Организация защиты информации и функции служб безопасности на предприятии
Контрольная работа
Организация защиты информации и функции служб безопасности на предприятии
СОДЕРЖАНИЕ
ПЕРВОЕ ДОМАШНЕЕ ЗАДАНИЕ 3
3. Каково основное содержание организационно-правового обеспечения защиты информации? 3
22. Выбор системы телевизионного наблюдения 5
43. Акустические сенсоры. Назначение, принцип действия. 7
63. Идентификация личности по биометрическим признакам. Установление аутентичности. Схема функционирования биометрических устройств. Точность функционирования биометрических устройств. 14
ВТОРОЕ ДОМАШНЕЕ ЗАДАНИЕ 20
9. Основные задачи службы безопасности 20
10. Состав службы безопасности 23
11. Основные задачи организации режима и охраны 25
12. Работа с документами, содержащими КТ 27
Список использованной литературы 32
ПЕРВОЕ ДОМАШНЕЕ ЗАДАНИЕ
3. Каково основное содержание организационно-правового обеспечения защиты информации?
Одним из направлений защиты информационных прав и свобод государства и личности является организационно – правовое обеспечение их информационной безопасности.
Организационно-правовое обеспечение информационной безопасности представляет собою совокупность решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению информационной безопасности, так и создание и функционирование систем защиты информации на конкретных объектах. Поэтому организационно-правовая база должна обеспечивать следующие основные функции: 1) разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации; 2) определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране и порядка регулирования деятельности предприятий и организаций в этой области; 3) создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы обеспечения информационной безопасности как в стране в целом, так и на конкретном объекте; 4) определение мер ответственности за нарушение правил защиты; 5) определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.
Разработка законодательной базы информационной безопасности любого государства является необходимой мерой, удовлетворяющей первейшую потребность в защите информации при развитии социально-экономических, политических, военных направлений развития каждого государства.
Со стороны западных стран особое внимание к формированию такой базы вызвано все возрастающими затратами на борьбу с "информационными" преступлениями. Так, ежегодные потери от компьютерной преступности в Великобритании составляют 2,5 миллиарда фунтов стерлингов, а в странах Западной Европы - 30 миллиардов евро. В отдельные годы рост потерь достигал 430%. Средний ущерб от одного компьютерного преступления в США составляет 450 тысяч долларов, а максимальный - 1 миллиард долларов. Если 1990 году в США в общей сложности было израсходовано на защиту объектов с целью обеспечения безопасности информации примерно 14-16 миллионов долларов, то к настоящему времени эта цифра исчисляется миллиардами. И с каждым годом эта цифра увеличивается. Все это заставляет страны Запада серьезно заниматься вопросами законодательства по защите информации. Так, первый закон в этой области в США был принят в 1906 году, а к настоящему времени уже имеется более 500 законодательных актов по защите информации, ответственности за ее разглашение и компьютерные преступления.
Методологическая база правовой поддержки информационной безопасности в Украине сегодня формируется на уровне научных разработок рядом специалистов в этой сфере. Среди них можно отметить таких исследователей как Брыжко В.М., Базанов Ю.М., Гавловский В.Д., Гурковский В.И., Калюжный Р.А., Нижник Н.Р., Хахановский В.Г., Швец М.Я., Цымбалюк В.С., Ящуринский Ю.В. и ряд других.
В настоящее время в Украине существует около трех тысяч нормативно-правовых актов, которые прямо или посредственно регулируют, охраняют, защищают, поддерживают общественные отношения к информации. Среди них насчитывается около трехсот законодательных (законов и постановлений принятых Верховной Радой Украины). Основу законодательства Украины об информации и информатизации составляют: Конституция Украины, ряд Кодексов (Уголовный, Гражданский, Хозяйственный и др.), Закон об информации, Закон о защите информации в автоматизированных системах и ряд других специальных Законов.
22. Выбор системы телевизионного наблюдения
На современном этапе существует множество систем телевизионного наблюдения.
Это и черно-белые обычные системы, и черно-белые широкоракурсные системы, и черно-белые панорамные системы, а также аналогичные цветные системы телевизионного наблюдения. В последнее время также начинают применяться цветные стереоскопические системы телевизионного наблюдения.
Соответственно все они отличаются друг от друга сложностью технологии изготовления и ценой.
Чем совершеннее становилась телевизионная система наблюдения, тем глубже и полнее опирались при ее построении на возможности зрения человека. Наибольшее полно это отразилось на цветной широкоракурсной системе наблюдения, что более всего подводит к условиям непосредственного наблюдения за объектами и распознавания натуры в телевизионных системах наблюдения.
Если условно расчленить зрительную систему наблюдения на функциональные узлы, то можно сопоставить ее с системой цветного телевидения.
Самыми технологически сложными и дорогостоящими являются стереоскопические системы телевизионного наблюдения, так как в них помимо других функций, свойственных обычным системам телевизионного наблюдения присутствует еще и синтез изображения – преобразование первичной информации в модель передаваемого объекта. Соответственно, всю цепочку технологического функционирования таких систем можно описать таким образом:
1. Преобразование оптического изображения в электрические сигналы. В телевидении, это происходит в передающей камере путем того или другого вида развертывания изображения и, в сущности говоря, является первичным кодированием изображения соответствующими электрическими сигналами.
