Что входит в организационную составляющую итзи

Организация инженерно-технической защиты информации на предприятиях (в организациях, учреждениях)

Предприятия (фирмы, организации, учреждения) — наиболее многочисленные структуры, в которых создается наибольший объем (количество) информации, содержащей государственную и конфиденциальную тайну. В них проводится конкретная и разнообразная работа по защите информации.

Независимо от формы собственности организация для проведения работ с информацией, содержащей государственную тайну, должна получить лицензию, т. е. выполнить предварительно в полном объеме требования по защите информации, предусмотренные соответствующими документами. После получение лицензии организация становится элементом государственной системы защиты информации, содержащей государственную тайну.

Для защиты информации, содержащей государственную тайну, на предприятии (в учреждении, организации) создаются в зависимости от объема работ по защите информации структурные подразделения или штатные специалисты, которые могут входить в состав одного из подразделений или службы безопасности.

Их основными функции являются следующие:

l планирование работ по защите информации на предприятии (в учреждении, организации), разработка предложений по совершенствованию его системы защиты информации;

l определение демаскирующих признаков предприятия (учреждения, организации) и выпускаемой продукции;

l участие в подготовке предприятия (учреждения, организации) к аттестованию на право проведения работ с использованием сведений, отнесенных к государственной тайне;

l организация разработки нормативно-методических документов, разработка проектов распорядительных документов по вопросам организации защиты информации на предприятии;

l участие в согласовании ТЗ (ТТЗ) на проведение работ, содержащих государственную тайну, в разработке требований по защите информации при проведении исследований, разработке (модернизации), производстве и эксплуатации образцов продукции, при проектировании, строительстве и эксплуатации объектов (учреждения, организации);

l проведение периодического контроля эффективности мер защиты информации на предприятии (в учреждении, организации), участие в расследовании нарушений в области защиты информации и разработка предложений по устранению недостатков и предупреждению нарушений;

l организация проведения занятий с руководящим составом и специалистами предприятия (учреждения, организации) по вопросам защиты информации.

Для защиты информации, составляющей коммерческую тайну, ее владелец создает собственную систему защиты информации.

Законодательно структура такой системы не закреплена. Она определяется многими факторами: видом деятельности, уровнем конфиденциальности информации и ее объемом, штатной численностью ее сотрудников, финансовым состоянием фирмы и др. Однако для любой фирмы однотипны объективные функции сил и средств обеспечения защиты информации. Их может выполнять как полноценная структура, включающее большое количество людей и технических средств, так и несколько человек для малой фирмы. В принципе, так же как в государственных структурах, каждый сотрудник фирмы должен в объеме должностных обязанностей обеспечивать защиту информации. Об этом он информируется при приеме на работу. Эти требования указываются, как правило, в договоре между работодателем и работником.

Наиболее полно вопросы организация системы безопасности фирмы рассмотрены в [2].

Система безопасности фирмы образует следующие основные элементы (должностные лица и органы):

l руководитель фирмы, курирующий вопросы безопасность информации;

l совет по безопасности фирмы;

l служба безопасности фирмы;

l подразделения фирмы, участвующие в обеспечении безопасности фирмы.

Руководство безопасностью возлагается, как правило, на руководителя фирмы и его заместителя по общим вопросам (1-го заместителя), которым непосредственно подчиняется служба безопасности.

Совет по безопасности фирмы представляет собой коллегиальный орган при руководителе фирмы, состав которого назначается им из числа квалифицированных и ответственных по вопросам информационной безопасности должностных лиц. Совет безопасности разрабатывает для руководителя предложения по основным вопросам обеспечения безопасности информации, в том числе: направлениям деятельности по обеспечению безопасности фирмы и ее подразделений, совершенствования системы безопасности, взаимодействия С органами власти, заказчиками, партнерами, конкурентами и потребителями продукции и др.

Структурные подразделения занимаются вопросами защиты информации, которую они создают или используют в своей деятельности. Содержание и количество информации меняются во времени, в зависимости от решаемых задач и этапов деятельности. Однако основные и побочные результаты деятельности содержат защищаемую информацию еще длительное время, равное времени ее старения.

Служба безопасности является основным структурным подразделением по обеспечению безопасности, в том числе информационной, на фирме. Основными ее задачами в части информационной безопасности являются:

l мониторинг угроз информации;

l организация работы по защите информации на фирме;

l управление доступом сотрудником, автотранспорта и посетителей на территорию и в помещения фирмы;

l обеспечение безопасности информации при проведении всех видов деятельности внутри и вне фирмы, в том числе при чрезвычайных ситуациях;

l охрана территории, зданий, помещений и других мест и конструкций с защищаемой информацией.

Кроме этих задач служба безопасности обеспечивает охрану материальных ценностей фирмы и безопасность руководителей, ведущих специалистов и сотрудников.

