Контрольная работа
Организация защиты информации и функции служб безопасностина предприятии
СОДЕРЖАНИЕ
ПЕРВОЕДОМАШНЕЕ ЗАДАНИЕ. 3
3.Каково основное содержание организационно-правовогообеспечения защиты информации?.. 3
22.Выбор системы телевизионного наблюдения. 5
43.Акустические сенсоры. Назначение, принцип действия. 7
63.Идентификация личности по биометрическим признакам. Установление аутентичности.Схема функционирования биометрических устройств. Точность функционированиябиометрических устройств. 14
ВТОРОЕДОМАШНЕЕ ЗАДАНИЕ. 20
9.Основные задачи службы безопасности. 20
10.Состав службы безопасности. 23
11.Основные задачи организации режима и охраны… 25
12.Работа с документами, содержащими КТ. 27
Списокиспользованной литературы… 32
ПЕРВОЕДОМАШНЕЕ ЗАДАНИЕ
3. Каковоосновное содержание организационно-правового обеспечения защиты информации?
Одним из направлений защитыинформационных прав и свобод государства и личности является организационно –правовое обеспечение их информационной безопасности.
Организационно-правовое обеспечениеинформационной безопасности представляет собою совокупность решений, законов,нормативов, регламентирующих как общую организацию работ по обеспечениюинформационной безопасности, так и создание и функционирование систем защитыинформации на конкретных объектах. Поэтому организационно-правовая база должнаобеспечивать следующие основные функции: 1) разработка основных принциповотнесения сведений, имеющих конфиденциальный характер, к защищаемой информации;2) определение системы органов и должностных лиц, ответственных за обеспечениеинформационной безопасности в стране и порядка регулирования деятельностипредприятий и организаций в этой области; 3) создание полного комплексанормативно-правовых руководящих и методических материалов (документов),регламентирующих вопросы обеспечения информационной безопасности как в стране вцелом, так и на конкретном объекте; 4) определение мер ответственности занарушение правил защиты; 5) определение порядка разрешения спорных иконфликтных ситуаций по вопросам защиты информации.
Разработка законодательной базыинформационной безопасности любого государства является необходимой мерой,удовлетворяющей первейшую потребность в защите информации при развитиисоциально-экономических, политических, военных направлений развития каждогогосударства.
Со стороны западных стран особоевнимание к формированию такой базы вызвано все возрастающими затратами наборьбу с «информационными» преступлениями. Так, ежегодные потери откомпьютерной преступности в Великобритании составляют 2,5 миллиарда фунтовстерлингов, а в странах Западной Европы — 30 миллиардов евро. В отдельные годырост потерь достигал 430%. Средний ущерб от одного компьютерного преступления вСША составляет 450 тысяч долларов, а максимальный — 1 миллиард долларов. Если1990 году в США в общей сложности было израсходовано на защиту объектов с цельюобеспечения безопасности информации примерно 14-16 миллионов долларов, то кнастоящему времени эта цифра исчисляется миллиардами. И с каждым годом этацифра увеличивается. Все это заставляет страны Запада серьезно заниматьсявопросами законодательства по защите информации. Так, первый закон в этойобласти в США был принят в 1906 году, а к настоящему времени уже имеется более500 законодательных актов по защите информации, ответственности за ееразглашение и компьютерные преступления.
Методологическая база правовойподдержки информационной безопасности в Украине сегодня формируется на уровненаучных разработок рядом специалистов в этой сфере. Среди них можно отметитьтаких исследователей как Брыжко В.М., Базанов Ю.М., Гавловский В.Д., ГурковскийВ.И., Калюжный Р.А., Нижник Н.Р., Хахановский В.Г., Швец М.Я., Цымбалюк В.С.,Ящуринский Ю.В. и ряд других.
В настоящее время в Украине существуетоколо трех тысяч нормативно-правовых актов, которые прямо или посредственнорегулируют, охраняют, защищают, поддерживают общественные отношения кинформации. Среди них насчитывается около трехсот законодательных (законов ипостановлений принятых Верховной Радой Украины). Основу законодательстваУкраины об информации и информатизации составляют: Конституция Украины, рядКодексов (Уголовный, Гражданский, Хозяйственный и др.), Закон об информации,Закон о защите информации в автоматизированных системах и ряд другихспециальных Законов.
22. Выбор системытелевизионного наблюдения
На современном этапе существует множество системтелевизионного наблюдения.
Это и черно-белые обычные системы, и черно-белыеширокоракурсные системы, и черно-белые панорамные системы, а также аналогичныецветные системы телевизионного наблюдения. В последнее время также начинаютприменяться цветные стереоскопические системы телевизионного наблюдения.
Соответственно все они отличаются друг от друга сложностьютехнологии изготовления и ценой.
Чем совершеннеестановилась телевизионная система наблюдения, тем глубже иполнее опирались при ее построении на возможности зрениячеловека. Наибольшее полно это отразилось на цветной широкоракурсной системе наблюдения, что более всего подводит к условиямнепосредственного наблюдения за объектами и распознавания натуры в телевизионных системах наблюдения.
Если условно расчленить зрительнуюсистему наблюдения на функциональные узлы, то можносопоставить ее с системой цветного телевидения.
Самыми технологически сложными и дорогостоящими являются стереоскопические системытелевизионного наблюдения, так как в них помимо других функций, свойственныхобычным системам телевизионного наблюдения присутствует еще и синтез изображения– преобразование первичной информации в модель передаваемого объекта.Соответственно, всю цепочку технологического функционирования таких системможно описать таким образом:
1. Преобразование оптическогоизображения в электрические сигналы. В телевидении, это происходит в передающейкамере путем того или другого вида развертывания изображения и, в сущности говоря, является первичным кодированием изображения соответствующими электрическимисигналами.
