Какие существуют основные средства защиты

СРЕДСТВА ИНДИВИДУАЛЬНОЙ ЗАЩИТЫ (СИЗ)

Средства индивидуальной защиты (СИЗ) — специально разработанные приспособления, устройства или препараты и т. п., которые предназначены для уменьшения или предотвращения вредных, опасных для жизни и здоровья воздействий на работников, а также для защиты от загрязнений. Они незаменимы, когда нельзя гарантировать безопасность трудовой деятельности каким-либо иным способом, например, конструкцией оборудования, организацией производственных процессов, архитектурно-планировочными решениями и средствами коллективной защиты.

Как правило, СИЗ требуются не только во время спасательных работ при чрезвычайных ситуациях и ликвидации их последствий, но и на предприятиях, связанных с использованием химически опасных веществ, с вероятностью получения механических травм, ожогов и других повреждений.

Согласно Техническому регламенту Таможенного союза 019/2011 «О безопасности средств индивидуальной защиты», выделяют следующие типы СИЗ:

  1. Средства индивидуальной защиты от механических воздействий.
  2. Средства индивидуальной защиты от химических факторов.
  3. Средства индивидуальной защиты от радиационных факторов (внешние ионизирующие излучения и радиоактивные вещества).
  4. Средства индивидуальной защиты от повышенных и (или) пониженных температур.
  5. Средства индивидуальной защиты от термических рисков электрической дуги, неионизирующих излучений, поражений электрическим током, а также от воздействия статического электричества.
  6. Одежда специальная сигнальная повышенной видимости.
  7. Комплексные средства индивидуальной защиты.
  8. Средства индивидуальной защиты дерматологические.

Кроме общих требований непосредственно к определенным СИЗ, предъявляются и специфические. Они зависят от назначения, среды и условий эксплуатации, а также от негативных факторов, защитой от которых они и служат. Также существенны климатические условия, где эксплуатируется спецодежда, данные об условиях работы в помещении или на открытых площадках.

Классификация

ГОСТ 12.4.011-89 регламентирует общие требования и определяет классификацию средств защиты работающих. В соответствии с ним определяют следующие виды и подвиды, в зависимости от назначения:

  • костюмы изолирующие — пневмокостюмы, гидроизолирующие костюмы, скафандры;
  • средства защиты органов дыхания — противогазы, респираторы, самоспасатели, пневмошлемы, пневмомаски, пневмокуртки;
  • одежда специальная защитная — тулупы, пальто; полупальто, полушубки; накидки; плащи, полуплащи; халаты; костюмы; куртки, рубашки; брюки, шорты; комбинезоны, полукомбинезоны; жилеты; платья, сарафаны; блузы, юбки; фартуки; наплечники;
  • средства защиты ног — сапоги; сапоги с удлиненным голенищем; сапоги с укороченным голенищем; полусапоги; ботинки; полуботинки; туфли; бахилы; галоши; боты; тапочки (сандалии); унты, чувяки; щитки, ботфорты, наколенники, портянки;
  • средства защиты рук — рукавицы; перчатки; полуперчатки; напальчники; наладонники; напульсники; нарукавники, налокотники;
  • средства защиты головы — каски защитные; шлемы, подшлемники; шапки, береты, шляпы, колпаки, косынки, накомарники;
  • средства защиты лица — щитки защитные лицевые;
  • средства защиты глаз — очки защитные;
  • средства защиты органа слуха — противошумные шлемы, вкладыши, наушники;
  • средства защиты от падения с высоты и другие предохранительные средства — пояса, тросы; ручные захваты, манипуляторы; наколенники, налокотники, наплечники;
  • средства дерматологические защитные — защитные; очистители кожи; репаративные средства;
  • средства защиты комплексные.

Кто покупает СИЗ?

Обеспечить работников средствами защиты обязан работодатель — юридическое или физическое лицо независимо от организационно-правовой формы собственности. Они приобретаются или арендуются только за счет предприятия, что прописано на законодательном уровне. При этом их оценку и закупку работодатель может делегировать специалистам предприятия. Отметим, что работникам могут выдавать только те средства защиты, которые прошли обязательную сертификацию или декларирование соответствия в установленном законодательством РФ о техническом регулировании порядке. Кроме того, иногда они могут быть использованы для личных нужд, например, домохозяинами, фермерами или ремесленниками.