В зрительном анализаторе системы телевизионного наблюдения происходит развертывание изображения, как и в передающей телевизионной камере, только в более продвинутой форме. При рассматривании больших объектов оба ока синхронно делают скачкообразные движения, переводя наше внимание от одной точки к другой. Кроме того, благодаря мелким и быстрым движениям глаз по горизонтали и вертикали, добывается основная зрительная информация про объект наблюдения. Такое дискретное развертывание обеспечивает большую четкость деталей, чем непрерывная, применяемая в телевидении.
2. Кодирование - трансформация первичной информации в сигналы, удобные для передачи. В черно-белом телевидении этот процесс отсутствует. В цветном и цветном стереоскопическом теленаблюдении кодирование происходит по особому рассчитанными электрическими матрицами. Кодированию поддается информация каждого элемента изображения, причем кодовый сигнал должен нести информацию не только про яркость данного элемента, но и про его цвет.
В зрительной системе световой поток от цветного объекта, падая на сетчатку, вызывает реакцию в соответствующих элементах колбочкового аппарата, который приводит к возникновению в ганглиозних клетках электрических импульсов определенной частоты. Таким образом, оптическое изображение, которое образуется на сетчатке, кодируется частотой электрических импульсов, которые ссылаются разными порциями в высшие отделы анализатора.
4. Декодирование - преобразование кодовых сигналов в сигналы первичной информации. В телевидении для этого служат электрические матрицы, на выходе которых получаем первичные сигналы основных цветов R, G и B для левого и правого изображений. Допустимо ограничиться сигналами R, G и B только для одного изображения пары, а для другого иметь только яркостный сигнал Y.
В бионической системе кодовые сигналы превращаются в энергию биологических процессов, которые создают визуальное ощущение. Происходит это в одном из высших разделов зрительного органа.
5. Синтез изображения - преобразование первичной информации в модель переданного объекта. Этот завершающий этап воспроизведения изображений в теленаблюдении осуществляется приемным устройством. В бионической системе зрительные образы возникают в коре главного мозга и автоматически, в большей или меньшей степени, сохраняются в памяти. В телевизионных системах наблюдения для сохранности изображения в необходимых случаях применяется дополнительный процесс - запись изображения.
43. Акустические сенсоры. Назначение, принцип действия
Современные возможности повышения звукозащиты связаны с проектными работами по акустической защите выделенных помещений, но они не дают нужной защиты от внесенных в последующем средств несанкционированного съема акустической информации.
Задача защиты от акустической утечки состоит в перекрытии всех возможных каналов и нейтрализации средств перехвата (микрофоны, направленные микрофоны, диктофоны, стетоскопы, закладные устройства, лазерные системы, инфракрасные системы и т.д.).
Так, наиболее надежным направлением противодействия несанкционированному получению речевой информации является препятствование звукозаписи переговоров или ее ретрансляции из помещения путем создания специальной шумовой акустической помехи, обеспечивающей скрытие информативного сигнала, при этом соотношение величина шумового сигнала/величина информативного сигнала должны обеспечивать надежное скрытие информативного сигнала или снижение его разборчивости до достаточных пределов.
Группа ученых из Швейцарии, Италии, Германии, Франции и Великобритании разработала уникальную систему Tai-Chi (Tangible Acoustic Interface for Computer-Human Interaction, дословно в переводе с английского – "осязаемый акустический интерфейс для взаимодействия человека с компьютером"). Она позволяет использовать в качестве сенсорной панели или даже виртуальной клавиатуры для доступа к компьютерам любую поверхность, например, стол, стену или пол.
Благодаря трем-четырем пьезоэлектрическим акустическим сенсорам (достаточно всего двух), которые реагируют на вибрацию поверхности, к которой они прикреплены, пользователь сможет управлять командами компьютеров и перемещением курсора, просто двигая пальцем, например, по столу. Если увеличить количество сенсоров, тот же стол можно использовать в качестве клавиатуры.
Возможности применения технологии Tai-Chi не ограничиваются виртуальными клавиатурами, а также используются совместно с физическими и программными системами защиты информации в компьютерах.
В США разработан сверхкомпактный акустический датчик, позволяющий регистрировать не только амплитуду звуковой волны, но и направление ее распространения. Новый детектор позволит создать принципиально новые, более компактные, точные и чувствительные акустические сенсоры для обнаружения движущихся объектов и противодействия их дальнейшим перемещениям в охраняемых зонах.
Существующие средства защиты акустической информации по вибрационным каналам представляют собой генераторы шума (белого или окрашенного) речевого диапазона частот в комплекте с вибропреобразователями пьезоэлектрическими или электромагнитными. Основное назначение их - создание шумовых помех средствам съема информации в стенах, окнах, инженерных коммуникациях. Основной критерий обеспечения защиты - превышение шума над уровнем наведенного в эти конструкции информативного сигнала. Нормы превышения определены соответствующими нормативно-техническими документами.
Прежде всего дадим несколько определений:
• “белый” шум - имеет равномерный спектр в полосе частот речевого сигнала;
• “окрашенный” шум - формируется из “белого” в соответствии с огибающей амплитудного спектра скрываемого речевого сигнала;
• “речеподобные” помехи - формируются путем микширования в различных сочетаниях отрезков речевых сигналов и музыкальных фрагментов, а также шумовых помех, или формируется из фрагментов скрываемого речевого сигнала при многократном наложении с различными уровнями.
Помехи типа “белого” шума реализованы в большинстве существующих систем и средств защиты речевой информации, таких как “ПОРОГ-2М” (НИИСТ МВД РФ), ANG-2000 (Research Electronics, США), VNG-006D (Россия), “Базальт-4 ГА” (Украина), VNG-023 (Россия).