В зрительном анализаторе системытелевизионного наблюдения происходит развертывание изображения,как и в передающей телевизионной камере, только в более продвинутой форме. При рассматривании больших объектов оба ока синхронно делаютскачкообразные движения, переводя наше внимание от одной точки к другой. Кроме того, благодаря мелким и быстрым движениямглаз по горизонтали и вертикали, добывается основная зрительная информация про объект наблюдения. Такое дискретное развертывание обеспечивает большуючеткость деталей, чем непрерывная, применяемая в телевидении.
2. Кодирование — трансформацияпервичной информации в сигналы, удобные для передачи. В черно-белом телевиденииэтот процесс отсутствует. В цветном и цветномстереоскопическом теленаблюдении кодированиепроисходит по особому рассчитанными электрическими матрицами.Кодированию поддается информация каждого элемента изображения, причем кодовыйсигнал должен нести информацию не только про яркость данного элемента, но и про его цвет.
В зрительной системе световой поток отцветного объекта, падая на сетчатку, вызывает реакцию в соответствующих элементах колбочкового аппарата, которыйприводит к возникновению в ганглиозних клетках электрических импульсовопределенной частоты. Таким образом, оптическое изображение, которое образуется на сетчатке, кодируется частотой электрических импульсов, которыессылаются разными порциями в высшие отделы анализатора.
4. Декодирование — преобразованиекодовых сигналов в сигналы первичной информации. В телевидении для этого служатэлектрические матрицы, на выходе которых получаем первичные сигналы основныхцветов R, G и B для левого и правого изображений. Допустимо ограничиться сигналамиR, G и B только для одного изображения пары, а для другогоиметь только яркостный сигнал Y.
В бионическойсистеме кодовые сигналы превращаются в энергиюбиологических процессов, которые создают визуальное ощущение. Происходит это водном из высших разделов зрительного органа.
5. Синтез изображения — преобразованиепервичной информации в модель переданного объекта. Этот завершающий этапвоспроизведения изображений в теленаблюдении осуществляется приемнымустройством. В бионической системе зрительные образывозникают в коре главного мозга и автоматически, в большей или меньшей степени,сохраняются в памяти. В телевизионных системах наблюдения для сохранностиизображения в необходимых случаях применяется дополнительный процесс — записьизображения.
43. Акустические сенсоры.Назначение, принцип действия
Современные возможности повышения звукозащиты связаны с проектными работами по акустическойзащите выделенных помещений, но они не дают нужной защиты от внесенных впоследующем средств несанкционированного съемаакустической информации.
Задача защиты от акустической утечки состоит в перекрытии всех возможных каналов и нейтрализациисредств перехвата (микрофоны, направленные микрофоны, диктофоны, стетоскопы,закладные устройства, лазерные системы, инфракрасные системы и т.д.).
Так, наиболее надежным направлениемпротиводействия несанкционированному получению речевой информации являетсяпрепятствование звукозаписи переговоров или ее ретрансляции из помещения путемсоздания специальной шумовой акустической помехи,обеспечивающей скрытие информативного сигнала, при этом соотношение величинашумового сигнала/величина информативного сигнала должны обеспечивать надежноескрытие информативного сигнала или снижение его разборчивости до достаточныхпределов.
Группа ученых изШвейцарии, Италии, Германии, Франции и Великобритании разработала уникальнуюсистему Tai-Chi (Tangible Acoustic Interface for Computer-Human Interaction,дословно в переводе с английского – «осязаемый акустический интерфейс длявзаимодействия человека с компьютером»). Она позволяет использовать вкачестве сенсорной панели или даже виртуальной клавиатуры для доступа к компьютерам любую поверхность, например, стол, стену или пол.
Благодаря трем-четыремпьезоэлектрическим акустическим сенсорам (достаточно всего двух), которыереагируют на вибрацию поверхности, к которой они прикреплены, пользовательсможет управлять командами компьютерови перемещением курсора, просто двигаяпальцем, например, по столу. Если увеличить количество сенсоров, тот же столможно использовать в качестве клавиатуры.
Возможности применениятехнологии Tai-Chi не ограничиваются виртуальными клавиатурами, а также используются совместно с физическими и программнымисистемами защиты информации в компьютерах.
В США разработан сверхкомпактныйакустический датчик, позволяющий регистрировать не только амплитуду звуковойволны, но и направление ее распространения. Новый детектор позволит создатьпринципиально новые, более компактные, точные и чувствительные акустическиесенсоры для обнаружения движущихся объектов и противодействия ихдальнейшим перемещениям в охраняемых зонах.
Существующие средства защиты акустическойинформации по вибрационным каналам представляют собой генераторы шума (белогоили окрашенного) речевого диапазона частот в комплекте с вибропреобразователямипьезоэлектрическими или электромагнитными. Основное назначение их — созданиешумовых помех средствам съема информации в стенах, окнах, инженерныхкоммуникациях. Основной критерий обеспечения защиты — превышение шума надуровнем наведенного в эти конструкции информативного сигнала. Нормы превышенияопределены соответствующими нормативно-техническими документами.
Прежде всего дадим несколькоопределений:
• “белый” шум — имеет равномерныйспектр в полосе частот речевого сигнала;
• “окрашенный” шум — формируется из“белого” в соответствии с огибающей амплитудного спектра скрываемого речевогосигнала;
• “речеподобные” помехи — формируютсяпутем микширования в различных сочетаниях отрезков речевых сигналов имузыкальных фрагментов, а также шумовых помех, или формируется из фрагментовскрываемого речевого сигнала при многократном наложении с различными уровнями.