Спецодежда и СИЗ

Спецодежда как разновидность СИЗ должна выполнять главную цель — защищать работника от различных вредных и опасных для здоровья воздействий на рабочем месте. Ее применение устанавливается профильным нормативным стандартом ГОСТ, в котором указываются все актуальные на сегодняшний день разновидности. Основные сферы использования: фармацевтика, химическая промышленность, металлургическое производство, строительство.

Она отличается от корпоративной и униформы с символикой бренда, хотя на практике выполняет и эти функции. Все больше руководителей предприятий стремятся одевать своих сотрудников в одинаковые вещи, которые будут выглядеть эстетично и аккуратно. Это хорошо сказывается на производительности труда и психологическом настрое сотрудников: позволяет сплотить коллектив, дает ощущение выполнения одного общего дела.

Спецодежда обязана иметь соответствующие характеристики для определенного типа работы: гигиеническая, водоотталкивающая, огнестойкая, антистатическая, теплосберегающая, светоотражающая и др. Например, влагозащитные комплекты шьют из гидрофобной ткани или обрабатывают пропитками. Таким образом, материал отталкивает капли, которые просто соскальзывают. Утепленная спецодежда предназначена для работы в холодных условиях под открытым небом. Комплект предполагает обязательное наличие куртки, штанов или комбинезона, термобелья, головного убора, носков, спецобуви.

Разновидности

Рабочая экипировка выпускается для разных сезонов и условий применения. Каждая профессия специфична: для некоторых специалистов на первый план выходят защитные характеристики, для других — комфорт, а для третьих — презентабельный внешний вид. Поэтому кроме рабочего костюма, сюда относят одежду работников сферы услуг, медперсонала. Такой широкий ассортимент вызвал интерес среди дизайнеров, поэтому разработка корпоративного стиля стала одним из способов продвижения на тематическом рынке.

Какие предъявляются требования?

В соответствующих нормативных документах содержатся критерии выбора спецодежды и СИЗ, их предназначение, виды и порядок использования. Полный перечень специальностей, а также какие существуют требования к спецодежде, можно найти в Приказе Министерства здравоохранения и социального развития № 290н.

Экипировка должна не только надежно защищать работника, но также обеспечивать ему определенный комфорт. Ведь он носит ее в течение целого рабочего дня и при этом выполняет различные, иногда сложные действия. Таким образом, при покупке или пошиве спецодежды на заказ следует помнить, что она должна соответствовать следующим требованиям:

  • Комфорт и удобство в использовании. Любой предмет гардероба не должен стеснять работника и ограничивать свободу передвижений.
  • Функциональность. Чтобы экипировка была практичной, следует предусмотреть на ней различные карманы, карабины, отстегивающиеся утеплители и пр. Вся фурнитура должна быть очень качественной.
  • Простой уход. Экипировка будет постоянно пачкаться, а значит стирать ее тоже нужно часто. Спецодежда, предназначенная для работы на улице, должна обладать водо- и грязеотталкивающими свойствами.
  • Теплопроводность. В холодное время года ткань должна согревать человека, а в жаркий сезон обеспечивать беспрепятственный воздухообмен и отводить влагу. Если предполагается носить спецодежду целый день, то ее состав должен быть главным образом из натуральных тканей.
  • Повышенная износостойкость. Пошив следует осуществлять из прочных материалов. Это гарантирует не только ее продолжительный срок службы, но также защиту персонала от небольших травм и других негативных воздействий.
  • Эстетичность. Нельзя забывать про стиль и красоту рабочего костюма. Его элементы должны сочетаться между собой.

Пошив начинается с подбора тканей, определения модели с учетом всей специфики работы, а также адаптации рабочего костюма к общему стилю предприятия или фирмы. К дополнительной обработке относится брендирование. Современные СИЗ очень функциональны, легко трансформируются, например, из куртки в жилет, из демисезонной в зимнюю (за счет меховой подстежки) с пристегивающимся капюшоном. Она имеет множество удобно расположенных карманов.

Как проконтролировать качество?

Соответствие требованиям определяется еще на этапе приобретения. Для осуществления входного контроля работодатель утверждает локальный нормативный акт и создает комиссию, в которую входят специалисты по охране труда, по материально-техническому снабжению, производственных структурных подразделений, использующих СИЗ. В результате проверки определяют:

  • количество и комплектность СИЗ;
  • наличие сопроводительной документации;
  • соответствие маркировки;
  • указание защитных свойств;
  • товарный знак и наименование предприятия-изготовителя.

В акте фиксируют решение о допуске СИЗ к использованию на предприятии. Если продукция не соответствует требованиям, то она подлежит возврату поставщику.
При приемке больших партий СИЗ, которые имеют простое исполнение, например, перчатки, сапоги, плащи, визуальный осмотр осуществляется выборочно, но не менее 10% от всего количества. Такие изделия, как противогазы, респираторы, принимают поштучно: выявляют любой род механических повреждений, ржавчины, отсутствие деталей. При обнаружении недочетов, дефектов защитное средство не подлежит возврату или замене.

Правила обеспечения работников

В соответствии со ст. 221 Трудового кодекса РФ на работах с вредными и (или) опасными условиями труда, а также выполняемых в особых температурных условиях или связанных с загрязнением, работникам бесплатно выдаются прошедшие обязательную сертификацию или декларирование соответствия специальная одежда, обувь и другие средства индивидуальной защиты, а также смывающие и (или) обезвреживающие средства в соответствии с типовыми нормами, которые устанавливаются в порядке, определяемом Правительством РФ.

Типовые отраслевые нормы предусматривают обеспечение работников средствами индивидуальной защиты независимо от того, к какой отрасли экономики относятся производства, цехи, участки и виды работ, а также независимо от форм собственности организаций и их организационно-правовых форм. СИЗ должны соответствовать полу, росту, размерам, а также характеру и условиям работы.

Одни изделия могут быть заменены на другие в соответствии с особенностями производства, но это должно быть согласовано с госинспектором/профсоюзным органом или другим уполномоченным лицом. На работодателя также возлагается обязанность замены или ремонта средств, которые стали непригодны для использования до окончания эксплуатационного срока.

Эффективность

Чтобы сократить воздействия вредных факторов на производстве используют различные способы, среди которых технологические изменения, автоматизация, обеспечение непроницаемости для газов и жидкостей, вентиляция, воздушные души и завесы, удаленное управление машинами и оборудованием и многое другое. Когда применение всего перечисленного невозможно или дает неудовлетворительный результат, СИЗ считаются надежным способом для улучшения промышленной гигиены и предотвращения профзаболеваний. Кроме того, работодатель может подать заявление в территориальный орган ФСС России для получения финансовой компенсации.

Где хранить и как ухаживать?

Согласно нормативам средства защиты до выдачи их работникам и после сдачи в конце смены должны находиться в специально приспособленных помещениях. В паспорте каждого изделия содержится информация о правилах хранения и обслуживания. Их требуется соблюдать, чтобы эксплуатационный срок был не меньше заявленного. СИЗ нуждаются в регулярном уходе: в стирке, чистке, ремонте. Далеко не каждая организация может себе позволить отдельные складские помещения и содержание сотрудников, отвечающих за должное обслуживание средств. В этом случае рекомендуется воспользоваться услугами сторонней специализированной компании.

ИБ: средства защиты

Средства защиты — разработка таких средств и их усовершенствование есть основная цель сферы ИБ. В некотором роде рчеь идет не о борьбе с результатом вредоносного воздействия, а в первую очередь о предотвращении. На фоне возрастающей зависимости бизнеса от IT продолжается рост интенсивности действий злоумышленников и постоянное совершенствование используемых ими методов атак на корпоративные информационные системы и сети. В то же время, несмотря на разнообразие технологий и решений, используемых для защиты от действий злоумышленников, рынок информационной безопасности можно условно разделить на несколько частей: межсетевые экраны, антивирусы, средства криптографии и AAA (средства аутентификации, авторизации и администрирования).

Каталог решений и проектов ИБ — Антивирусы доступны на TAdviser

Содержание

Межсетевые экраны

Неотъемлемым элементом защиты сети крупной организации от вторжения злоумышленников является корпоративный межсетевой экран (МЭ). Предложение на этом рынке представлено десятками компаний, готовых предоставить решения для любых сред: настольных систем, малого и домашнего офиса (SOHO), среднего и малого бизнеса, телекоммуникационных компаний и т. д.

Поэтому для принятия правильного решения о выборе межсетевого экрана необходимо понимание потребностей бизнеса в обеспечении сетевой безопасности и принципов действия этих продуктов.

Межсетевой экран (firewall, брандмауэр) — это комплекс аппаратных и/или программных средств, предназначенный для контроля и фильтрации проходящего через него сетевого трафика в соответствии с заданными правилами. Основной задачей этого класса продуктов является защита компьютерных сетей (или их отдельных узлов) от несанкционированного доступа.

В общем случае, межсетевой экран использует один или несколько наборов правил для проверки сетевых пакетов входящего и/или исходящего трафика. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая тип протокола, адрес хоста, источник, порт и т. д. Существует два основных способа создания наборов правил: «включающий» и «исключающий». Правила, созданные первым способом, позволяют проходить лишь соответствующему правилам трафику и блокируют все остальное. Правила на основе исключающего способа, напротив, пропускают весь трафик, кроме запрещенного. Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

Использование межсетевых экранов может быть эффективно при решении следующих задач:

  • Защита и изоляция приложений, сервисов и устройств во внутренней сети от нежелательного трафика, приходящего из интернета (разделение сетей);
  • Ограничение или запрет доступа к сервисам сети для определенных устройств или пользователей;
  • Поддержка преобразования сетевых адресов, что позволяет использовать во внутренней сети частные IP-адреса либо автоматически присваиваемые публичные адреса.

Одна из главных тенденций на рынке межсетевых экранов — увеличение функционала и стремление к универсальности. Кроме непосредственного контроля трафика и разделения сетей функционал современных решений включает в себя:

  • Глубокий анализ пропускаемого трафика (deep packet inspection);
  • Шифрование трафика;
  • Организацию удаленного доступа пользователей к ресурсам локальной сети (VPN);
  • Аутентификацию пользователей.

Современные МЭ предоставляют возможность построения виртуальных частных сетей, которые позволяют компаниям создавать безопасные каналы передачи данных через публичные сети, предотвращая тем самым перехват и искажение передаваемой информации, а также обеспечивая контроль целостности передаваемых данных. При организации VPN-сетей могут применяться различные методы аутентификации, в том числе сертификаты PKI X.509, одноразовые пароли, протоколы RADIUS, TACACS+.

В настоящее время межсетевые экраны все чаще предлагаются не в виде отдельных решений, а как компоненты более сложных систем защиты. Потребности рынка продуктов для малых и средних предприятий и удаленных офисов послужили стимулом к созданию специализированных аппаратных устройств с функциями межсетевых экранов. Такие устройства, как правило, представляют собой выделенные серверы с предварительно установленным и сконфигурированным на них программным обеспечением межсетевого экрана, виртуальной частной сети и операционной системой.

С появлением технологий беспроводных ЛВС понятие «защищаемого периметра» теряет свое значение. В этой связи наиболее уязвимым местом корпоративной сети становятся мобильные рабочие станции. Для защиты от подобного рода угроз производители разрабатывают технологии типа Network Access Protection (Microsoft), Network Admission Control (Cisco), Total Access Protection (Check Point).

На сегодняшний день на рынке представлено значительное количество межсетевых экранов различной функциональности. Однако при выборе того или иного решения в первую очередь стоит обратить внимание на управление подобной системой. Так или иначе, качество работы межсетевого экрана напрямую зависит от качества установленного системным администратором набора правил. Кроме того, следует понимать, что межсетевой экран — не панацея от всех угроз и его использование эффективно лишь в связке с другими продуктами, среди которых самое заметное место занимают антивирусы.

Антивирусы

Компьютерные вирусы остаются в настоящее время наиболее актуальной проблемой информационной безопасности корпоративных систем.

В связи с тем, что подавляющее большинство вредоносных программ распространяется посредством электронной почты, межсетевые экраны оказываются неэффективными. В арсенале решений этого типа нет средств анализа принимаемых почтовых сообщений.

Одним из методов, применяемых системными администраторами наряду с использованием антивирусного программного обеспечения, является фильтрация сообщений, содержащих вложения определенных форматов (чаще всего, исполняемые приложения).

Современные антивирусные программы, при всем их разнообразии, используют лишь два принципиально разных метода обнаружения вредоносных программ:

  • Поиск по сигнатурам;
  • Эвристический анализ.

Криптографическая защита

Средства криптографической защиты информации достаточно давно и широко используются в составе популярных сетевых технологий, таких как виртуальные частные сети (VPN) или Secure Shell (SSH). Однако в целях непосредственной защиты личной или корпоративной информации применение таких решений до сих пор очень ограниченно. Так, частная и деловая переписка в большинстве случаев ведется открыто, шифрование файлов и дисков тоже мало распространено. В то же время шифрование данных — это один из главных и наиболее надежных способов предотвращения несанкционированного доступа к информации. Далее будут приведены основные сферы применения криптографических средств защиты информации, а также рассмотрены их различные виды.

Пожалуй, самая широкая сфера потенциального применения криптографических средств — разграничение доступа к конфиденциальной информации и/или сокрытие существования такой информации от нелегитимных пользователей. В масштабе корпоративной сети эта задача достаточно успешно решается средствами AAA (аутентификация, авторизация и администрирование). Однако при защите локальных устройств они чаще всего неэффективны. Особенно острой эта проблема становится в связи с увеличением числа мобильных пользователей.

К сожалению, такое качество, как мобильность, преимущества которой для современного бизнеса сложно переоценить, на практике оказывается еще и недостатком. Ноутбук, в отличие от стационарного компьютера, легко потерять, он может быть украден или выведен из строя. По данным Cnews, не менее 40% случаев утраты ноутбуков происходит вследствие их кражи. До 93% всех украденных ноутбуков уже никогда не возвращаются к владельцу.

Понятно, что вся информация, которая хранится на ноутбуке, заключена в жестком диске. Извлечь его из ноутбука в спокойной обстановке — дело пяти минут. Именно поэтому следующие средства защиты от несанкционированного доступа будут бесполезны:

  • Парольная защита BIOS;
  • Парольная защита операционной системы;
  • Средства аутентификации, работающие на уровне приложений.

В то же время применение стойких криптографических алгоритмов, таких как DES, AES, ГОСТ 28147-89, RC4 (с длиной ключа не менее 128 бит), RSA, — надежный способ сделать информацию бесполезной для злоумышленника на многие годы. На сегодняшний день на рынке существует множество компаний, реализующих эти алгоритмы как в программных продуктах, так и в виде отдельных устройств.

Технологии защиты информации в компании

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Средства защиты информации от несанкционированного доступа

Тест на прочность: чему нас учат недостатки СЗИ?

Защитить информацию от несанкционированного доступа можно с помощью любого из популярных специализированных средств. Главное — знать его сильные и слабые стороны, чтобы в случае необходимости нейтрализовать негативные последствия. Мы провели эксперимент, чтобы посмотреть, как ведут себя различные решения в ситуации несанкционированного доступа.

Современный рынок средств защиты информации (СЗИ) представлен различными аппаратными, программными и комбинированными комплексами. Продукты различаются по цене, функциональности и настройкам. Прежде чем сделать выбор, IT-специалист должен все это хорошо изучить. Ведь ценность защищаемой информации не дает ему права на ошибку, а руководитель требует обосновать стоимость покупки конкретного СЗИ.

Цель нашего эксперимента — понять, какие дополнительные меры безопасности необходимо принять, чтобы обезопасить информацию от кражи.

Моделируемая ситуация: в компьютере финансового директора обрабатывается очень важная информация, интерес к которой имеет недовольный зарплатой сотрудник. В обеденный перерыв директор заблокировал свой компьютер и ушел. У злоумышленника есть только час на то, чтобы незаметно похитить нужную ему информацию.

Тестируемые средства

Наименование СЗИ Производитель Цена за одно автоматизированное рабочее место, руб.
Программные
1 Secret Net 7 (автономный) ООО «Код Безопасности» 7 000
2 «Аура 1.2.4» НИО ПИБ 3 000
3 Dallas Lock 8.0 — К
(для корпоративных заказчиков)		 ООО «Конфидент» 6 000
4 «Страж NT» (версия 3.0) ЗАО НПЦ «Модуль» 7 500
Программно-аппаратные
5 Аккорд-АМДЗ ОКБ САПР 12 589
6 Secret Net 7 +
Secret Net Card (плата PCI Express) — комплект с DS1992		 ООО «Код Безопасности» 7 000 + 3 610

Действия злоумышленника: Предположим, что на компьютере установлено одно из вышеуказанных СЗИ и шестизначный пароль, содержащий буквы разного регистра и спецсимволы. На подбор такого пароля потребуется много времени, поэтому злоумышленник, скорее всего, попробует обойти систему следующим образом:

  1. установит в BIOS загрузку с внешнего накопителя;
  2. загрузится с Live USB и скопирует всю нужную ему информацию;
  3. перезагрузит компьютер и покинет место преступления.

Совет № 1. Запретите загрузку с внешних носителей и используйте пароли на BIOS.

Программные СЗИ, к сожалению, оставляют возможность загрузиться в обход операционной системы и похитить ценную информацию. И в этом заключается их главный недостаток. Единственным программным СЗИ, которое не удалось обойти таким образом, оказался «Страж NT».

В СЗИ «Страж NT» идентификация и аутентификация пользователя производится до загрузки операционной системы, что позволяет исключить возможность получения доступа к информации, содержащейся на жестком диске компьютера без успешного прохождения процедуры аутентификации.

Программа идентификации и аутентификации содержится в главной загрузочной записи (MBR) жесткого диска и вызывается автоматически после прохождения процедуры POST BIOS: пользователю предлагается предъявить персональный идентификатор и ввести пароль.

Модификация главной загрузочной записи, выполняемая СЗИ при его инициализации, предотвращает попытки несанкционированного доступа при загрузке компьютера с внешнего носителя, так как любая операционная система «повиснет» при попытке монтирования раздела, на котором установлена СЗИ «Страж NT». Таким образом, для злоумышленника исключается несанкционированный доступ к содержимому жесткого диска, несмотря на гипотетическую возможность загрузки персонального компьютера с внешнего носителя или подключения жесткого диска к другому компьютеру.

Вне эксперимента нам удалось с помощью программы восстановления потерянных разделов TestDisk восстановить загрузочный сектор. Но на эту процедуру ушло больше часа.

При использовании остальных СЗИ рекомендуем в настройках BIOS выставить единственное загрузочное устройство — локальный жесткий диск. Необходимо установить пароль на BIOS. Можно установить ПАК «Соболь» или Secret Net Card, которые обеспечат доверенную загрузку.

Совет № 2. При использовании любых СЗИ, кроме «Страж NT», опечатывайте или опломбируйте корпус системного блока.

При тестировании программных СЗИ мы увидели, что добыть информацию можно и без физического вмешательства в системный блок. В случае с рассматриваемыми программно-аппаратными комплексами «Аккорд» и Secret Net способ загрузки в обход операционной системы не сработал из-за наличия установленной платы, которая не давала доступа к настройкам BIOS и не позволяла изменить источник первичной загрузки.

При настройке системы защиты в соответствии с требованиями законодательства, если системный блок не опломбировать или не закрыть на замок, злоумышленнику ничего не мешает на время своих злодеяний извлечь эту плату из системного блока. В этом состоит главный недостаток плат доверенной загрузки. Таким образом, мы настоятельно рекомендуем использовать такую меру защиты как опломбирование системных блоков и закрытие на ключ.

Совет № 3. Используйте встроенные или дополнительные средства шифрования данных.

Мы рассматриваем ситуацию, когда злоумышленник пытается незаметно похитить информацию. Если это условие убрать, то и установка пароля на BIOS, и опечатывание системного блока не помешают информации «сделать ноги». Поэтому общая рекомендация для всех рассмотренных средств защиты информации следующая — использовать средства шифрования данных. При таких условиях у злоумышленника не будет возможности получить доступ к информации описанными нами или любыми иными способами.

Так, например, в СЗИ Dallas Lock средство шифрования данных является встроенным, а для Secret Net есть возможность приобрести лицензию с возможностью сокрытия выбранных разделов на жестком диске. Для остальных СЗИ остается использовать только дополнительные средства шифрования от сторонних производителей.

Совет № 4. Используйте комплекс мер: дополняйте технические средства административными мерами.