Для решения указанных задач в полном объеме в службе безопасности создаются отдельные подразделения, примерный состав которых приведен на рис. 25.1.

Рис. 25.1. Структура службы безопасности фирмы

Подразделение режима и охраныобеспечивает: организацию и контроль режима организации; охрану объектов организации и ее отдельных сотрудников, а также ценного груза при его перевозке за пределами организации.

В общем случае под режимом организации понимаются установленные законодательством, подзаконными актами и руководством организации условия работы в ней. В принципе для обеспечения эффективной деятельности любой организация в ней устанавливается определенный режим работы сотрудников. Если технологический процесс производства продукции непрерывен, то этот процесс должны обеспечивать сотрудники независимо от выходных, праздников, болезни и других обстоятельств. Например, нельзя временно, на праздники, потушить доменную печь, так как после этого нельзя восстановить ее работу без почти катастрофических последствий.

Однако обычно режим предполагает условия работы, направленные на обеспечение безопасности ценностей, в том числе информации. В этом смысле организацию с таким режимом называют режимной.

Ответственные сотрудники подразделения режима и охраны не только конкретизируют документы вышестоящих организация по режиму и разрабатывают внутри объектовые документы, но и контролируют выполнение их работниками организации. Например, сотрудники подразделения осматривают подозрительные предметы, которые могут вносить (ввозить) или выносить (вывозить) работники и посетители, контролируют способы переноса и хранения продукции с защищаемыми признаками, надежность закрытия и состояние печатей запасных дверей и ворот, порядок сдачи выделенных помещений под охрану и их вскрытия и др. Сотрудники подразделения режима и охраны занимаются также расследованием нарушений режима в организации.

Основу санкционированного доступа в контролируемые зоны составляет пропускной режим.Традиционно пропускной режим обеспечивается с помощью удостоверений и пропусков. Пропуска для сотрудников и посетителей могут быть постоянными, временными и разовыми, а также материальные для ввоза и вывоза материальных ценностей. Постоянные документы выдаются на несколько лет с последующей перерегистрацией или заменой, временные на несколько месяцев, разовые — на один день. Образцы удостоверений и пропусков разрабатываются службой безопасности и утверждаются руководством организации. Однако эти документы относятся к атрибутным идентификаторам со всеми присущими им недостатками. Их постепенно вытесняют более защищенные атрибутные идентификаторы (карты на различных принципах работы) и биометрические идентификаторы.

Для охраны объектов организации привлекаются в зависимости от их ведомственной принадлежности силы и средства подразделений охраны МО, МВД и коммерческих охранных структур, а также создаются собственные группы охраны. При использовании внешних сил охраны подразделение режима осуществляет контроль за выполнением ими своих функций. Группа охраны организации входит в состав ее подразделения режима и охраны и осуществляет охрану и контроль собственными силами.

Специальный отделобеспечивает учет всех грифованных документов (входящей и исходящей корреспонденции, разрабатываемых и размножаемых в организации документов), циркулирующих в организации, ее централизованное хранение и санкционированной доступ к ней сотрудников организации. В специальном отделе учитывают также образцы продукции (веществ, макетов, узлов и др.), содержащие защищаемую информацию. Основанием для выдачи сотрудников документов и образцов продукции служат временные и разовые допуски, оформляемые руководителями структурных подразделений.

Защита информации с помощью инженерных конструкций и технических средств возлагается на подразделение инженерно-технической защиты информации.Оно занимается выявлением потенциальных угроз, разработкой мер по их предотвращению, инструментальным контролем уровней опасных сигналов и эксплуатацией технических средств защиты информации.

Любая организация, в том числе принадлежащая государству, нуждается для обеспечения эффективной деятельности в информации о партнерах и конкурентах. Для добывания этой информации в рамках как деловой разведки, так и промышленного шпионажа создается в организации подразделение разведки и контрразведки.Это подразделение обеспечивает:

§ • добывание данных и сведений и их аналитическую обработку с целью получения разведывательной информации о партнерах и конкурентах;

§ прогнозирование угроз информации организации со стороны конкурентов и иных злоумышленников;

§ разработка предложений по контрразведывательному обеспечению информационной безопасности.

Основная часть информации (по некоторым оценкам, до 95%) добывается из открытых источников, в особенности по вопросам, касающимся тенденций рынка, потенциальных конкурентов, надежности фирм, с которыми собирается сотрудничать организация и др. Однако информация об оригинальных схемотехнических, конструкторских и технологических решениях, реализация которых в продукции может обеспечить ее владельцам существенные преимущества перед конкурентами, закрывается и защищается.

Что входит в организационную составляющую итзи

В организациях работа по инженерно-технической защите информации включает два этапа:

- построение или модернизация системы защиты;

- поддержание защиты информации на требуемом уровне.

Построение системы защиты информации проводится во вновь создаваемых организациях, в остальных — модернизация существующей.