Помехи типа “белого” шума реализованы вбольшинстве существующих систем и средств защиты речевой информации, таких как“ПОРОГ-2М” (НИИСТ МВД РФ), ANG-2000 (Research Electronics, США), VNG-006D(Россия), “Базальт-4 ГА” (Украина), VNG-023 (Россия).
Помехи типа “окрашенного” шумаиспользуются в таких системах, как “Кабинет” (Россия), “Барон” (Россия), Bi(Украина).
Формирование “речеподобной” помехиприменено в изделиях “Эхо”, “Эхо-кейс” (Россия), ПМ-2А, PSP-2A (Украина),“Mongoose-M” (Украина).
Это далеко не полный перечень средствакустической защиты, подобную аппаратуру разрабатывают и производят практическивсе известные в области технической защиты информации фирмы.
Сравнительная оценка эффективностиразличных видов помех, проведенная специалистами, натолкнула на рядособенностей применения каждой из них. Исследования показывают, что ограждающиеконструкции и поверхности обладают неодинаковым акустическим сопротивлением наразличных частотах, кроме того, вибропреобразователи также имеют свои конструктивныеособенности, влияющие на частотные характеристики. В результате оказывается,что для оптимальной настройки сигнала помехи, обеспечивающего заданный уровеньпревышения помехи над информативным сигналом на отдельных частотах из-занеправильно сформированной амплитудно-частотной характеристики приходитсяставить достаточно высокий уровень помехи. Это приводит к тому, что уровеньпаразитных акустических шумов на отдельных частотах может быть очень высоким иприводить к дискомфорту (о котором мы говорили выше) для людей, работающих ввыделенном помещении. Этот недостаток, прежде всего присущ помехе типа “белый”шум.
Для формирования “окрашенного” шума,сформированного из “белого” в соответствии с огибающей амплитудного спектраскрываемого речевого сигнала, в пяти октавных полосах диапазона 100 — 6000 Гцпроизводится оценка параметров речевого сигнала и осуществляется корректировкауровня шума в тех же полосах с помощью встроенных эквалайзеров. Таким образом,обеспечивается энергетическая оптимальность помехи, при которой заданноенормированное соотношение “сигнал/помеха” выдерживается в пределах всегодиапазона частот защищаемого речевого сигнала.
В некоторых комплексах эта задачарешается разделением уровней по каждому из выходов. Это позволяет использоватькомплекс для одновременного зашумления различных ограждающих конструкций,инженерных коммуникаций, окон и т.п., обладающих неодинаковыми сопротивлением извукопроводящими свойствами.
Наиболее перспективным оказалосьформирование “речеподобной” помехи. Специалистами в основном предлагаетсясоздание трех видов такой помехи:
• “речеподобная помеха — 1” — формируется из фрагментов речи трех дикторов радиовещательных станций припримерно равных уровнях смешиваемых сигналов;
• “речеподобная помеха — 2” — формируетсяиз одного доминирующего речевого сигнала или музыкального фрагмента и смесифрагментов радиопередач с шумом;
• “речеподобная помеха — З” — формируется из фрагментов скрываемого речевого сигнала при многократном ихналожении с различными уровнями.
Анализ исследований показал, чтонаибольшей эффективностью из всех существующих обладает именно “речеподобнаяпомеха — З” (см. рис.) Кривая зависимости коэффициента разборчивости речи W,используемого в качестве показателя эффективности помехи, от отношения “сигнал/помеха”Q для “речеподобной помехи — З” свидетельствует о возможности значительного (на6-10 дБ) по отношению к другим видам помех снижения требуемого уровня сигналапомехи для достижения заданной эффективности защиты речевой информации и,следовательно, повышения комфортности ведения конфиденциальных разговоров.
Специалистами в области техническойзащиты информации В.М. Ивановым и А. А. Хоревым предложен способ формирования“речеподобной” помехи коррелированной по уровню, спектру и времени излучения соскрываемым сигналом, заключающейся в специальном преобразовании скрываемогоречевого сигнала за счет сложной инверсии спектра и акустическойпсевдореверберации путем умножения и деления его частотных составляющих имногократного наложения принимаемых переотраженных акустических сигналов.
Реализован предложенный способформирования “речеподобных” помех, в устройствах типа “Эхо”, “Эхо-кейс”. Этиустройства содержат микрофонный модуль и активные акустические колонки совстроенным специальным блоком обработки речевых сигналов. Диапазон частотмаскирующей помехи составляет 250-8000 Гц. Электропитание устройствосуществляется от электросети 220В или внешней батареи аккумуляторов (12В; 2,2А/ч).
Принцип действия устройства заключаетсяв следующем.
Микрофон, как правило, устанавливаемыйв центре стола, принимает акустические речевые колебания, возникающие приведении переговоров, и преобразовывает их в электрические сигналы, которые посоединительному кабелю подаются на блок обработки.
В блоке обработки эти сигналы, путемумножения и деления частотных составляющих преобразовываются в шумовые“речеподобные”, усиливаются и излучаются через акустические колонки, причемуровень излучаемых сигналов помех пропорционален уровню скрываемых речевыхсигналов. Коэффициент усиления уровня громкости и тембра регулируется приустановке устройства.
Излучаемые шумовые “речеподобные”акустические сигналы отражаются от ограждающих конструкций помещения (стен,оконных стекол, потолка пола), предметов мебели и интерьера и через некотороевремя после излучения (время задержки) принимаются микрофоном и так же, какскрываемые речевые сигналы, обрабатываются и излучаются через акустическиеколонки. Этот процесс многократно повторяется.
Таким образом, устройством излучается“речеподобная” помеха, являющаяся результатом многократного наложения смещенныхна различное время задержки разноуровневых сигналов, получаемых путем умноженияи деления частотных составляющих скрываемого речевого сигнала.