Помехи типа “окрашенного” шума используются в таких системах, как “Кабинет” (Россия), “Барон” (Россия), Bi (Украина).
Формирование “речеподобной” помехи применено в изделиях “Эхо”, “Эхо-кейс” (Россия), ПМ-2А, PSP-2A (Украина), “Mongoose-M” (Украина).
Это далеко не полный перечень средств акустической защиты, подобную аппаратуру разрабатывают и производят практически все известные в области технической защиты информации фирмы.
Сравнительная оценка эффективности различных видов помех, проведенная специалистами, натолкнула на ряд особенностей применения каждой из них. Исследования показывают, что ограждающие конструкции и поверхности обладают неодинаковым акустическим сопротивлением на различных частотах, кроме того, вибропреобразователи также имеют свои конструктивные особенности, влияющие на частотные характеристики. В результате оказывается, что для оптимальной настройки сигнала помехи, обеспечивающего заданный уровень превышения помехи над информативным сигналом на отдельных частотах из-за неправильно сформированной амплитудно-частотной характеристики приходится ставить достаточно высокий уровень помехи. Это приводит к тому, что уровень паразитных акустических шумов на отдельных частотах может быть очень высоким и приводить к дискомфорту (о котором мы говорили выше) для людей, работающих в выделенном помещении. Этот недостаток, прежде всего присущ помехе типа “белый” шум.
Для формирования “окрашенного” шума, сформированного из “белого” в соответствии с огибающей амплитудного спектра скрываемого речевого сигнала, в пяти октавных полосах диапазона 100 - 6000 Гц производится оценка параметров речевого сигнала и осуществляется корректировка уровня шума в тех же полосах с помощью встроенных эквалайзеров. Таким образом, обеспечивается энергетическая оптимальность помехи, при которой заданное нормированное соотношение “сигнал/помеха” выдерживается в пределах всего диапазона частот защищаемого речевого сигнала.
В некоторых комплексах эта задача решается разделением уровней по каждому из выходов. Это позволяет использовать комплекс для одновременного зашумления различных ограждающих конструкций, инженерных коммуникаций, окон и т.п., обладающих неодинаковыми сопротивлением и звукопроводящими свойствами.
Наиболее перспективным оказалось формирование “речеподобной” помехи. Специалистами в основном предлагается создание трех видов такой помехи:
• “речеподобная помеха - 1” - формируется из фрагментов речи трех дикторов радиовещательных станций при примерно равных уровнях смешиваемых сигналов;
• “речеподобная помеха - 2” - формируется из одного доминирующего речевого сигнала или музыкального фрагмента и смеси фрагментов радиопередач с шумом;
• “речеподобная помеха - З” - формируется из фрагментов скрываемого речевого сигнала при многократном их наложении с различными уровнями.
Анализ исследований показал, что наибольшей эффективностью из всех существующих обладает именно “речеподобная помеха - З” (см. рис.) Кривая зависимости коэффициента разборчивости речи W, используемого в качестве показателя эффективности помехи, от отношения “сигнал/помеха” Q для “речеподобной помехи - З” свидетельствует о возможности значительного (на 6-10 дБ) по отношению к другим видам помех снижения требуемого уровня сигнала помехи для достижения заданной эффективности защиты речевой информации и, следовательно, повышения комфортности ведения конфиденциальных разговоров.
Специалистами в области технической защиты информации В.М. Ивановым и А. А. Хоревым предложен способ формирования “речеподобной” помехи коррелированной по уровню, спектру и времени излучения со скрываемым сигналом, заключающейся в специальном преобразовании скрываемого речевого сигнала за счет сложной инверсии спектра и акустической псевдореверберации путем умножения и деления его частотных составляющих и многократного наложения принимаемых переотраженных акустических сигналов.
Реализован предложенный способ формирования “речеподобных” помех, в устройствах типа “Эхо”, “Эхо-кейс”. Эти устройства содержат микрофонный модуль и активные акустические колонки со встроенным специальным блоком обработки речевых сигналов. Диапазон частот маскирующей помехи составляет 250-8000 Гц. Электропитание устройств осуществляется от электросети 220В или внешней батареи аккумуляторов (12В; 2,2 А/ч).
Принцип действия устройства заключается в следующем.
Микрофон, как правило, устанавливаемый в центре стола, принимает акустические речевые колебания, возникающие при ведении переговоров, и преобразовывает их в электрические сигналы, которые по соединительному кабелю подаются на блок обработки.
В блоке обработки эти сигналы, путем умножения и деления частотных составляющих преобразовываются в шумовые “речеподобные”, усиливаются и излучаются через акустические колонки, причем уровень излучаемых сигналов помех пропорционален уровню скрываемых речевых сигналов. Коэффициент усиления уровня громкости и тембра регулируется при установке устройства.
Излучаемые шумовые “речеподобные” акустические сигналы отражаются от ограждающих конструкций помещения (стен, оконных стекол, потолка пола), предметов мебели и интерьера и через некоторое время после излучения (время задержки) принимаются микрофоном и так же, как скрываемые речевые сигналы, обрабатываются и излучаются через акустические колонки. Этот процесс многократно повторяется.
Таким образом, устройством излучается “речеподобная” помеха, являющаяся результатом многократного наложения смещенных на различное время задержки разноуровневых сигналов, получаемых путем умножения и деления частотных составляющих скрываемого речевого сигнала.
Через несколько секунд после прекращения ведения разговоров в помещении генерация сигналов помех устройством прекращается.
