pivovar.md 13 KB
Принципы инженерно-технической защиты информации
Инженерно-техническая защита (ИТЗ) – это совокупность технических средств и мероприятий, нацеленных на предотвращение утечек, разглашения информации, и несанкционированного доступа в сетевые ресурсы организации. Актуальность защиты информации обусловливается наличием большого числа потенциальных конкурентов, а также недоброжелателей, которые могут навредить компании. Попав в чужие руки, ценная информация становится товаром. Ее искажение, порча или плагиат могут навредить репутации и финансам компании, причинить вред и способствовать выходу с рынка.
Принципы инженерно-технической защиты как процесса:
надежность защиты информации;
непрерывность защиты информации;
скрытность защиты информации;
целеустремленность защиты информации;
рациональность защиты;
активность защиты;
гибкость защиты;
многообразие способов защиты;
комплексное использование различных способов и средств защиты информации;
экономичность защиты информации.
Надежность защиты информации предусматривает обеспечение требуемого уровня ее безопасности независимо от внешних и внутренних факторов, влияющих на безопасность информации.
Непрерывность защиты информации характеризует постоянную готовность системы защиты к отражению угроз информации.
Скрытность защиты информации подразумевает скрытое проведение мер по защите информации и существенное ограничение допуска сотрудников организации к информации о конкретных способах и средствах инженерно-технической защиты в организации.
Целеустремленность защиты информации предусматривает сосредоточение усилий по предотвращению угроз наиболее ценной информации.
Рациональность инженерно-технической защиты заключается в том, что расходуемый на обеспечение ресурс должен быть минимальным для требуемого уровня безопасности.
Активность подразумевает прогнозирование угроз и создание превентивных мер по их нейтрализации.
Гибкость защиты информации предполагает возможность оперативных изменений в системе защиты организации. Такая гибкость достигается за счет многообразия способов и средств защиты.
Комплексность защиты информации вытекает из отсутствия универсальных методов и средств защиты, в результате чего используется комплекс средств защиты для компенсации недостатков одним средств другими.
Экономичность защиты информации должна приводит к тому, что затраты на защиту информации не должны превышать возможный ущерб от реализации угроз.
Принципы построения системы инженерно-технической защиты информации:
многозональность пространства, контролируемого системой инженерно-технической защиты информации;
многорубежность системы инженерно-технической защиты информации;
равнопрочность рубежа контролируемой зоны;
надежность технических средств системы защиты информации;
адаптируемость системы к новым угрозам;
согласованность системы защиты с другими системами организации.
Таким образом, инженерно-техническую систему защиты информации можно считать эффективной и эргономичной только при соблюдении всех вышеперечисленных принципов при ее проектировании и эксплуатации.
Существует классификация инженерно-технической защиты информации по виду, объектам воздействия и используемым технологиям. Выделяют следующие виды средств инженерно-технической защиты:
Физические. Используются с целью решения задач по охране предприятия, наблюдению за территорией и помещениями, осуществлению контролируемого доступа в здание. К ним относят охранно-пожарные системы, аварийное и локальное освещение, а также охранное телевидение. Физические средства защиты информации можно разделить на предупредительные, обнаруживающие и ликвидирующие угрозы, активно используемые сегодня руководителями многих предприятий.
Аппаратные. К ним относятся электронные и механические устройства, предназначенные для инженерно-технической защиты информации и для противодействия шпионажу. Их главная задача – выявление каналов утечки информации, их локализация (обнаружение) и нейтрализация. Примерами таких средств могут служить комплексы для поиска сетевых радиопередатчиков, телефонных закладок и радиомикрофонов, устанавливаемых с целью секретного прослушивания.
Программные. Включают в себя системы по защите информации, обеспечивающие защиту секретных данных: проектов, чертежей, стратегических и тактических задач фирмы, финансовых и бухгалтерских данных, сведений о работающих сотрудниках.
Криптографические. Специальные системы шифрования и кодировки, которые используются для защиты информации при телефонных переговорах, рабочих встречах, в рамках совещаний. Принцип работы криптографии состоит в применении математических моделей кодировки сообщений, что обеспечивает эффективную защиту информации от несанкционированного изменения и использования злоумышленниками.
Так как органам безопасности, занимающиеся защитой информации, противостоит разведка с мощным аппаратом и средствами, находящимися на острие научно-технического прогресса, то возможности способов и средств защиты не должны, по крайней мере, уступать возможностям разведки. Исходя их этих исходных положений в основу защиты должны быть положены следующие принципы, аналогичные принципам добывания, а именно:
непрерывность защиты информации, характеризующая постоянную готовность системы защиты к отражению угроз безопасности информации в любое время;
активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите;
скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации;
целеустремленность, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации;
комплексное использование различных способов и средств защиты информации, позволяющая компенсировать недостатки одних достоинствами других.
Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации.
Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень ее защиты и позволяет сократить затраты. Эта группа включает следующие принципы:
соответствие уровня защиты ценности информации;
гибкость защиты;
многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем ее безопасности;
многорубежность зашиты информации на пути движения злоумышленника или распространения носителя.
Первый принцип определяет экономическую целесообразность применения тех или иных мер защиты. Он заключается в том, что затраты на защиту не должны превышать цену защищаемой информации. В противном случае защита нерентабельна.
Так как цена информации - величина переменная, зависящая как от источника информации, так и времени, то во избежание неоправданных расходов защита должна быть гибкой. Гибкость защиты проявляется в возможности изменении степени защищенности в соответствии с изменившимися требованиями к безопасности информации. Степень защищенности информации определяет уровень безопасности информации.