Через несколько секунд послепрекращения ведения разговоров в помещении генерация сигналов помех устройствомпрекращается.
Проведенные испытания устройства “Эхо”показали, что записанную на диктофон скрываемую речь в условиях создаваемыхустройством помех невозможно связно восстановить даже с использованиемсовременных методов “шумоочистки”.
Возвращаясь к вопросу о дискомфорте,возникающем при использовании средств акустической защиты, следует отметить,что такие устройства, как “Эхо”, “Эхо-кейс”, ПМ-2А, PSP-2A, “Mongoose-M” имеютсерьезные преимущества по сравнению с формирователями “белого шума”, так каксоздают помеху только при разговоре, в остальное же время устройство “молчит”.При использовании устройств ПМ-2А и “Mongoose-M” для достижения максимальнойзащиты участникам переговоров предлагается надеть телефонные гарнитуры сбольшими амбушюрами, чтобы громкий звук шумовой помехи не мешал разговору.
Устройство PSP-2A привлекает своимизящным внешним видом и малыми размерами (устройство размещено в элегантнойбарсетке).
К числу проблем, редко учитываемых привыборе средств защиты речевой информации, но очень важной для выделенныхпомещений, в которых циркулирует речевая информация, связанная сгосударственной тайной, относится проблема текущего контроля эффективностивиброакустического зашумления. Речь идет о непрерывной оценке качествасоздаваемых помех с выработкой сигналов тревоги в случае отключения помехи илиснижения ее уровня ниже допустимого.
Данная проблема актуальна в связи стем, что вибропреобразователи, излучая виброакустическую помеху, сами постояннонаходятся под воздействием вибрации. Следствием этого является высокаявероятность разрушения элементов их крепления на ограждающих конструкцияхзащищаемых помещений, что влечет за собой снижение качества помехи. Возможнытакже выходы из строя отдельных вибропреобразователей, нарушения контакта ихподсоединения и другие причины, которые могут привести к снижению эффективностизащиты.
Решением этой проблемы являетсясоздание распределенных систем, объединяющих как средства виброакустическогозашумления, так и средства контроля качества помех. Примерами таких системмогут служить комплекс “Барон”, VNG-012.
63. Идентификация личностипо биометрическим признакам. Установление аутентичности. Схема функционированиябиометрических устройств. Точность функционирования биометрических устройств
Идентификацияявляется одним изсамых важных компонентов организации защиты информации в сети. Прежде чемпользователю будет предоставлено право получить тот или иной ресурс, необходимоубедиться, что он действительно тот, за кого себя выдаёт.
Идентификация – процесс установления,кому из ограниченной группы лиц принадлежит, например, отпечаток пальцаили голос. Проблема в том, что, в отличие от верификации,идентификация не решает вопроса о принадлежности образца и эталона одному итому же отпечатку пальца или голосу, а лишь находит самый погожийотпечаток пальца или голос. Соответственно, стоит задача созданияоптимального алгоритма проведения этих процедур.
Вопрос имитации голоса другим человеком.Соответственно, стоит задача создания имитостойкого алгоритма речевойидентификации.
Существуют технические средства изменения звучания голоса. Необходимоопределение возможности идентификации личности в таких условиях.
Голос человека изменяется с годами. Какова в таком случае ситуация свозможностью идентификации по голосу?
Исследования новых признаков для поисканаиболее информативных при описании индивидуальных особенностей голоса.
Большинство разработанных насегодняшний день систем идентификации личности по голосу построены на основеоднократной проверки соответствия требуемой ключевой фразы и произнесенной впервоначальный момент доступа к вычислительной системе.
Данные системы поддерживают дваосновных режима работы: обучение системы и проверка подлинности при доступе.Голосовую защиту можно обойти, если перехвачена или записана ключевая фраза.Поэтому разработчики сейчас пытаются создать систему, защищённую от перехвата.
В настоящее время системы на основеречевых технологий разработаны и выпускаются рядом отечественных и зарубежныхфирм. В основном эти разработки представляют собой программные продукты,предназначенные для работы на аппаратных платформах современных ПЭВМ или всоставе ЛВС. Это позволяет уже сейчас рассматривать возможность их применениядля обеспечения контроля доступа, как к физическим объектам, так и кинформационным ресурсам в составе интегрированных систем безопасности,поскольку верхний уровень управления ИСБ как раз и построен на базе ЛВС.
В соответствии с проведенным анализом,а также на основе совместных проработок с рядом ведущих отечественныхпредприятий, специализирующихся в области речевых технологий, был разработанпроект тактико-технических требований для создания СКУД на основе речевойидентификации для доступа к физическим объектам и информационным ресурсам.
Многопользовательская система голосовойтексто-зависимой верификации диктора предназначена для разграничения доступапользователей к физическим объектам (контроль доступа в помещения) илиинформационным ресурсам по парольной фразе. Предлагаемая система должнаудовлетворять необходимым требованиям по безопасности, минимизируя при этомнеизбежно возникающие для пользователей неудобства.
Система должна быть построена на базепрограммного обеспечения, использующего собственные запатентованные алгоритмыверификации диктора по голосу, а также компьютерного оборудования – серверовобработки и хранения голосовой биометрической информации. В составе системыдолжны быть средства ввода и передачи звуковой информации и средства управленияисполнительными устройствами СКУД.
Система должна обеспечивать:
— определение личности пользователя безнепосредственного контакта с ним;
— использование в качестве техническихсредств ввода для верификации по голосу микрофонов широкого применения;
— эффективное распознавание живогоголоса, исключая возможность использования записей для несанкционированногодоступа;
— минимальное значение ошибки FAR=0,01%;
— регламентацию прохода 200 сотрудниковна территории с различными уровнями доступа без ввода личного ПИН-кода илиличной смарт-карты.
Система должна иметь следующиевозможности:
— тонкая подстройка системы длядостижения оптимального соотношения безопасности и удобства использования длякаждого конкретного пользователя;
— разграничение прав доступапользователей к ресурсам через систему приоритетов;
— удобное и быстрое добавление новыхпользователей в систему (без прерывания работы системы);
— круглосуточный непрерывный режимработы системы;
— ведение журнала активностипользователей; удаленный доступ для администрирования системы и аудитапользователей; автоматическое использование нескольких дисков для хранениябиометрических данных и журналов верификации пользователей.
Система должна иметь следующие вариантыиспользования: аппаратно-программныйкомплекс, регламентирующий проход сотрудников на территории с различнымиуровнями доступа без ввода личного ПИН-кода или личной смарт-карты (принеобходимости с сохранением «инкогнито»); аппаратно-программный комплекс разграничения доступа пользователей стелефонной линии к закрытой информации (банковский счет, подтверждениебанковских транзакций, биржевые торги, платные информационные ресурсы,междугородние/международные звонки) аппаратно-программный комплексразграничения доступа сотрудников с персональных компьютеров к внутреннимкорпоративным сетевым ресурсам либо ресурсам Internet без ввода личногоПИН-кода.
Таким образом, в заключение можноотметить следующее. Речь традиционно считается самой распространенной формойчеловеческого общения. Поэтому решения задачи получения отпечатка (изображения)речи и наоборот – качественного синтеза речевого сигнала по этому изображению –позволяют обеспечить широкий спектр возможностей применения этой технологии нетолько в системах автоматизированного контроля доступа, но и в других областяхинформационной безопасности и связи.
На сегодняшний день созданы десяткиразличных систем идентификации по голосу, имеющих различные параметры итребования к процессу идентификации в зависимости от конкретных задач. В нашейстране разработан ряд законченных программных продуктов.
К сожалению, разработанные насегодняшний день системы построены в основном на программных продуктах,предназначенных для работы на ПЭВМ или в ЛВС. Имеется также ряд другихнедостатков, препятствующих их широкому внедрению, такие как сложностьпроцедуры обучения систем (регистрации пользователей), достаточно высокаястоимость программного обеспечения, по сравнению, например, сдактилоскопическими системами, меньшая точность верификации и идентификации.Тем не менее существуют и положительные стороны в использовании системидентификации по голосу, такие как то, что это пока единственная биометрическаятехнология, которая позволяет проводить бесконтактную, скрытую и удаленнуюидентификацию личности, в соответствии с чем многие российские и зарубежныеорганизации работают над устранением имеющихся недостатков.
Возможности и достоинства речевыхтехнологий идентификации – это: привычныйдля человека способ идентификации; низкаястоимость аппаратных средств (микрофоны) при реализации в составе комплексныхсистем безопасности (самая низкая среди всех биометрических методов);
бесконтактность; возможностьудаленной идентификации (сравнения с конкретным эталоном) или верификации(поиска в базе эталонов) клиентов;
сложность или даже невозможность для злоумышленника имитировать голос с помощьюмагнитофона. Во-первых, системы идентификации способны контролировать сразунесколько признаков, отличающихся от тех, что используются в рече-слуховойсистеме, во-вторых, при воспроизведении записанной речи через миниатюрныегромкоговорители в сигнал вносятся искажения, препятствующие идентификацииговорящего; возможность приидентификации человека определить, находится ли он под угрозой насилия,поскольку эмоциональное состояние говорящего оказывает существенное влияние нахарактеристики голоса и речи; возможность повышения надежности аутентификации засчет одновременного использования технологий идентификации по голосу ираспознавания речи (произнесенного пароля). Недостатки, которые нельзя обойти вниманием, – это: высокий уровень ошибок 1-го и 2-го рода посравнению с дактилоскопическими методами; необходимость в специальномшумоизолированном помещении для прохождения идентификации;возможность перехвата фразы с помощью звукозаписывающихустройств; зависимость качествараспознавания от многих факторов (интонация, скорость произнесения,психологическое состояние, болезни горла); необходимость подбора специальных фраз для повышения точностираспознавания; голос в отличие отпапиллярных узоров пальцев или ладоней меняется с возрастом. Это приводит кнеобходимости периодически обновлять хранящийся в системе эталон речи; на голос оказывает влияние физическое иэмоциональное состояние человека; надежностьработы системы зависит от качества канала передачи речевого сигнала к системеидентификации, в частности, от таких его характеристик, как частотный диапазон,уровень нелинейных искажений, отношение сигнал/шум, неравномерность частотнойхарактеристики. Наивысшая надежностьработы обеспечивается в том случае, когда эталон голоса клиента и его запроспоступают по одному и тому же каналу, например, телефонному.