Проведенные испытания устройства “Эхо” показали, что записанную на диктофон скрываемую речь в условиях создаваемых устройством помех невозможно связно восстановить даже с использованием современных методов “шумоочистки”.
Возвращаясь к вопросу о дискомфорте, возникающем при использовании средств акустической защиты, следует отметить, что такие устройства, как “Эхо”, “Эхо-кейс”, ПМ-2А, PSP-2A, “Mongoose-M” имеют серьезные преимущества по сравнению с формирователями “белого шума”, так как создают помеху только при разговоре, в остальное же время устройство “молчит”. При использовании устройств ПМ-2А и “Mongoose-M” для достижения максимальной защиты участникам переговоров предлагается надеть телефонные гарнитуры с большими амбушюрами, чтобы громкий звук шумовой помехи не мешал разговору.
Устройство PSP-2A привлекает своим изящным внешним видом и малыми размерами (устройство размещено в элегантной барсетке).
К числу проблем, редко учитываемых при выборе средств защиты речевой информации, но очень важной для выделенных помещений, в которых циркулирует речевая информация, связанная с государственной тайной, относится проблема текущего контроля эффективности виброакустического зашумления. Речь идет о непрерывной оценке качества создаваемых помех с выработкой сигналов тревоги в случае отключения помехи или снижения ее уровня ниже допустимого.
Данная проблема актуальна в связи с тем, что вибропреобразователи, излучая виброакустическую помеху, сами постоянно находятся под воздействием вибрации. Следствием этого является высокая вероятность разрушения элементов их крепления на ограждающих конструкциях защищаемых помещений, что влечет за собой снижение качества помехи. Возможны также выходы из строя отдельных вибропреобразователей, нарушения контакта их подсоединения и другие причины, которые могут привести к снижению эффективности защиты.
Решением этой проблемы является создание распределенных систем, объединяющих как средства виброакустического зашумления, так и средства контроля качества помех. Примерами таких систем могут служить комплекс “Барон”, VNG-012.
63. Идентификация личности по биометрическим признакам. Установление аутентичности. Схема функционирования биометрических устройств. Точность функционирования биометрических устройств
Идентификация является одним из самых важных компонентов организации защиты информации в сети. Прежде чем пользователю будет предоставлено право получить тот или иной ресурс, необходимо убедиться, что он действительно тот, за кого себя выдаёт.
Идентификация – процесс установления, кому из ограниченной группы лиц принадлежит, например, отпечаток пальца или голос. Проблема в том, что, в отличие от верификации, идентификация не решает вопроса о принадлежности образца и эталона одному и тому же отпечатку пальца или голосу, а лишь находит самый погожий отпечаток пальца или голос. Соответственно, стоит задача создания оптимального алгоритма проведения этих процедур.
Вопрос имитации голоса другим человеком.
Соответственно, стоит задача создания
имитостойкого алгоритма речевой
идентификации.
Существуют технические
средства изменения звучания голоса.
Необходимо определение возможности
идентификации личности в таких условиях.
Голос человека изменяется с годами.
Какова в таком случае ситуация с
возможностью идентификации по голосу?
Исследования новых признаков для поиска наиболее информативных при описании индивидуальных особенностей голоса.
Большинство разработанных на сегодняшний день систем идентификации личности по голосу построены на основе однократной проверки соответствия требуемой ключевой фразы и произнесенной в первоначальный момент доступа к вычислительной системе.
Данные системы поддерживают два основных режима работы: обучение системы и проверка подлинности при доступе. Голосовую защиту можно обойти, если перехвачена или записана ключевая фраза. Поэтому разработчики сейчас пытаются создать систему, защищённую от перехвата.
В настоящее время системы на основе речевых технологий разработаны и выпускаются рядом отечественных и зарубежных фирм. В основном эти разработки представляют собой программные продукты, предназначенные для работы на аппаратных платформах современных ПЭВМ или в составе ЛВС. Это позволяет уже сейчас рассматривать возможность их применения для обеспечения контроля доступа, как к физическим объектам, так и к информационным ресурсам в составе интегрированных систем безопасности, поскольку верхний уровень управления ИСБ как раз и построен на базе ЛВС.
В соответствии с проведенным анализом, а также на основе совместных проработок с рядом ведущих отечественных предприятий, специализирующихся в области речевых технологий, был разработан проект тактико-технических требований для создания СКУД на основе речевой идентификации для доступа к физическим объектам и информационным ресурсам.
Многопользовательская система голосовой тексто-зависимой верификации диктора предназначена для разграничения доступа пользователей к физическим объектам (контроль доступа в помещения) или информационным ресурсам по парольной фразе. Предлагаемая система должна удовлетворять необходимым требованиям по безопасности, минимизируя при этом неизбежно возникающие для пользователей неудобства.
Система должна быть построена на базе программного обеспечения, использующего собственные запатентованные алгоритмы верификации диктора по голосу, а также компьютерного оборудования – серверов обработки и хранения голосовой биометрической информации. В составе системы должны быть средства ввода и передачи звуковой информации и средства управления исполнительными устройствами СКУД.
Система должна обеспечивать:
- определение личности пользователя без непосредственного контакта с ним;
- использование в качестве технических средств ввода для верификации по голосу микрофонов широкого применения;
- эффективное распознавание живого голоса, исключая возможность использования записей для несанкционированного доступа;
- минимальное значение ошибки FAR=0,01 %;
- регламентацию прохода 200 сотрудников на территории с различными уровнями доступа без ввода личного ПИН-кода или личной смарт-карты.
Система должна иметь следующие возможности:
- тонкая подстройка системы для достижения оптимального соотношения безопасности и удобства использования для каждого конкретного пользователя;
- разграничение прав доступа пользователей к ресурсам через систему приоритетов;
- удобное и быстрое добавление новых пользователей в систему (без прерывания работы системы);
- круглосуточный непрерывный режим работы системы;
- ведение журнала активности пользователей; удаленный доступ для администрирования системы и аудита пользователей; автоматическое использование нескольких дисков для хранения биометрических данных и журналов верификации пользователей.
Система должна иметь следующие варианты использования: аппаратно-программный комплекс, регламентирующий проход сотрудников на территории с различными уровнями доступа без ввода личного ПИН-кода или личной смарт-карты (при необходимости с сохранением «инкогнито»); аппаратно-программный комплекс разграничения доступа пользователей с телефонной линии к закрытой информации (банковский счет, подтверждение банковских транзакций, биржевые торги, платные информационные ресурсы, междугородние/международные звонки) аппаратно-программный комплекс разграничения доступа сотрудников с персональных компьютеров к внутренним корпоративным сетевым ресурсам либо ресурсам Internet без ввода личного ПИН-кода.
Таким образом, в заключение можно отметить следующее. Речь традиционно считается самой распространенной формой человеческого общения. Поэтому решения задачи получения отпечатка (изображения) речи и наоборот – качественного синтеза речевого сигнала по этому изображению – позволяют обеспечить широкий спектр возможностей применения этой технологии не только в системах автоматизированного контроля доступа, но и в других областях информационной безопасности и связи.
На сегодняшний день созданы десятки различных систем идентификации по голосу, имеющих различные параметры и требования к процессу идентификации в зависимости от конкретных задач. В нашей стране разработан ряд законченных программных продуктов.
К сожалению, разработанные на сегодняшний день системы построены в основном на программных продуктах, предназначенных для работы на ПЭВМ или в ЛВС. Имеется также ряд других недостатков, препятствующих их широкому внедрению, такие как сложность процедуры обучения систем (регистрации пользователей), достаточно высокая стоимость программного обеспечения, по сравнению, например, с дактилоскопическими системами, меньшая точность верификации и идентификации. Тем не менее существуют и положительные стороны в использовании систем идентификации по голосу, такие как то, что это пока единственная биометрическая технология, которая позволяет проводить бесконтактную, скрытую и удаленную идентификацию личности, в соответствии с чем многие российские и зарубежные организации работают над устранением имеющихся недостатков.
Возможности и достоинства речевых
технологий идентификации – это:
привычный для человека способ
идентификации; низкая
стоимость аппаратных средств (микрофоны)
при реализации в составе комплексных
систем безопасности (самая низкая среди
всех биометрических методов);
бесконтактность; возможность
удаленной идентификации (сравнения с
конкретным эталоном) или верификации
(поиска в базе эталонов) клиентов;
сложность или даже невозможность для
злоумышленника имитировать голос с
помощью магнитофона. Во-первых, системы
идентификации способны контролировать
сразу несколько признаков, отличающихся
от тех, что используются в рече-слуховой
системе, во-вторых, при воспроизведении
записанной речи через миниатюрные
громкоговорители в сигнал вносятся
искажения, препятствующие идентификации
говорящего; возможность
при идентификации человека определить,
находится ли он под угрозой насилия,
поскольку эмоциональное состояние
говорящего оказывает существенное
влияние на характеристики голоса и
речи;возможность повышения надежности
аутентификации за счет одновременного
использования технологий идентификации
по голосу и распознавания речи
(произнесенного пароля).
Недостатки, которые нельзя обойти
вниманием, – это: высокий
уровень ошибок 1-го и 2-го рода по сравнению
с дактилоскопическими методами;
необходимость в специальном
шумоизолированном помещении для
прохождения идентификации;
возможность перехвата фразы с
помощью звукозаписывающих устройств;
зависимость качества распознавания
от многих факторов (интонация, скорость
произнесения, психологическое состояние,
болезни горла); необходимость
подбора специальных фраз для повышения
точности распознавания; голос
в отличие от папиллярных узоров пальцев
или ладоней меняется с возрастом. Это
приводит к необходимости периодически
обновлять хранящийся в системе эталон
речи; на голос оказывает
влияние физическое и эмоциональное
состояние человека; надежность
работы системы зависит от качества
канала передачи речевого сигнала к
системе идентификации, в частности, от
таких его характеристик, как частотный
диапазон, уровень нелинейных искажений,
отношение сигнал/шум, неравномерность
частотной характеристики.
Наивысшая надежность работы
обеспечивается в том случае, когда
эталон голоса клиента и его запрос
поступают по одному и тому же каналу,
например, телефонному.
ВТОРОЕ ДОМАШНЕЕ ЗАДАНИЕ
9. Основные задачи службы безопасности
Задачами службы безопасности являются помимо чисто охранных функций:
· обеспечение безопасности информации структурных подразделений и персонала Предприятия в процессе информационной деятельности и взаимодействия между собой, а также во взаимоотношениях с внешними отечественными и заграничными организациями;
· исследование технологии обработки информации с целью выявления возможных каналов утечки и других угроз безопасности информации, формирование модели угроз, разработка политики безопасности информации, определение мероприятий, направленных на ее реализацию;
· организация и координация работ, связанных с защитой информации на Предприятии, необходимость защиты которой определяется действующим законодательством, поддержка необходимого уровня защищенности информации, ресурсов и технологий;
· разработка проектов нормативных и распорядительных документов, действующих в границах организации, предприятия, в соответствии с которыми должна обеспечиваться защита информации на Предприятии;
· организация работ по созданию и использованию КСЗИ на всех этапах жизненного цикла КС;
· участие в организации профессиональной подготовки и повышении квалификации персонала и пользователей КС по вопросам защиты информации;
· формирование у персонала и пользователей Предприятия понимания необходимости выполнения требований нормативно-правовых актов, нормативных и распорядительных документов, касающихся сферы защиты информации;
· организация обеспечения выполнения персоналом и пользователями требований нормативно-правовых актов, нормативных и распорядительных документов по защите информации Предприятии и проведение контрольных проверок их выполнения;
· обеспечение определенных политикой безопасности свойств информации (конфиденциальности, целостности, доступности) во время создания и эксплуатации КС;
· своевременное выявление и обезвреживание угроз для ресурсов КС, причин и условий, которые приводят (могут привести к) нарушениям ее функционирования и развития;
· создание механизма и условий оперативного реагирования на угрозы безопасности информации, другие проявления отрицательных тенденций в функционировании КС;
· эффективное обезвреживание (предупреждение) угроз ресурсам КС путем комплексного внедрения правовых, морально-этических, физических, организационных, технических и других мероприятий обеспечения безопасности;
· управление средствами защиты информации, управление доступом пользователей к ресурсам КС, контроль за их работой со стороны персонала Службы безопасности, оперативное извещение о попытках НСД к ресурсам КС Предприятия;
· регистрация, сбор, хранение, обработка данных о всех событиях в системе, которые имеют отношение к безопасности информации;
· создание условий для максимально возможного возмещения и локализаци убытков, которые создаются неправомерными (несанкционированными) действиями физических и юридических лиц, влиянием внешней среды и другими факторами, уменьшение отрицательного влияния последствий нарушения безопасности функционирования КС.
Служба безопасности имеет право:
осуществлять контроль за деятельностью любого структурного подразделения Предприятия относительно выполнения им требований нормативно-правовых актов и нормативных документов по защите информации;
подавать руководству Предприятия предложения относительно приостановления процесса обработки информации, запрета обработки, изменения режимов обработки, и т.п. в случае выявления нарушений политики безопасности или в случае возникновения реальной угрозы нарушения безопасности;
составлять и подавать руководству Предприятия акты относительно выявленных нарушений политики безопасности, готовить рекомендации относительно их устранения;
проводить служебные расследования в случаях выявления нарушений;
получать доступ к работам и документам структурных подразделений Предприятия, необходимых для оценки принятых мер по защите информации и подготовки предложений относительно их дальнейшего усовершенствования;
готовить предложения относительно привлечения на договорной основе к выполнению работ по защите информации других организаций, которые имеют лицензии на соответствующий вид деятельности;
готовить предложения относительно обеспечения КС (КСЗИ) необходимыми техническими и программными средствами защиты информации и другой специальной техникой, разрешенной для использования на Украине с целью обеспечения защиты информации;
выходить к руководству Предприятия с предложениями относительно представления заявлений в соответствующие государственные органы на проведение государственной экспертизы КСЗИ или сертификации отдельных средств защиты информации;
согласовывать условия включения в состав КС новых компонентов и подавать руководству предложения относительно запрета их включения, если они нарушают принятую политику безопасности или уровень защищенности ресурсов КС;
предоставлять выводы по вопросам, которые належат к компетенции Службы безопасности, необходимые для осуществления информационной деятельности Предприятия, в особенности технологий, доступ к которым ограничен, других проектов, которые требуют технической поддержки со стороны сотрудников Службы безопасности;
выходить к руководству Предприятия с предложениями относительно согласования планов и регламента доступа к КС посторонним лицам;
другие права, предоставленные Службе безопасности в соответствии с спецификой и особенностями деятельности Предприятия.
10. Состав службы безопасности
Штатное расписание и структура подразделения Службы безопасности:
Служба безопасности является штатным подразделением Предприятия непосредственно подчиненным по вопросам безопасности и защиты информации Руководителю Предприятия или Заместителю Секретаря ПРЕДПРИЯТИЯ, который отвечает за обеспечение безопасности информации.
Штатность или позаштатность Службы безопасности Предприятия определяется руководством Предприятия.
Структура Службы безопасности, ее состав и численность определяется фактическими потребностями Предприятия для выполнения требований политики безопасности информации и утверждается руководством Предприятия.
Численность и состав Службы безопасности должны быть достаточными для выполнения всех задач безопасности и защиты информации.
С целью эффективного функционирования и управления защитой информации Служба безопасности имеет штатное расписание, которое включает перечень функциональных обязанностей всех сотрудников, необходимых требований к уровню их знаний и навыков. Штат Службы безопасности комплектуется специалистами, имеющими специальное техническое образование (высшее, среднее специальное, специальные курсы повышения квалификации в области безопасности и защиты информации и т.п.) и практический опыт работы, владеют навыками по разработке, внедрению, эксплуатации комплексных систем защиты информации КСЗИ и средств защиты информации, а также реализации организационных, технических и других мероприятий по защите информации, знаниями и умением применять нормативно-правовые документы в сфере защиты информации.
Функциональные обязанности сотрудников определяются перечнем и характером задач, которые возлагаются на Службу безопасности руководством Предприятия.
В зависимости от объемов и особенностей задач Службы безопасности в ее состав могут входить специалисты (группы специалистов, подразделения и др.) разных специальностей:
· специалисты по вопросам защиты информации от утечки по техническим каналам;
· специалисты по вопросам защиты каналов связи и коммутационного оборудования, отладки и управления активным сетевым оснащением;
· специалисты по вопросам администрирования и контроля средств защиты, управления системами доступа и базами данных защиты;
· специалисты по вопросам защитных технологий обработки информации.
По должностям сотрудники Службы безопасности могут делиться на такие категории (по уровню иерархии):
· руководитель Службы безопасности;
· специалисты (инспекторы) Службы безопасности по маркетинговым исследованиям;
· администраторы защиты КС (безопасности баз данных, безопасности системы и т.п.);
· специалисты службы защиты.
11. Основные задачи организации режима и охраны
Работники режима и охраны обязаны:
1.1. Знать действующие нормативные документы по вопросам организации охраны объектов, добросовестно выполнять служебные обязанности, обеспечивать надежную охрану имущества собственников, установленный ими пропускной режим.
1.2. Хорошо знать особенности охраняемых объектов, применяемые технические средства охраны и противопожарной защиты, постоянно совершенствовать служебное мастерство, не разглашать сведения об организации охраны объектов, беречь вверенное оружие и имущество, содержать их в исправном состоянии.
1.3. Соблюдать установленные на объектах правила техники безопасности, производственной санитарии и пожарной безопасности.
1.4. При авариях, катастрофах, пожарах, стихийных бедствиях и других чрезвычайных событиях немедленно сообщать о случившемся в соответствующие органы (орган внутренних дел, пожарную охрану), администрации охраняемого объекта и принимать меры по усилению охраны имущества, оказанию помощи пострадавшим.
2. Работникам подразделений режима и охраны для выполнения возложенных на них обязанностей предоставляется право:
2.1. Требовать от рабочих и служащих охраняемых объектов и других лиц соблюдения установленного пропускного режима.
2.2. Задерживать лиц, пытающихся незаконно вывезти (вынести) материальные ценности с охраняемого объекта.
2.3. Доставлять в служебные помещения охраны или в милицию лиц, подозреваемых в совершении правонарушений, связанных с посягательством на охраняемое имущество.
2.4. Производить в установленном законодательством порядке досмотр вещей, а в исключительных случаях - личный досмотр на контрольно-пропускных пунктах, а также досмотр транспортных средств и проверку соответствия перевозимых грузов сопроводительным документам при выезде (въезде) с территории охраняемого объекта.
2.5. Использовать для обнаружения и изъятия незаконно вывозимого (выносимого) имущества, а также для фиксации противоправных действий технические средства, не причиняющие вреда жизни, здоровью граждан и окружающей среде.
2.6. Применять в случаях и порядке, предусмотренных законодательством, огнестрельное оружие.
2.7. Требовать от должностных лиц выполнения обязательств, направленных на обеспечение сохранности материальных ценностей и создание безопасных условий труда для работников охраны.
2.8. Руководители подразделений режима и охраны несут ответственность за организацию службы по охране объектов, профессиональную подготовку подчиненных, выполнение ими служебных обязанностей, соблюдение правил внутреннего трудового распорядка, техники безопасности, состояние условий труда и дисциплины, правильное использование технических средств охраны, связи, оружия, боеприпасов, оборудования, инвентаря и имущества, применение служебных собак и т. п.
12. Работа с документами, содержащими КТ
ПОРЯДОК ОБЕСПЕЧЕНИЯ СОХРАННОСТИ ДОКУМЕНТОВ, ДЕЛ И ЗДАНИЙ, СОДЕРЖАЩИХ КТ
Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам. К сведениям, составляющим коммерческую тайну, относятся несекретные сведения, предусмотренные " Перечнем сведений, составляющих коммерческую тайну предприятия", утвержденным и введенным в действие приказом руководителя предприятия Коммерческая тайна предприятия является его собственностью. Если она представляет собой результат совместной деятельности с другими предприятиями, основанной на договорных началах, то коммерческая тайна может быть собственностью двух сторон, что должно найти отражение в договоре.
Все имеющие гриф "КТ" документы, дела и издания должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах. Помещения должны отвечать требованиям внутри объектного режима, обеспечивающего физическую сохранность находящейся в них документации.
Дела с грифом "КТ", выдаваемые исполнителю, подлежат возврату в подразделение делопроизводства службы безопасности (СБ) в тот же день. При необходимости, с разрешения начальника подразделения делопроизводства СБ или уполномоченного СБ они могут находиться у исполнителя в течении срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.
С документацией с грифом "КТ" разрешается работать только в служебных помещениях. Для работы вне служебных помещений необходимо разрешение руководителя предприятия или структурного подразделения.
Документы, дела и издания с грифом "КТ" могут передаваться другим сотрудникам, допущенным к этим документам, только через делопроизводство СБ или уполномоченного СБ.
Изъятия из дел или перемещение документов с грифом "КТ" из одного дела в другое без санкции руководителя делопроизводства СБ или уполномоченного СБ, осуществляющего их учет, запрещается.
Смена сотрудников, ответственных за учет и хранение документов, дел и изданий с грифом "КТ", оформляется распоряжением начальника подразделения. При этом составляется по произвольной форме акт приема-передачи этих материалов, утверждаемый указанным руководителем.
Уничтожение документов "КТ" производится комиссией в составе не менее трех человек с составлением акта.
Печатание документов "КТ" разрешается в машинописном бюро или непосредственно в подразделениях. Для учета отпечатанных документов ведется специальный журнал.
Порядок работы с документами, содержащими КТ
Документы, имеющие гриф "КТ", подлежат обязательной регистрации в подразделении делопроизводства службы безопасности ( в Первом отделе ) или в общем делопроизводстве производственного подразделения уполномоченным службы безопасности. Эти документы должны иметь реквизиты, предусмотренные п.2.2 и гриф "КТ" ( или полностью "Коммерческая тайна"). Права на информацию, порядок пользования ею, сроки ограничения на публикацию могут оговариваться дополнительно в тексте документа и его реквизитах. Отсутствие грифа "КТ" и предупредительных оговорок в тексте и реквизитах означает свободную рассылку и предполагает, что автор информации и лицо, подписавшее или утвердившее документ, предусмотрели возможные последствия от свободной рассылки и несут за это ответственность.
Вся поступающая корреспонденция, имеющая гриф "КТ" ( или другие соответствующие этому понятию грифы, например, "секрет предприятия, "тайна предприятия" и др.) принимается и вскрывается сотрудниками предприятия, которым поручена работа с этими материалами. При этом проверяется количество листов и экземпляров, а также наличие указанных в сопроводительном письме приложений. При обнаружении отсутствия в конвертах (пакетах) указанных документов составляется акт в двух экземплярах: один экземпляр акта направляется отправителю.
Все входящие, исходящие и внутренние документы, а также издания с грифом "КТ" подлежат регистрации и учитываются по количеству листов, а издания - поэкземплярно.
Учет документов и изданий с грифом "КТ"
ведется в журналах или карточках
отдельно от учета другой служебной
несекретной документации. Листы журналов
нумеруются, прошиваются и опечатываются.
Документы, которые не подшиваются в
дела, учитываются в журнале инвентарного
учета.
Движение документов и изданий
с грифом "КТ" своевременно отражается
в журналах или карточках.
На зарегистрированном документе с грифом "КТ" ( или на сопроводительном листе к изданиям с грифом "КТ") должен быть проставлен штамп с указанием наименования предприятия, регистрационный номер документа и дата его поступления.
Издания с грифом "КТ" регистрируются в журнале учета и распределения изданий.
Отпечатанные и подписанные документы вместе с их черновиками передаются для регистрации сотруднику подразделения делопроизводства службы безопасности, осуществляющему их учет. Черновики уничтожаются исполнителем и этим сотрудником, что подтверждается росписью указанных лиц в журнале или на карточках учета. При этом проставляется дата и подпись.
Размножение документов и изданий с грифом "КТ" в типографиях и других множительных участках производится с разрешения и под контролем специально назначенных сотрудников службы безопасности по заказам, подписанным руководителем предприятия. Размноженные документы "КТ" (копии, тираж) должны быть полистно подобраны, пронумерованы поэкземплярно и, при необходимости, сброшюрованы (сшиты). Нумерация дополнительно размноженных экземпляров, производится от последнего номера, ранее учтенных экземпляров этого документа. Перед размножением на последнем листе оригинала ( подлинника) проставляется запись: " Регистрационный номер ________. Дополнительно размножено _____ экз., на _____ листах текста. Наряд N ___ от _____. Подпись ( " исполнитель заказа ) ". Одновременно делается отметка об этом в соответствующих журналах и карточках учета.
Рассылка документов и изданий с грифом
"КТ" производиться на основании
подписанных руководителем структурного
подразделения разнарядок с указанием
учетных номеров отправляемых
экземпляров.
Пересылка пакетов с
грифом "КТ" может осуществляться
через органы спецсвязи или фельдсвязи.
Документы с грифом "КТ" после исполнения группируются в отдельные дела. Порядок их группировки предусматривается специальной номенклатурой дел, в которую в обязательном порядке включаются все справочные картотеки и журналы на документы и издания с грифом "КТ".
Снятия рукописных, машинописных, микро - и фотокопий, электрографических и др. копий, а также производство выписок из документов и изданий с грифом "КТ" сотрудниками предприятия производится по разрешению руководителя предприятия и подразделений.
Допуск сотрудников к сведениям, составляющим коммерческую тайну, осуществляется руководителем предприятия или руководителями его структурных подразделений. Руководители подразделений и службы безопасности обязаны обеспечить систематический контроль за допуском к этим сведениям только тех лиц, которым они необходимы для выполнения служебных обязанностей.
Сотрудники предприятия, допущенные к сведениям, составляющим коммерческую тайну, несут ответственность за точное выполнение требований, предъявляемых к ним в целях обеспечения сохранности указанных сведений. До получения доступа к работе, связанной с коммерческой тайной, им необходимо изучить настоящую инструкцию и дать в службе безопасности письменное обязательство о сохранении коммерческой тайны.
Список использованной литературы
Мельников В. Защита информации в компьютерных системах. М.: Финансы и статистика, Электронинформ, 1997
Мафтик С. Механизмы защиты в сетях ЭВМ. /пер. с англ. М.: МИР, 1993.
Петров В.А., Пискарев С.А., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. - М., 1998.
Марченко Д.Н. Простий економний охоронний пристрій// Радюаматор. - 2000. - №9.
Спесивцев А.В. и др. Защита информации в персональных ЭВМ. - М.: Радио и связь, 1993.
Гмурман А.И. Информационная безопасность. М.: «БИТ-М», 2004 г.
1