
  • работников организаций, специализирующихся в области инженерно-технического оборудования объектов, проектирования и монтажа технических средств охраны;
  • экспертов в области проектирования и эксплуатации технологических систем.

Каких-либо нормативно закрепленных прямых ограничений или запретов, кроме конфиденциальности информации, по составу комиссии нет. Собственник должен в первую очередь защищать информацию, представляющую интерес для террористов.

Ответственность за неисполнение законодательных требований

Герасименко Наталья

Многие работодатели, к сожалению, халатно относятся к обеспечению АТЗ, притом что ужесточены меры ответственности за неисполнение законодательных требований — вплоть до уголовной ответственности.

В конце 2019 года в КоАП РФ появилась ст. 20.35, которая предусматривает ответственность за нарушения антитеррористического законодательства для объектов и территорий.

За нарушения организациям грозит штраф от 100 000 до 500 000 руб., должностным лицам — дисквалификация от полугода до трех лет или штраф от 30 000 до 50 000 руб.

Если действия виновных будут содержать признаки уголовного преступления, наступят основания для уголовного преследования конкретного человека — руководителя организации или сотрудника, который по должности занимался обеспечением безопасности и антитеррористической защищенности.

Читайте также: