|
|
@@ -1,115 +1,115 @@
|
|
|
|
|
|
-## Принципы системного анализа проблем инженерно-технической защиты информации
|
|
|
+# Принципы системного анализа проблем инженерно-технической защиты информации
|
|
|
|
|
|
-#### Для обеспечения ИТЗИ необходимы силы и средства, техническая и нормативно-правовая база, а также постоянно проводимые мероприятия по ее обеспечению. Защиту информации обеспечивает ее владелец и пользователь. Защиту информации, содержащую государственную тайну, обеспечивают государственные органы и пользователи информации.
|
|
|
+Для обеспечения ИТЗИ необходимы силы и средства, техническая и нормативно-правовая база, а также постоянно проводимые мероприятия по ее обеспечению. Защиту информации обеспечивает ее владелец и пользователь. Защиту информации, содержащую государственную тайну, обеспечивают государственные органы и пользователи информации.
|
|
|
|
|
|
-#### Инженерно-техническая защита информации проводится по двум основным направлениям: физическая защита носителя информации и ее скрытие. Предотвращением и нейтрализацией сил воздействия и утечки информации традиционно занимаются различные ведомства и органы, используются различные технические средства защиты информации.
|
|
|
+Инженерно-техническая защита информации проводится по двум основным направлениям: физическая защита носителя информации и ее скрытие. Предотвращением и нейтрализацией сил воздействия и утечки информации традиционно занимаются различные ведомства и органы, используются различные технические средства защиты информации.
|
|
|
|
|
|
-#### Системный подход — это исследование объекта или процесса с помощью модели, называемой системой.
|
|
|
+Системный подход — это исследование объекта или процесса с помощью модели, называемой системой.
|
|
|
|
|
|
-#### Этот подход предусматривает самый высокий уровень описания объекта исследования — системный. Самым низким уровнем является уровень описания параметров объекта — параметрический. Между ними располагаются структурный и функциональный уровни.
|
|
|
+Этот подход предусматривает самый высокий уровень описания объекта исследования — системный. Самым низким уровнем является уровень описания параметров объекта — параметрический. Между ними располагаются структурный и функциональный уровни.
|
|
|
|
|
|
-#### Сущность системного подхода состоит в следующем:
|
|
|
+Сущность системного подхода состоит в следующем:
|
|
|
|
|
|
-#### - совокупность сил и средств, обеспечивающих решение задачи, представляется в виде модели, называемой системой;
|
|
|
+- совокупность сил и средств, обеспечивающих решение задачи, представляется в виде модели, называемой системой;
|
|
|
|
|
|
-#### - система описывается совокупностью параметров;
|
|
|
+- система описывается совокупностью параметров;
|
|
|
|
|
|
-#### - любая система рассматривается как подсистема более слож¬ной системы, влияющей на структуру и функционирование рас-сматриваемой;
|
|
|
+- любая система рассматривается как подсистема более слож¬ной системы, влияющей на структуру и функционирование рас-сматриваемой;
|
|
|
|
|
|
-#### - любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных основа¬ний;
|
|
|
+- любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных основа¬ний;
|
|
|
|
|
|
-#### - при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе части из них без рассмотрения остальных может привести к неверным ре¬зультатам;
|
|
|
+- при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе части из них без рассмотрения остальных может привести к неверным ре¬зультатам;
|
|
|
|
|
|
-#### - свойства системы превышают сумму свойств ее элементов за счет качественно новых свойств, отсутствующих у ее элемен¬тов — системных свойств.
|
|
|
+- свойства системы превышают сумму свойств ее элементов за счет качественно новых свойств, отсутствующих у ее элемен¬тов — системных свойств.
|
|
|
|
|
|
-#### С позиции системного подхода совокупность взаимосвязанных элементов, функционирующих с целью обеспечения безопасности информации, образуют СЗИ. Такими элементами являются люди (руководители и сотрудники служб информационной безопасности). Элементом является объект защиты представляющий собой здания, инженерные конструкции, средства ВТ, технические средства защиты, средства контроля эффективности защиты, правовые и нормативные документы. Причем речь идет не о простом наборе элементов, а наборе, объединенном поставленными целями и решаемыми задачами. Проектирование требуемой системы защиты производится путем системного анализа существующей и разработки вариантов требуемой системы.
|
|
|
+С позиции системного подхода совокупность взаимосвязанных элементов, функционирующих с целью обеспечения безопасности информации, образуют СЗИ. Такими элементами являются люди (руководители и сотрудники служб информационной безопасности). Элементом является объект защиты представляющий собой здания, инженерные конструкции, средства ВТ, технические средства защиты, средства контроля эффективности защиты, правовые и нормативные документы. Причем речь идет не о простом наборе элементов, а наборе, объединенном поставленными целями и решаемыми задачами. Проектирование требуемой системы защиты производится путем системного анализа существующей и разработки вариантов требуемой системы.
|
|
|
|
|
|
-#### При сравнении вариантов построения системы по нескольким частным показателям возникают проблемы, связанные с характером измерения разных показателей. Важнейшим показателем СЗИ является затраты на обеспечение требуемых значений оперативных показателей. Для выбора рационального, обеспечивающего достижение цели, - варианта системы – путём сравнения показателей нескольких вариантов используется глобальный критерий в виде соотношения эффективность/стоимость.
|
|
|
+При сравнении вариантов построения системы по нескольким частным показателям возникают проблемы, связанные с характером измерения разных показателей. Важнейшим показателем СЗИ является затраты на обеспечение требуемых значений оперативных показателей. Для выбора рационального, обеспечивающего достижение цели, - варианта системы – путём сравнения показателей нескольких вариантов используется глобальный критерий в виде соотношения эффективность/стоимость.
|
|
|
|
|
|
-#### Алгоритм этого процесса включает следующие этапы:
|
|
|
+Алгоритм этого процесса включает следующие этапы:
|
|
|
|
|
|
-#### 1) определение перечня защищаемой информации, ограничений, показателей эффективности СЗИ.
|
|
|
+1) определение перечня защищаемой информации, ограничений, показателей эффективности СЗИ.
|
|
|
|
|
|
-#### 2) моделирование существующей системы и выявление ее недостатков с позиции поставленных целей и задач,
|
|
|
+2) моделирование существующей системы и выявление ее недостатков с позиции поставленных целей и задач,
|
|
|
|
|
|
-#### 3) определение и моделирование угроз безопасности информации,
|
|
|
+3) определение и моделирование угроз безопасности информации,
|
|
|
|
|
|
-#### 4) разработка вариантов (алгоритмов функционирования) проектируемой системы,
|
|
|
+4) разработка вариантов (алгоритмов функционирования) проектируемой системы,
|
|
|
|
|
|
-#### 5) сравнение вариантов построения системы по заданным критериям и выбор наилучшего варианта с учетом замечания руководства
|
|
|
+5) сравнение вариантов построения системы по заданным критериям и выбор наилучшего варианта с учетом замечания руководства
|
|
|
|
|
|
-#### Структура государственной системы защиты информации от технической разведки, ее задачи и функции определены в Постановлении Совета Министров РФ от 15 сентября 1993 г. № 912-51 под названием «Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от утечки ее по техническим каналам».
|
|
|
+Структура государственной системы защиты информации от технической разведки, ее задачи и функции определены в Постановлении Совета Министров РФ от 15 сентября 1993 г. № 912-51 под названием «Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от утечки ее по техническим каналам».
|
|
|
|
|
|
-#### Основные государственные органы занимающиеся защитой ГТ:
|
|
|
+Основные государственные органы занимающиеся защитой ГТ:
|
|
|
|
|
|
-#### 1. ФСТЭК
|
|
|
+1. ФСТЭК
|
|
|
|
|
|
-#### 2. ФСБ
|
|
|
+2. ФСБ
|
|
|
|
|
|
-#### 3. Мин.Обороны
|
|
|
+3. Мин.Обороны
|
|
|
|
|
|
-#### Деятельность государственной системы защиты информации регламентируется документами, составляющими нормативно-правовую базу инженерно-технической защиты информации.
|
|
|
+Деятельность государственной системы защиты информации регламентируется документами, составляющими нормативно-правовую базу инженерно-технической защиты информации.
|
|
|
|
|
|
-#### Инженерно-техническая защита информации также является неотъемлемой частью комплексного подхода к обеспечению безопасности информационных ресурсов, и чтобы не быть "узким" местом в общем комплексе защитных мер она должна соответствовать следующим принципам: принципам инженерно-технической защиты как процесса и принципам построения системы инженерно-технической защиты информации [6].
|
|
|
+Инженерно-техническая защита информации также является неотъемлемой частью комплексного подхода к обеспечению безопасности информационных ресурсов, и чтобы не быть "узким" местом в общем комплексе защитных мер она должна соответствовать следующим принципам: принципам инженерно-технической защиты как процесса и принципам построения системы инженерно-технической защиты информации [6].
|
|
|
|
|
|
-#### Принципы инженерно-технической защиты как процесса:
|
|
|
+Принципы инженерно-технической защиты как процесса:
|
|
|
|
|
|
-#### - надежность защиты информации;
|
|
|
+- надежность защиты информации;
|
|
|
|
|
|
-#### - непрерывность защиты информации;
|
|
|
+- непрерывность защиты информации;
|
|
|
|
|
|
-#### - скрытность защиты информации;
|
|
|
+- скрытность защиты информации;
|
|
|
|
|
|
-#### - целеустремленность защиты информации;
|
|
|
+- целеустремленность защиты информации;
|
|
|
|
|
|
-#### - рациональность защиты;
|
|
|
+- рациональность защиты;
|
|
|
|
|
|
-#### - активность защиты;
|
|
|
+- активность защиты;
|
|
|
|
|
|
-#### - гибкость защиты;
|
|
|
+- гибкость защиты;
|
|
|
|
|
|
-#### - многообразие способов защиты;
|
|
|
+- многообразие способов защиты;
|
|
|
|
|
|
-#### - комплексное использование различных способов и средств защиты информации;
|
|
|
+- комплексное использование различных способов и средств защиты информации;
|
|
|
|
|
|
-#### - экономичность защиты информации.