Построение (модернизация) системы защиты информации и поддержания на требуемом уровне ее защиты в организации предусматривают проведение следующих основных работ:

- уточнение перечня защищаемых сведений в организации, определение источников и носителей информации, выявление и оценка угрозы ее безопасности;

- определение мер по защите информации, вызванных изменениями

целей и задач защиты, перечня защищаемых сведений, угроз безопасности информации;

- контроль эффективности мер по инженерно-технической защите

информации в организации.

Меры по защите информации целесообразно разделить на 2 группы: организационные и технические. В публикациях, в том числе в некоторых руководящих документах, меры по защите делят на организационные, организационно-технические и технические. Учитывая отсутствие достаточно четкой границы между организационно-техническими и организационными, организационно-техническими и техническими мерами, целесообразно ограничиться двумя группами: организационными и техническими. При такой классификации к техническим относятся меры, реализуемые путем установки новых или модернизации используемых инженерных и технических средств защиты информации. Основу организационных мер инженерно-технической зашиты информации составляют меры, определяющие порядок использования этих средств.

Организационные меры инженерно-технической защиты информации включают, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом.

Регламентация — это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации.

- установление границ контролируемых и охраняемых зон;

- определение уровней защиты информации в зонах;

регламентация деятельности сотрудников и посетителей (разработка

распорядка дня, правил поведения сотрудников в организации и вне ее

- определение режимов работы технических средств, в том числе сбора,

обработки и хранения защищаемой информации на ПЭВМ, передачи

документов, порядка складирования продукции и т. д.

Управление доступом к информации включает следующие мероприятия:

- идентификацию лиц и обращений;

- проверку полномочий лип и обращений;

- регистрацию обращений к защищаемой информации;

- реагирование на обращения к информации.

Идентификация пользователей, сотрудников, посетителей, обращений

к каналам телекоммуникаций проводится с целью их надежного опознавания.

Способы идентификации рассмотрены выше.

Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к информации уровень полномочий обращения не может быть ниже разрешенного. С целью обеспечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.

Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

Технические меры предусматривают применение способов и средств. рассмотренных в данной книге.

Важнейшее и необходимое направление работ по защите информации -контроль эффективности защиты. Этот вид деятельности проводится прежде всего силами службы безопасности, а также руководителями структурных подразделений. Контроль инженерно-технической зашиты является составной частью контроля защиты информации в организации и заключается, прежде всего, в определении (измерении) показателей эффективности защиты техническими средствами и сравнении их с нормативными.

Применяют следующие виды контроля:

Предварительный контроль проводится при любых изменениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:

- после установки нового технического средства защиты или изменении организационных мер;

- после проведения профилактических и ремонтных работ средств защиты;

- предотвращение использование поддельных документов и документов лицами, которым они не принадлежат.

- после устранения выявленных нарушений в системе защиты.

Периодический контроль осуществляется с целью обеспечения систематического наблюдения за уровнем зашиты. Он проводится выборочно (применительно к отдельным темам работ, структурным подразделениям или

всей организации) по планам, утвержденным руководителем организации,

а также вышестоящими органами.

Наиболее часто должен проводиться периодический контроль на химических предприятиях, так как незначительные нарушения в технологическом процессе могут привести к утечке демаскирующих веществ. Для определения концентрации демаскирующих веществ регулярно берутся возле предприятия пробы воздуха, воды, почвы, снега, растительности.

Периодичность и места взятия проб определяются характером производил с учетом условий возможного распространения демаскирующих веществ, например, розы ветров и скорости воздушных потоков, видов водоемов (искусственный, озеро, болото, река и др.), характера окружающей местности и т. д. Пробы воздуха рекомендуется брать с учетом направлений ветра на высоте примерно 1.5 м в непосредственной близости от границ территории (50-100 м) и в зоне максимальной концентрации демаскирующих веществ, выбрасываемых в атмосферу через трубы. Пробы воды берутся в местах слива в водоемы к поверхностном слое и на глубине 30-50 см с последующим смешиванием. Берутся также пробы почвы и пыли на растительности. С этой целью собирают листья с нескольких деревьев и кустов на уровне 1.5-2 м от поверхности и не ранее недели после дождя.

Периодический (ежедневный, еженедельный, ежемесячный) контроль должен проводиться также сотрудниками организации в части источников информации, с которыми они работают.

Общий (в рамках всей организации) периодический контроль проводится обычно 2 раза в год. Целью его является тщательная проверка работоспособности всех элементов и системы защиты информации в целом.

Постоянный контроль осуществляется выборочно силами службы безопасности и привлекаемых сотрудников организации с целью объективной оценки уровня зашиты информации и. прежде всего, выявления слабых мест в системе защиты организации. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников организации, вынуждая их более тщательно выполнять требования по обеспечению защиты информации.

Меры контроля, также как и защиты, представляют совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по защите информации. Организационные меры контроля включают:

- проверку выполнения сотрудниками требований руководящих

документов по защите информации;

- проверку работоспособности средств охраны и защиты информации

от наблюдения, подслушивания, перехвата и утечки информации по

материально-вещественному каналу (наличие занавесок, штор, жалюзей на окнах, чехлов на разрабатываемых изделиях, состояние звукоизоляции, экранов, средств подавления опасных сигналов и зашумления, емкостей для сбора отходов с демаскирующими веществами и т. д.);

- контроль за выполнением инструкций по защите информации о разрабатываемой продукции;

- оценка эффективности применяемых способов и средств зашиты

Технические меры контроля проводятся с использованием технических

средств радио — и электроизмерений, физического и химического анализа и обеспечивают проверку:

- напряженности полей с информацией на границах контролируемой зоны;

- уровней опасных сигналов и помех в проводах и экранах кабелей, выходящих за пределы контролируемой зоны;

- концентрации демаскирующих веществ в отходах производства.

- степени зашумления генераторами помех структурных звуков в ограждениях;

Для измерения напряженности электрических полей используются селективные вольтметры, анализаторы спектра, панорамные приемники.

Следует также отметить, что добросовестное и постоянное выполнение сотрудниками организации требований по защите информации основываете на рациональном сочетании способов принуждения и побуждения.

Принуждение — способ, при котором сотрудники организации вынуждены соблюдать правила обращения с источниками и носителями конфиденциальной информации под угрозой материальной, административной или уголовной ответственности.

Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требований по защите информации, формирование моральных, этических, психологических и других нравственных мотивов. Воспитание побудительных мотивов у сотрудников организации является одной из задач службы безопасности, но ее усилия найдут благодатную почву у тех сотрудников, которые доброжелательно относятся к руководству организации и рассматривают организацию как долговременное место работы. Создание условий, при которых место работы воспринимается как второй дом, является, по мнению компетентных аналитиков, одним из факторов экономического роста Японии. Поэтому эффективность защиты в значительной степени влияет климат в организации, который формируется ее руководством.

Выводы к разделу

Любая система создается под заданные требования с учетом существующих ограничений. Факторы, влияющие на структуру и функционирование системы, называются системообразующими.

Порядок защиты информации в организации определяется соответствующим руководством (инструкцией).

Для защиты информации об изделии на каждом этапе его создания разрабатывается соответствующая инструкция. Инструкция должна содержать необходимые для обеспечения безопасности информации сведения, в том числе: общие сведения о наименовании образца, защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц. ответственных за безопасность информации.

Ответственность за состояние защиты информации возлагается на соответствующее подразделение и лиц службы безопасности.

Вопрос 45.2. Концепция инженерно-технической защиты информации (ИТЗИ): базовые принципы и основные направления ИТЗИ.

КОНЦЕПЦИЯ — система взглядов на что-либо, основная мысль.

ИТЗИ – одна из основных компонент комплекса мер по защите информации, составляющей государственную, служебную, коммерческую и личную тайну. Этот комплекс включает нормативно-прововые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации. С возрастанием роли информации в обществе повышаются требования и к ИТЗИ.

Замкнутость информационного обмена, существовавшего в “дорыночный период”, замедляла научно-технический прогресс. Многие достижения, полученные в ходе закрытых разработок, были недоступны не только для потенциальных противников, но и отечественной промышленности, выпускающей товары широкого потребления.

В условиях рынка проблему защиты информации нельзя решить тотальным закрытием информации, так как без информации о новой продукции, которая распространяется, прежде всего, через рекламу, невозможно завоевать рынок. Более того, задачи по защите информации в условиях рынка усложняются, так как она интересует не только разведку других государств, но и многочисленных конкурентов или просто криминальные элементы.

В переходный период становления рыночной экономики проблемы защиты информации усугубляются еще и несовершенством законодательной базы по сохранению государственной и коммерческой тайн.

Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению безопасности информации техническими средствами. Она решает следующие задачи:

· Предотвращение проникновения злоумышленника к источникам информации с целью ее уничтожения, хищения или изменения.

· Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении.

· Предотвращение утечки информации по различным техническим каналам.

(Возможна альтернативная схема выделения направлений ИТЗИ)

· защита информации в каналах связи.

· защита от утечек через поля и среды за счет утечек через э/м излучение утечки по упругим каналам (акустические)

· защита от наблодения и фотографирования

· защита от хищения по материально-вещественным каналам

Способы и средства решения первых двух задач не отличаются от способов и средств защиты любых материальных ценностей, третья задача решается исключительно способами и средствами инженерно-технической защиты информации.