ВТОРОЕ ДОМАШНЕЕ ЗАДАНИЕ
9. Основные задачи службыбезопасности
Задачами службы безопасности являются помимо чистоохранных функций:
· обеспечение безопасности информацииструктурных подразделений и персонала Предприятия впроцессе информационной деятельности и взаимодействия между собой, а также во взаимоотношениях с внешнимиотечественными и заграничными организациями;
· исследование технологии обработкиинформации с целью выявления возможных каналов утечки идругих угроз безопасности информации, формирование модели угроз, разработкаполитики безопасности информации, определение мероприятий, направленных на еереализацию;
· организация и координация работ,связанных с защитой информации на Предприятии,необходимость защиты которой определяется действующим законодательством,поддержка необходимого уровня защищенности информации, ресурсов и технологий;
· разработка проектов нормативных ираспорядительных документов, действующих в границах организации,предприятия, в соответствии с которыми должна обеспечиваться защита информации на Предприятии;
· организация работ по созданию и использованиюКСЗИ на всех этапах жизненного цикла КС;
· участие в организациипрофессиональной подготовки и повышении квалификации персонала и пользователейКС по вопросам защиты информации;
· формирование уперсонала и пользователей Предприятия пониманиянеобходимости выполнения требований нормативно-правовыхактов, нормативных и распорядительных документов, касающихся сферы защиты информации;
· организация обеспечения выполнения персоналом и пользователями требований нормативно-правовых актов,нормативных и распорядительных документов по защите информации Предприятии и проведение контрольных проверок их выполнения;
· обеспечение определенных политикойбезопасности свойств информации (конфиденциальности,целостности, доступности) во время создания и эксплуатацииКС;
· своевременное выявление иобезвреживание угроз для ресурсов КС, причин и условий, которые приводят (могут привести к) нарушениям ее функционированияи развития;
· создание механизма и условийоперативного реагирования на угрозы безопасности информации, другие проявленияотрицательных тенденций в функционировании КС;
· эффективное обезвреживание(предупреждение) угроз ресурсам КС путем комплексноговнедрения правовых, морально-этических, физических, организационных,технических и других мероприятий обеспечения безопасности;
· управление средствами защитыинформации, управление доступом пользователей к ресурсам КС, контроль за ихработой со стороны персонала Службыбезопасности, оперативное извещение о попытках НСД к ресурсам КСПредприятия;
· регистрация, сбор, хранение,обработка данных о всех событиях в системе, которые имеют отношение кбезопасности информации;
· создание условий для максимальновозможного возмещения и локализаци убытков, которые создаются неправомерными (несанкционированными) действиями физических июридических лиц, влиянием внешней среды и другими факторами, уменьшениеотрицательного влияния последствий нарушения безопасности функционирования КС.
Служба безопасности имеет право:
- осуществлять контроль за деятельностью любого структурногоподразделения Предприятия относительно выполнения имтребований нормативно-правовых актов и нормативных документов по защите информации;
- подавать руководству Предприятия предложения относительноприостановления процесса обработки информации, запрета обработки, изменениярежимов обработки, и т.п. в случае выявления нарушений политики безопасностиили в случае возникновения реальной угрозы нарушениябезопасности;
- составлять и подавать руководству Предприятия актыотносительно выявленных нарушений политики безопасности, готовить рекомендацииотносительно их устранения;
- проводить служебные расследования в случаях выявлениянарушений;
- получать доступ к работам и документам структурных подразделений Предприятия,необходимых для оценки принятых мер по защите информации и подготовки предложений относительно их дальнейшегоусовершенствования;
- готовить предложения относительно привлечения надоговорной основе к выполнению работ по защите информации других организаций,которые имеют лицензии на соответствующий вид деятельности;
- готовить предложения относительно обеспечения КС (КСЗИ)необходимыми техническими и программными средствами защиты информации и другойспециальной техникой, разрешенной для использования на Украине с целью обеспечения защиты информации;
- выходить к руководству Предприятия с предложениямиотносительно представления заявлений в соответствующие государственные органы напроведение государственной экспертизы КСЗИ илисертификации отдельных средств защиты информации;
- согласовывать условия включения в состав КС новыхкомпонентов и подавать руководству предложения относительно запрета ихвключения, если они нарушают принятую политикубезопасности или уровень защищенности ресурсов КС;
- предоставлять выводы по вопросам, которые належат ккомпетенции Службы безопасности, необходимые дляосуществления информационной деятельности Предприятия, в особенноститехнологий, доступ к которым ограничен, других проектов, которые требуюттехнической поддержки со стороны сотрудников Службы безопасности;
- выходить к руководству Предприятия с предложениямиотносительно согласования планов и регламента доступа к КСпосторонним лицам;
- другие права, предоставленные Службе безопасности в соответствии с спецификой и особенностями деятельности Предприятия.
10. Состав службыбезопасности
Штатное расписание и структураподразделения Службы безопасности:
Служба безопасности является штатнымподразделением Предприятия непосредственно подчиненным повопросам безопасности и защиты информации РуководителюПредприятия или Заместителю Секретаря ПРЕДПРИЯТИЯ, которыйотвечает за обеспечение безопасности информации.
Штатность или позаштатность Службы безопасности Предприятия определяется руководством Предприятия.
Структура Службы безопасности, еесостав и численность определяется фактическими потребностями Предприятия длявыполнения требований политики безопасности информации и утверждаетсяруководством Предприятия.
Численность и состав Службыбезопасности должны быть достаточными для выполнения всех задач безопасностии защиты информации.
С целью эффективного функционирования иуправления защитой информации Служба безопасности имеетштатное расписание, которое включает перечень функциональных обязанностей всехсотрудников, необходимых требований к уровню их знаний и навыков. Штат Службыбезопасности комплектуется специалистами, имеющими специальное техническое образование (высшее,среднее специальное, специальныекурсы повышения квалификации в области безопасности и защиты информации и т.п.) и практический опыт работы, владеют навыками поразработке, внедрению, эксплуатации комплексныхсистем защиты информации КСЗИ и средствзащиты информации, а также реализации организационных, технических и другихмероприятий по защите информации, знаниями и умениемприменять нормативно-правовые документы в сфере защиты информации.
Функциональные обязанности сотрудниковопределяются перечнем и характером задач, которые возлагаются на Службубезопасности руководством Предприятия.
В зависимости от объемов и особенностейзадач Службы безопасности в ее состав могут входитьспециалисты (группы специалистов, подразделения и др.)разных специальностей:
· специалисты по вопросам защитыинформации от утечки по техническим каналам;
· специалисты по вопросам защитыканалов связи и коммутационного оборудования, отладки и управления активным сетевым оснащением;
· специалисты по вопросамадминистрирования и контроля средств защиты, управлениясистемами доступа и базами данных защиты;
· специалисты по вопросам защитных технологий обработки информации.