Прежде чем принимать решение о применении того или иного средства защиты, необходимо продумать и смоделировать все возможные варианты утечки информации. В каждой конкретной ситуации это будут различные меры. В случае, описанном в начале статьи, мы бы порекомендовали не оставлять открытым помещение с важной информацией, установить системы видеонаблюдения. Для особо важной информации необходимо использовать средства защиты, позволяющие шифровать информацию «на лету» и т д.

Совет № 5. Не переплачивайте: стоимость средств защиты не должна превышать стоимость самой информации.

Если руководитель поручил защитить информацию на конкретных компьютерах, необходимо понять, какова ценность информации «в цифрах». И только после этого принимать решение о выборе СЗИ. Правда, есть один нюанс: для информации, охраняемой законодательством, это правило не работает — защищать придется даже информационные системы обработки персональных данных, содержащие сведения о пяти сотрудниках.

Вадим Галлямшин, руководитель проектов внедрения систем информационной безопасности «СКБ Контур».
Станислав Шиляев, руководитель группы технической защиты информации проекта «Контур-Безопасность»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

МЕТОДЫ ЗАЩИТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (ПРОГРАММ ДЛЯ ЭВМ В ИНФОРМАЦИОННОЙ СРЕДЕ

Анализ законодательства позволяет сделать вывод, что с распространением сетей очевидным недостатком стала проблема распространения образов дисков и серийных номеров по сети. Автор также отмечает, что в настоящий момент метод используется только в совокупности одним или более других методов.

Анализ законодательных актов, также позволяет сделать вывод, что с распространением персональных компьютеров в быту всё популярнее стало переводить данные из аналогового или физического вида (компакт- диски, трансляции по телевидению, и др.) в цифровой формат (так называемый риппинг).

Ключевые слова: программное обеспечение; копирования; незаконное использования; воспроизведения; коммерческое использования; интеллектуальная собственность.

Программа для ЭВМ (программное обеспечение) — представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения.

Методы защиты программного обеспечения (программ для ЭВМ) в информационной среде условно можно разделить на три типа:

— Защита программного обеспечения — комплекс мер, направленных на защиту программного обеспечения от несанкционированного приобретения, использования, распространения, модифицирования, изучения и воссоздания аналогов.

— Защита от несанкционированного использования программ — система мер, направленных на противодействие нелегальному использованию программного обеспечения. При защите могут применяться организационные, юридические, программные и программно-аппаратные средства.

— Защита от копирования к программному обеспечению применяется редко, в связи с необходимостью его распространения и установки на компьютеры пользователей. Однако, от копирования может защищаться лицензия на приложение (при распространении на физическом носителе) или его отдельные алгоритмы.

Не углубляясь в технические детали необходимо рассмотреть существующие виды защиты программного обеспечения в информационной среде, так как для понимания данного вопроса для правильного понимания всей темы защиты авторских и смежных прав необходимо и понимание того, какие процессы происходят в одном из крупнейших сегментов авторского права.

Существуют следующие виды защиты программного обеспечения:

— Локальная программная защита — требование ввода серийного номера (ключа) при установке/запуске программного обеспечения. История этого метода началась тогда, когда приложения распространялись только на физических носителях (компакт-дисках). На коробке с диском был напечатан серийный номер, подходящий только к данной копии программы.

— Сетевая программная защита делится на локальную — сканирование сети исключает одновременный запуск двух программ с одним регистрационным ключом на двух персональных компьютерах в пределах одной локальной сети и глобальную — если программа работает с каким-то централизованным сервером и без него бесполезна (например, серверы обновлений антивирусов, серверы обновления правовых программ, таких как Гарант, Консультант Плюс, антивирус Касперского).

— Защита при помощи компакт-дисков — программа может требовать оригинальный компакт-диск. Как правило, этот способ защиты применяется для защиты программ, записанных на этом же компакт-диске, являющимся одновременно ключевым;

— Защита при помощи электронных ключей — вставленный в один из портов компьютера (с интерфейсом USB, LPT или COM) носитель, содержащий ключевые данные, называемые также лицензией, записанные в него разработчиком;

— Привязка к параметрам компьютера и активация — привязка к информации о пользователе/серийным номерам компонентов его компьютера и последующая активация программного обеспечения в настоящий момент используется достаточно широко. В процессе установки программное обеспечение подсчитывает код активации — контрольное значение, однозначно соответствующее установленным комплектующим компьютера и параметрам установленной программы. Это значение передается разработчику программы.