Инженерно-техническая защиты информации представляет собой достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена инженерно-техническая защита, широк и обусловлен многообразием источников и носителей информации, способов и средств ее добывания, а следовательно и защиты. Для обеспечения эффективной ИТЗИ необходимо определить:

· Что защищать техническимим средствами в конкретной организации, здании, помещении;

· Каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств;

Какие способы и средства целесообразно применять для обеспечения безопасности информации с учетом как величины угрозы, так и затрат на ее предотвращение;

В основу защиты должны быть положены следующие принципы:

— непрерывность защиты информации, характеризующая постоянную готовность системы защиты к отражению угроз безопасности информации в любое время;

— активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите;

— скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации:

— целеустремленность, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации;

— комплексное использование различных способов и средств защиты информации, позволяющая компенсировать недостатки одних достоинствами других.

Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации.

Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень ее защиты и позволяет сократить затраты. Эта группа включает следующие принципы:

— соответствие уровня защиты ценности информации;

— многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем ее безопасности;

— многорубежность защиты информации на пути движения злоумышленника или распространения носителя.

Первый принцип определяет экономическую целесообразность применения тех или иных мер защиты. Он заключается в том, что затраты на защиту не должны превышать цену защищаемой информации. В противном случае защита нерентабельна.

Так как цена информации — величина переменная, зависящая как от источника информации, так и времени, то во избежание неоправданных расходов защита должна быть гибкой. Гибкость защиты проявляется в возможности изменении степени защищенности в соответствии с изменившимися требованиями к безопасности информации. Степень защищенности информации определяет уровень безопасности информации.

Требуемый уровень безопасности информации достигается многозональностью и многорубежностью защиты. Принципы многозональности и многорубежности иллюстрируются на рисунке.

Многозональность обеспечивает дифференцированный санкционированный доступ различных категорий сотрудников и посетителей к источникам информации и реализуется путем разделения пространства, занимаемого объектом защиты (организацией, предприятием, фирмой или любой другой государственной и коммерческой структурой) на так как называемые контролируемые зоны. Типовыми зонами являются:

— территория, занимаемая организацией и ограничиваемая забором или условной внешней границей;

— здание на территории;

— коридор или его часть;

— помещение (служебное, кабинет, комната, зал, техническое помещение, склад и др.):

— шкаф. сейф, хранилище.

Зоны могут быть независимыми (здания организации, помещения зданий), пересекающимися и вложенными (сейф внутри комнаты, комнаты внутри здания, здания на территории организации).

С целью воспрепятствования проникновению злоумышленника в зону на ее границе создаются, как правило, один или несколько рубежей защиты. Особенностью защиты границы зоны является требование равной прочности рубежей на границе и наличие контрольно-пропускных пунктов или постов, обеспечивающих управление доступом в зону людей и автотранспорта.

Рубежи защиты создаются и внутри зоны на пути возможного движения злоумышленника или распространения иных носителей, прежде всего, электромагнитных и акустических полей. Например, для защиты акустической информации от подслушивания в помещении может быть установлен рубеж защиты в виде акустического экрана.

Каждая зона характеризуется уровнем безопасности находящейся в ней информации. Безопасность информации в зоне зависит от:

— расстояния от источника информации (сигнала) до злоумышленника или его средства добывания информации;

— количества и уровня защиты рубежей на пути движения злоумышленника или распространения иного носителя информации (например, поля);

— эффективности способов и средств управления допуском людей и автотранспорта в зону;

— мер по защите информации внутри зоны.

Чем больше удаленность источника информации от места нахождения злоумышленника или его средства добывания и чем больше рубежей защиты, тем больше время движения злоумышленника к источнику и ослабление энергии носителя в виде поля или электрического тока. Количество и пространственное расположение зон и рубежей выбираются таким образом, чтобы обеспечить требуемый уровень безопасности защищаемой информации как от внешних (находящихся вне территории организации), так и внутренних (проникших на территорию злоумышленников и сотрудников). Чем более ценной является защищаемая информация, тем большим количеством рубежей и зон целесообразно окружать ее источник и тем сложнее злоумышленнику обеспечить разведывательный контакт с ее носителями. Вариант классификация зон по степени защищенности приведен в таблице.

Рассмотренные выше принципы относятся к защите в целом. При построении системы защиты целесообразно учитывать также следующие принципы:

— минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации;

— надежность в работе технических средств системы, исключающая как не реагирование на угрозы безопасности (пропуски угроз) информации, так и ложные реакции при их отсутствии;

— ограниченный и контролируемый доступ к элементам системы обеспечения безопасности информации;

— непрерывность работы системы в любых условиях функционирования объекта защиты, в том числе при, например, кратковременном выключении электроэнергии;

— адаптируемость (приспособляемость) системы к изменениям окружающей среды:

Смысл указанных принципов очевиден, но следует остановиться подробнее на последнем. Дело в том, что закрытая информация о способах и средствах ее защиты в конкретной организации со временем становится известной все большему количеству людей, в результате чего увеличивается вероятность попадания этой информации к злоумышленнику. Поэтому целесообразно производить изменения в структуре системы защиты периодически или при появлении достаточно реальной возможности утечки информации о системе защиты, например, при внезапном увольнении информированного сотрудника службы безопасности.

Реализация указанных принципов в системе защиты позволит приблизить ее к абсолютной, которая может быть определена как система, обладающая всеми возможными способами защиты и способная в любой момент своего существования прогнозировать наступление угрожающего события за время, достаточное для приведения в действие адекватных мер.

Вопрос 52.2. Концепция инженерно-технической защиты информации (ИТЗИ): характеристика ИТЗИ как области информационной безопасности; основные задачи, показатели эффективности и факторы, влияющие на эффективность ИТЗИ.

· Предотвращение утечки информации по различным техническим каналам.

· Что защищать техническимим средствами в конкретной организации, здании, помещении;

· Каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств;

· Какие способы и средства целесообразно применять для обеспечения безопасности информации с учетом как величины угрозы, так и затрат на ее предотвращение;

Вариантов систем защиты, удовлетворяющих поставленным целям и задачам, может быть много. Сравнение вариантов производится по количественной мере, называемой критерием эффективности системы. Критерий может быть в виде одного показателя, учитывающего основные характеристики системы или представлять собой набор частных показателей. Единый общий критерий эффективности называется глобальным.

В качестве частных показателей критерия эффективности системы защиты информации используются, в основном, те же, что и при оценке эффективности разведки. Это возможно потому, что цели и задачи, а, следовательно, значения показателей эффективности разведки и защиты информации близки по содержанию, но противоположны по результатам. То, что хорошо для безопасности информации, плохо для разведки, и наоборот.

Частными показателями эффективности системы защиты информации являются:

— вероятность обнаружения и распознавания органами разведки объектов

— погрешности измерения признаков объектов защиты;

— качество (разборчивость) речи на выходе приемника злоумышленника;

— достоверность (вероятность ошибки) дискретного элемента информации (буквы, цифры, элемента изображения).

Очевидно, что система защиты тем эффективнее, чем меньше вероятность обнаружения и распознавания объекта защиты органом разведки (злоумышленником), чем ниже точность измерения им признаков объектов защиты, ниже разборчивость речи, выше вероятность ошибки приема органом разведки дискретных сообщений.

Однако при сравнении вариантов построения системы по нескольким частным показателям возникают проблемы, обусловленные возможным противоположным характером изменения значений разных показателей: одни показатели эффективности одного варианта могут превышать значения аналогичных показателей второго варианта, другие наоборот — имеют меньшие значения. Какой вариант предпочтительнее? Кроме того, важным показателем системы защиты являются затраты на обеспечение требуемых значений оперативных показателей. Поэтому результаты оценки эффективности защиты по совокупности частных показателей, как правило, неоднозначные.

Для выбора рационального (обеспечивающего достижение целей, решающего поставленные задачи при полном наборе входных воздействий с учетом ограничений) варианта путем сравнения показателей нескольких вариантов используется глобальный критерий в виде отношения эффективность/стоимость. Под эффективностью понимается степень выполнения системой задач, под стоимостью — затраты на защиту. В качестве меры эффективности применяются различные композиции частных показателей, чаще их «взвешенная» сумма:

, где — «вес» частного показателя эффективности .

«Вес» частного показателя определяется экспертами (руководством, специалистами организации, сотрудниками службы безопасности) в зависимости от характера защищаемой информации. Если защищается в основном семантическая информация, то больший «вес» имеют показатели оценки разборчивости речи и вероятности ошибки приема дискретных сообщений. В случае защиты объектов наблюдения выше «вес» показателей, характеризующих вероятности обнаружения и распознавания этих объектов.

Для оценки эффективности системы защиты информации по указанной формуле частные показатели должны иметь одинаковую направленность влияния на эффективность — при увеличении их значений повышается значение эффективности. С учетом этого требования в качестве меры обнаружения и распознавания объекта надо использовать вероятность не обнаружения и не распознания, а вместо меры качества подслушиваемой речи — ее неразборчивость. Остальные частные показатели соответствуют приведенным выше.Выбор лучшего варианта производится по максимуму глобального критерия, так как он имеет в этом случае лучшее соотношение эффективности и стоимости.

Проектирование требуемой системы защиты проводится путем системного анализа существующей и разработки вариантов требуемой. Алгоритм этого процесса включает следующие этапы:

— определение перечня защищаемой информации, целей, задач, ограничений и показателей эффективности системы зашиты:

— моделирование существующей системы и выявление ее недостатков с позиции поставленных целей и задач;

— определение п моделирование угроз безопасности информации:

— разработка вариантов (алгоритмов функционирования) проектируемой системы:

— сравнение вариантов по глобальному критерию и частным показателям, выбор наилучших вариантов;

— обоснование выбранных вариантов системы в докладной записке пли в проекте для руководства организации;

— доработка вариантов или проекта с учетом замечаний руководства.