По должностям сотрудники Службыбезопасности могут делиться на такие категории (по уровню иерархии):
· руководитель Службыбезопасности;
· специалисты (инспекторы)Службы безопасности по маркетинговым исследованиям;
· администраторы защиты КС(безопасности баз данных, безопасности системы и т.п.);
· специалисты службы защиты.
11. Основные задачиорганизации режима и охраны
Работники режима и охраны обязаны:
1.1. Знать действующие нормативные документы по вопросам организации охраны объектов, добросовестно выполнять служебные обязанности, обеспечивать надежную охрану имущества собственников, установленный ими пропускной режим.
1.2. Хорошо знать особенности охраняемых объектов, применяемые технические средства охраны и противопожарной защиты, постоянно совершенствовать служебное мастерство, не разглашать сведения об организации охраны объектов, беречь вверенное оружие и имущество, содержать их в исправном состоянии.
1.3. Соблюдать установленные на объектах правила техники безопасности, производственной санитарии и пожарной безопасности.
1.4. При авариях, катастрофах, пожарах, стихийных бедствиях и других чрезвычайных событиях немедленно сообщать о случившемся в соответствующие органы (орган внутренних дел, пожарную охрану), администрации охраняемого объекта и принимать меры по усилению охраны имущества, оказанию помощи пострадавшим.
2. Работникам подразделений режима и охраны для выполнения возложенных на них обязанностей предоставляется право:
2.1. Требовать от рабочих и служащих охраняемых объектов и других лиц соблюдения установленного пропускного режима.
2.2. Задерживать лиц, пытающихся незаконно вывезти (вынести) материальные ценности с охраняемого объекта.
2.3. Доставлять в служебные помещения охраны или в милицию лиц, подозреваемых в совершении правонарушений, связанных с посягательством на охраняемое имущество.
2.4. Производить в установленном законодательством порядке досмотр вещей, а в исключительных случаях — личный досмотр на контрольно-пропускных пунктах, а также досмотр транспортных средств и проверку соответствия перевозимых грузов сопроводительным документам при выезде (въезде) с территории охраняемого объекта.
2.5. Использовать для обнаружения и изъятия незаконно вывозимого (выносимого) имущества, а также для фиксации противоправных действий технические средства, не причиняющие вреда жизни, здоровью граждан и окружающей среде.
2.6. Применять в случаях и порядке, предусмотренных законодательством, огнестрельное оружие.
2.7. Требовать от должностных лиц выполнения обязательств, направленных на обеспечение сохранности материальных ценностей и создание безопасных условий труда для работников охраны.
2.8. Руководители подразделений режима и охраны несут ответственность за организацию службы по охране объектов, профессиональную подготовку подчиненных, выполнение ими служебных обязанностей, соблюдение правил внутреннего трудового распорядка, техники безопасности, состояние условий труда и дисциплины, правильное использование технических средств охраны, связи, оружия, боеприпасов, оборудования, инвентаря и имущества, применение служебных собак и т. п.
12. Работа с документами,содержащими КТ
ПОРЯДОК ОБЕСПЕЧЕНИЯ СОХРАННОСТИДОКУМЕНТОВ, ДЕЛ И ЗДАНИЙ, СОДЕРЖАЩИХ КТ
1. Под коммерческой тайной предприятия понимаются неявляющиеся государственными секретами сведения, связанные с производством,технологической информацией, управлением, финансами и другой деятельностьюпредприятия, разглашение (передача, утечка) которых может нанести ущерб егоинтересам. К сведениям, составляющим коммерческую тайну, относятся несекретныесведения, предусмотренные " Перечнем сведений, составляющих коммерческуютайну предприятия", утвержденным и введенным в действие приказомруководителя предприятия Коммерческая тайна предприятия является егособственностью. Если она представляет собой результат совместной деятельности сдругими предприятиями, основанной на договорных началах, то коммерческая тайнаможет быть собственностью двух сторон, что должно найти отражение в договоре.
2. Все имеющие гриф «КТ» документы, дела ииздания должны храниться в служебных помещениях в надежно запираемых иопечатываемых шкафах. Помещения должны отвечать требованиям внутри объектногорежима, обеспечивающего физическую сохранность находящейся в них документации.
3. Дела с грифом «КТ», выдаваемыеисполнителю, подлежат возврату в подразделение делопроизводства службыбезопасности (СБ) в тот же день. При необходимости, с разрешения начальникаподразделения делопроизводства СБ или уполномоченного СБ они могут находиться уисполнителя в течении срока, необходимого для выполнения задания, при условииполного обеспечения их сохранности и соблюдения правил хранения.
4. С документацией с грифом «КТ» разрешаетсяработать только в служебных помещениях. Для работы вне служебных помещенийнеобходимо разрешение руководителя предприятия или структурного подразделения.
5. Документы, дела и издания с грифом «КТ»могут передаваться другим сотрудникам, допущенным к этим документам, только черезделопроизводство СБ или уполномоченного СБ.
6. Изъятия из дел или перемещение документов с грифом«КТ» из одного дела в другое без санкции руководителяделопроизводства СБ или уполномоченного СБ, осуществляющего их учет,запрещается.
7. Смена сотрудников, ответственных за учет и хранениедокументов, дел и изданий с грифом «КТ», оформляется распоряжениемначальника подразделения. При этом составляется по произвольной форме актприема-передачи этих материалов, утверждаемый указанным руководителем.
8. Уничтожение документов «КТ» производитсякомиссией в составе не менее трех человек с составлением акта.