— Защита программ от копирования путём переноса их в сеть Интернет — стремительно набирающий популярность метод защиты, который заключается в предоставление функционала программ (всего или части), как сервиса онлайн, в сети Интернет. При этом код программы расположен и исполняется на сервере, доступном в глобальной сети.

— Защита кода от анализа — средства защиты непосредственно кода приложения от анализа и использования в других программах. В частности, применяются обфускаторы — программы для запутывания кода с целью защиты от его анализа, модификации и несанкционированного использования.

— Защита программного обеспечения на мобильных платформах. Способы защиты программного обеспечения для мобильных платформ от копирования обычно основываются на невозможности рядового пользователя считывать/изменять хранящиеся в постоянном запоминающем устройстве (ПЗУ) аппарата данные.

Согласно ГК РФ, программы ЭВМ и базы данных приравнивается к литературным произведениям, и их защита регулируется авторским законодательством, однако, в контексте защиты программного обеспечения как объекта интеллектуальной собственности, к программам ЭВМ применима как лицензия, так и патент, так как зачастую программы ЭВМ имеют инновационный характер и сложный технологический процесс разработки, поэтому авторское законодательство, порой, не может с учётом всех аспектов обеспечить должный уровень правовой защиты данным результатам интеллектуальной деятельности. Но, чтобы обезопасить программу ЭВМ от незаконного использования (воспроизведения, коммерческого использования, сдачи в прокат или импорта произведения) правовых средств, порой, недостаточно, так как эти средства в сфере защиты интеллектуальной собственности известны неповоротливой и абсолютно негибкой процедурой осуществления их на практике. Ведь от момента обнаружения факта нарушения авторских прав до конечного решения судебных инстанций может пройти от нескольких месяцев до нескольких лет судебных тяжб, которые в свою очередь также требуют затрат средств и времени.

Конечно же, серьёзным продуктам требовалась защита превентивного характера, которая пресекала бы действия злоумышленника ещё на стадии подготовки, но образовалась проблема незаконного копирования произведений задолго до появления цифровых технологий. Механические пианино (пианолы), популярные в начале XX века, использовали перфоленту для управления клавишами.

Проблема вновь возникла с появлением аудио-магнитофонов, а затем видеомагнитофонов. В США это привело к так называемому делу Betamax, в котором студия Universal пыталась запретить Sony производить видеомагнитофоны с возможностью записи. Дело разрешилось в пользу Sony, создав прецедент, согласно которому производство таких систем призналось законным, так как помимо нелегальных применений, таких как, создание нелегальных копий фильмов, транслируемых по телевидению, имеют существенные легальные применения, например, запись телепередач для последующего их просмотра в более удобное для пользователя время — данное применение также было признано добросовестным использованием в ходе судебного разбирательства.

С распространением персональных компьютеров в быту всё популярнее стало переводить данные из аналогового или физического вида (компакт-диски, трансляции по телевидению, и др.) в цифровой формат (так называемый риппинг). В совокупности с большим распространением Интернета и файлообменных сетей это привело к увеличению объёмов нелегального распространения результатов интеллектуальной деятельности до небывалых размеров, ситуация требовала внедрение новых мер по защите авторских прав.

Список литературы

1. Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ (с изм. и доп., вступающими в силу в 2015 г.) // СЗ РФ, 25.12.2006, N 52

2. Валерий Мильгром Дело BETAMAX: Ещё 11 лет спустя, или от NAPSTER’А до GROKSTER’А, 2006

3. Зенин И.А., Мешкова К.М. Свободная лицензия в сети Интернет // Информационное право. 2011. № 4.

4. Середа С.А. Процедура разработки систем программно-технической защиты программного обеспечения // Инновации в процессе обучения: Сборник научных трудов Академического Совета МЭСИ. — М. 2004 — С. 160-173.

5. Щербачева Л.В. Проблемы формирования норм права на результаты интеллектуальной деятельности в ЭВМ. Вестник Московского университета МВД России. — М. № 6 2014 — С. 104-107.