Так как отсутствуют формальные способы синтеза системы защиты, то ее оптимизация при проектировании возможна путем постепенного приближения к рациональному варианту в результате нескольких итераций.

Факторы, влияющие на структуру и функционирование системы, называются системообразующими.К ним относятся:

— перечни защищаемых сведений, составляющих государственную (по тематике гос. заказа, если он выполняется организацией) и комм-ую тайну;

— требуемые уровни безопасности информации, обеспечение которых не приведет к превышению ущерба над затратами на защиту информации;

— угрозы безопасности информации;

— ограничения, которые надо учитывать при создании или модернизации системы защиты информации;

— показатели, по которым будет оцениваться эффективность системы защиты.

[1] Функция называется кусочно-непрерывной на всей числовой оси, если она на любом сегменте или непрерывна, или имеет конечное число точек разрыва 1 рода.

Авторы здесь для простоты изложения материала одинаково обозначают записи и ключи этих записей. Но обратите внимание: в листинге предполагается, что записи имеют отдельное поле key (ключ).

Методологические основы и положения инженерно-технической защиты

Рассмотренные ранее вопросы создают теоретическую базу для построения, эксплуатации и модификации системы защиты информации.

Содержание

Системообразующие факторы

Любая система создается под заданные требования с учетом существующих ограничений. Факторы, влияющие на структуру и функционирование системы, называются системообразующими. К ним относятся:

перечни защищаемых сведений, составляющих государственную (по тематике государственного заказа, если он выполняется организацией) и коммерческую тайну;
требуемые уровни безопасности информации, обеспечение которых не приведет к превышению ущерба над затратами на защиту информации;
угрозы безопасности информации;
ограничения, которые надо учитывать при создании или модернизации системы защиты информации;
показатели, по которым будет оцениваться эффективность системы защиты.

Руководящие документы

Структура и алгоритм функционирования системы защиты организации определяются в руководящих, нормативных и методических документах. К руководящим документам относятся:

руководство (инструкция) по защите информации в организации;
положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации;
инструкции по работе с грифованными документами;
инструкции по защите информации о конкретных изделиях;

В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается низменной, так как необходимость в них объективна.

Инструкция по защите информации в организации

Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Оно может содержать следующие разделы:

общие положения;
перечень охраняемых сведений;
демаскирующие признаки объектов организации;
демаскирующие вещества, создаваемые в организации;
оценки возможностей органов и средств добывания информации;
организационные и технические мероприятия по защите информации;
порядок планирования работ службы безопасности;
порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.

На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющиеся в различные моменты времени.

общие сведения о наименовании образца,
защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации,
замысел и меры по защите,
порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля),
фамилии лиц, ответственных за безопасность информации.

Работа по защите информации в организации проводится всеми его сотрудниками, но степень участия различных категорий существенно отличается. Любой сотрудник, подписавший обязательство о неразглашении тайны, участвует в защите информации хотя бы путем выполнения руководящих документов о защите информации.

Группа инженерно-технической защиты

Ответственность за состояние защиты информации возлагается на соответствующее подразделение и лиц службы безопасности. Применительно к типовой структуре службы безопасности коммерческой структуры инженерно-техническая защита обеспечивается группой инженерно-технической защиты, которая, как вариант, может состоять из старшего инженера (инженера) — руководителя группы и инженера (техника) по специальным измерениям.

Основные задачи группы:

обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования;
выявление и оценка степени опасности технических каналов утечки информации;
разработка мероприятий по ликвидации (предотвращению утечки) потенциальных каналов утечки информации;
организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий, анализ результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты;
подготовка заявок на приобретение технических средств защиты информации, участие в их установке, эксплуатации и контроле состояния.

Кроме того, на группу инженерно-технической защиты информации целесообразно возложить также технические вопросы охраны носителей информации.

В организациях работа по инженерно-технической защите информации включает два этапа:

построение или модернизация системы зашиты;
поддержание защиты информации на требуемом уровне.

Построение (модернизация) системы защиты информации

Построение (модернизация) системы защиты информации на требуемом уровне ее защиты в организации предусматривают проведение следующих основных работ:

уточнение перечня защищаемых сведений в организации, определение источников и носителей информации, выявление и оценка угрозы ее безопасности;
определение мер по защите информации, вызванных изменениями целей и задач защиты, перечня защищаемых сведений, угроз безопасности информации;
контроль эффективности мер по инженерно-технической защите информации в организации.

Меры по защите информации целесообразно разделить на 2 группы: организационные и технические.

Tcoibl17 1.png

Организационные меры инженерно-технической защиты информации включают в себя, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом.

Регламентация — это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации.

установление границ контролируемых и охраняемых зон;
определение уровней защиты информации в зонах;
регламентация деятельности сотрудников и посетителей (разработка распорядка дня, правил поведения сотрудников в организации и вне ее т. д.);
определение режимов работы технических средств, в том числе сбора, обработки и хранения защищаемой информации на ПЭВМ, передачи документов, порядка складирования продукции и т. д.