|
|
|
+- экономичность защиты информации.
|
|
|
|
|
|
-#### Надежность защиты информации предусматривает обеспечение требуемого уровня ее безопасности независимо от внешних и внутренних факторов, влияющих на безопасность информации.
|
|
|
+Надежность защиты информации предусматривает обеспечение требуемого уровня ее безопасности независимо от внешних и внутренних факторов, влияющих на безопасность информации.
|
|
|
|
|
|
-#### Непрерывность защиты информации характеризует постоянную готовность системы защиты к отражению угроз информации.
|
|
|
+Непрерывность защиты информации характеризует постоянную готовность системы защиты к отражению угроз информации.
|
|
|
|
|
|
-#### Скрытность защиты информации подразумевает скрытое проведение мер по защите информации и существенное ограничение допуска сотрудников организации к информации о конкретных способах и средствах инженерно-технической защиты в организации.
|
|
|
+Скрытность защиты информации подразумевает скрытое проведение мер по защите информации и существенное ограничение допуска сотрудников организации к информации о конкретных способах и средствах инженерно-технической защиты в организации.
|
|
|
|
|
|
-#### Целеустремленность защиты информации предусматривает сосредоточение усилий по предотвращению угроз наиболее ценной информации.
|
|
|
+Целеустремленность защиты информации предусматривает сосредоточение усилий по предотвращению угроз наиболее ценной информации.
|
|
|
|
|
|
-#### Рациональность инженерно-технической защиты заключается в том, что расходуемый на обеспечение ресурс должен быть минимальным для требуемого уровня безопасности.
|
|
|
+Рациональность инженерно-технической защиты заключается в том, что расходуемый на обеспечение ресурс должен быть минимальным для требуемого уровня безопасности.
|
|
|
|
|
|
-#### Активность подразумевает прогнозирование угроз и создание превентивных мер по их нейтрализации.
|
|
|
+Активность подразумевает прогнозирование угроз и создание превентивных мер по их нейтрализации.
|
|
|
|
|
|
-#### Гибкость защиты информации предполагает возможность оперативных изменений в системе защиты организации. Такая гибкость достигается за счет многообразия способов и средств защиты.
|
|
|
+Гибкость защиты информации предполагает возможность оперативных изменений в системе защиты организации. Такая гибкость достигается за счет многообразия способов и средств защиты.
|
|
|
|
|
|
-#### Комплексность защиты информации вытекает из отсутствия универсальных методов и средств защиты, в результате чего используется комплекс средств защиты для компенсации недостатков одним средств другими.
|
|
|
+Комплексность защиты информации вытекает из отсутствия универсальных методов и средств защиты, в результате чего используется комплекс средств защиты для компенсации недостатков одним средств другими.
|
|
|
|
|
|
-#### Экономичность защиты информации должна приводит к тому, что затраты на защиту информации не должны превышать возможный ущерб от реализации угроз.
|
|
|
+Экономичность защиты информации должна приводит к тому, что затраты на защиту информации не должны превышать возможный ущерб от реализации угроз.
|
|
|
|
|
|
-#### Принципы построения системы инженерно-технической защиты информации:
|
|
|
+Принципы построения системы инженерно-технической защиты информации:
|
|
|
|
|
|
-#### - многозональность пространства, контролируемого системой инженерно-технической защиты информации;
|
|
|
+- многозональность пространства, контролируемого системой инженерно-технической защиты информации;
|
|
|
|
|
|
-#### - многорубежность системы инженерно-технической защиты информации;
|
|
|
+- многорубежность системы инженерно-технической защиты информации;
|
|
|
|
|
|
-#### - равнопрочность рубежа контролируемой зоны;
|
|
|
+- равнопрочность рубежа контролируемой зоны;
|
|
|
|
|
|
-#### - надежность технических средств системы защиты информации;
|
|
|
+- надежность технических средств системы защиты информации;
|
|
|
|
|
|
-#### - адаптируемость системы к новым угрозам;
|
|
|
+- адаптируемость системы к новым угрозам;
|
|
|
|
|
|
-#### - согласованность системы защиты с другими системами организации.
|
|
|
+- согласованность системы защиты с другими системами организации.
|
|
|
|
|
|
|
|
|
|
|
|
-#### Таким образом, инженерно-техническую систему защиты информации можно считать эффективной и эргономичной только при соблюдении всех вышеперечисленных принципов при ее проектировании и эксплуатации.
|
|
|
+Таким образом, инженерно-техническую систему защиты информации можно считать эффективной и эргономичной только при соблюдении всех вышеперечисленных принципов при ее проектировании и эксплуатации.
|
|
|
|
|
|
|
|
|
|