9. Печатание документов «КТ» разрешается вмашинописном бюро или непосредственно в подразделениях. Для учета отпечатанныхдокументов ведется специальный журнал.
Порядок работы с документами, содержащими КТ
1. Документы, имеющие гриф «КТ», подлежатобязательной регистрации в подразделении делопроизводства службы безопасности (в Первом отделе ) или в общем делопроизводстве производственного подразделенияуполномоченным службы безопасности. Эти документы должны иметь реквизиты,предусмотренные п.2.2 и гриф «КТ» ( или полностью «Коммерческаятайна»). Права на информацию,порядок пользования ею, сроки ограничения на публикацию могут оговариватьсядополнительно в тексте документа и его реквизитах. Отсутствие грифа «КТ» и предупредительных оговорок в тексте иреквизитах означает свободную рассылку и предполагает, что автор информации илицо, подписавшее или утвердившее документ, предусмотрели возможные последствияот свободной рассылки и несут за это ответственность.
2. Вся поступающая корреспонденция, имеющая гриф«КТ» ( или другие соответствующие этому понятию грифы, например,«секрет предприятия, „тайна предприятия“ и др.) принимается ивскрывается сотрудниками предприятия, которым поручена работа с этимиматериалами. При этом проверяется количество листов и экземпляров, а такженаличие указанных в сопроводительном письме приложений. При обнаруженииотсутствия в конвертах (пакетах) указанных документов составляется акт в двухэкземплярах: один экземпляр акта направляется отправителю.
3. Все входящие, исходящие и внутренние документы, атакже издания с грифом „КТ“ подлежат регистрации и учитываются поколичеству листов, а издания — поэкземплярно.
4. Учет документов и изданий с грифом „КТ“ведется в журналах или карточках отдельно от учета другой служебной несекретнойдокументации. Листы журналов нумеруются, прошиваются и опечатываются.Документы, которые не подшиваются в дела, учитываются в журнале инвентарногоучета.
Движение документов и изданий с грифом „КТ“ своевременно отражается вжурналах или карточках.
5. На зарегистрированном документе с грифом»КТ" ( или на сопроводительном листе к изданиям с грифом«КТ») должен быть проставлен штамп с указанием наименования предприятия,регистрационный номер документа и дата его поступления.
6. Издания с грифом «КТ» регистрируются вжурнале учета и распределения изданий.
7. Отпечатанные и подписанные документы вместе с ихчерновиками передаются для регистрации сотруднику подразделенияделопроизводства службы безопасности, осуществляющему их учет. Черновикиуничтожаются исполнителем и этим сотрудником, что подтверждается росписьюуказанных лиц в журнале или на карточках учета. При этом проставляется дата иподпись.
8. Размножение документов и изданий с грифом«КТ» в типографиях и других множительных участках производится сразрешения и под контролем специально назначенных сотрудников службыбезопасности по заказам, подписанным руководителем предприятия. Размноженные документы «КТ» (копии,тираж) должны быть полистно подобраны, пронумерованы поэкземплярно и, принеобходимости, сброшюрованы (сшиты). Нумерация дополнительно размноженныхэкземпляров, производится от последнего номера, ранее учтенных экземпляровэтого документа. Перед размножениемна последнем листе оригинала ( подлинника) проставляется запись: "Регистрационный номер ________. Дополнительно размножено _____ экз., на _____листах текста. Наряд N ___ от _____. Подпись ( " исполнитель заказа )". Одновременно делается отметка об этом в соответствующих журналах икарточках учета.
9. Рассылка документов и изданий с грифом«КТ» производиться на основании подписанных руководителемструктурного подразделения разнарядок с указанием учетных номеров отправляемыхэкземпляров.
Пересылка пакетов с грифом «КТ» может осуществляться через органыспецсвязи или фельдсвязи.
10. Документы с грифом «КТ» после исполнениягруппируются в отдельные дела. Порядок их группировки предусматриваетсяспециальной номенклатурой дел, в которую в обязательном порядке включаются всесправочные картотеки и журналы на документы и издания с грифом «КТ».
11. Снятия рукописных, машинописных, микро — ифотокопий, электрографических и др. копий, а также производство выписок издокументов и изданий с грифом «КТ» сотрудниками предприятияпроизводится по разрешению руководителя предприятия и подразделений.
12. Допуск сотрудников к сведениям, составляющимкоммерческую тайну, осуществляется руководителем предприятия или руководителямиего структурных подразделений. Руководителиподразделений и службы безопасности обязаны обеспечить систематический контрольза допуском к этим сведениям только тех лиц, которым они необходимы длявыполнения служебных обязанностей.
13. Сотрудники предприятия, допущенные к сведениям,составляющим коммерческую тайну, несут ответственность за точное выполнениетребований, предъявляемых к ним в целях обеспечения сохранности указанныхсведений. До получения доступа кработе, связанной с коммерческой тайной, им необходимо изучить настоящуюинструкцию и дать в службе безопасности письменное обязательство о сохранениикоммерческой тайны.
Список использованнойлитературы
1. Мельников В. Защита информации в компьютерныхсистемах. М.: Финансы и статистика, Электронинформ, 1997
2. Мафтик С. Механизмы защиты в сетях ЭВМ. /пер. с англ.М.: МИР, 1993.
3. Петров В.А., Пискарев С.А., Шеин А.В.Информационная безопасность. Защита информации от несанкционированного доступав автоматизированных системах. — М., 1998.
4. Марченко Д.Н. Простий економний охороннийпристрій// Радюаматор. — 2000. — №9.
5. Спесивцев А.В. и др. Защита информации в персональных ЭВМ.- М.: Радио и связь, 1993.
6. Гмурман А.И. Информационная безопасность. М.: «БИТ-М»,2004 г.