Управление доступом к информации включает следующие мероприятия:

идентификацию лиц и обращений;
проверку полномочий лиц и обращений;
регистрацию обращений к защищаемой информации;
реагирование на обращения к информации.

Технические меры предусматривают применение способов и средств, по противодействию ТСР с помощью технических средств.

В общем случае способы и средства технической зашиты информации должны создать вокруг объекта защиты преграды, препятствующие реализации угроз безопасности информации как при непосредственном контакте злоумышленников с ее источниками, так и при ее утечке. Учитывая активность, непрерывность, скрытность разведки, большое количество потенциальных источников информации в организациях, многообразие побочных полей и электрических сигналов, возникающих при обработке, хранении и передаче информации и способных уносить ее за пределы объекта защиты, проблема защиты информации относится к числу сложных, так называемых слабоформализуемых проблем. Эти проблемы не имеют, как правило, формальных методов решения.

Системный подход к защите информации.

Системный подход — это концепция решения сложных слабоформализуемых проблем, рассматривающая объект изучения (исследования) или проектирования в виде системы.

Основные принципы системного подхода состоят в следующем:

любая система является подсистемой более сложной системы, которая влияет на структуру и функционирование рассматриваемой;
любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных оснований;
при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе их небольшого числа без рассмотрения остальных может привести к нереальным результатам;
накопление и объединение свойств элементов системы приводит к по¬явлению качественно новых свойств, отсутствующих у ее элементов.

Эффективность реализации системного подхода на практике зависит от умения специалиста выявлять и объективно анализировать все многообразие факторов и связей достаточно сложного объекта исследования, каким является, например, организация как объект защиты. Необходимым условием такого умения является наличие у специалиста так называемого системного мышления, формируемого в результате соответствующего обучения и практики решения слабоформализуемых проблем. Системное мышление — важнейшее качество не только специалиста по защите информации, но любого организатора и руководителя.

Системный анализ предусматривает применение комплекса методов, методик и процедур, позволяющих выработать количественные рекомендации по решению любых, прежде всего, слабоформализуемых проблем. Математической основой для системного анализа является аппарат исследования операций.

С позиции системного подхода совокупность взаимосвязанных элементов, функционирование которых направлено на обеспечение безопасности информации, образует систему защиты информации. Такими элементами являются люди (руководство и сотрудники организации, прежде всего, службы безопасности), инженерные конструкции и технические средства, обеспечивающие защиту информации. Следует подчеркнуть, что речь идет не о простом наборе взаимосвязанных элементов, а объединенных целями и решаемыми задачами.

Система задается (описывается) следующими параметрами (характеристиками):

целями и задачами (конкретизированными в пространстве и во времени целями);
входами и выходами системы;
ограничениями, которые необходимо учитывать при построении (модернизации, оптимизации) системы;
процессами внутри системы, обеспечивающими преобразование входов в выходы.

Решение проблемы защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы в требуемую.

Tcoibl17 2 new.png

Оценка требуемого уровня защиты информации

В качестве ориентира для оценки требуемого уровня защиты необходимо определить соотношение между ценой защищаемой информации и затратами на ее защиту. Уровень защиты рационален, когда обеспечивается требуемый уровень безопасности информации и минимизируются расходы на информацию. Эти расходы C p u <\displaystyle C_\!> складываются из:

затрат на защиту информации C 3 u <\displaystyle C_<3u>\!> ;
ущерба C y u <\displaystyle C_\!> за счет попадания информации к злоумышленнику и использования ее во вред владельцу.

Между этими слагаемыми существует достаточно сложная связь, так как ущерб из-за недостаточной безопасности информации уменьшается с увеличением расходов на ее защиту.

При некоторых рациональных затратах на защиту информации выше критических наблюдается минимум суммарных расходов на информацию. При затратах ниже рациональных увеличивается потенциальный ущерб за счет повышения вероятности попадания конфиденциальной информации к злоумышленнику, при более высоких затратах — увеличиваются прямые расходы на защиту.

Критерий эффективности системы

Алгоритм процесса преобразования входных воздействий (угроз) в меры защиты определяет вариант системы защиты. Вариантов, удовлетворяющих целям и задачам, может быть много. Сравнение вариантов производится по количественной мере, называемой критерием эффективности системы. Критерий может быть в виде одного показателя, учитывающего основные характеристики системы или представлять собой набор частных показателей. Единый общий критерий эффективности называется глобальным.

Частными показателями эффективности системы защиты информации являются:

вероятность обнаружения и распознавания органами разведки объектов защиты;
погрешности измерения признаков объектов защиты;
качество (разборчивость) речи на выходе приемника злоумышленника;
достоверность (вероятность ошибки) дискретного элемента информации (буквы, цифры, элемента изображения).

Выбор лучшего варианта производится по максимуму глобального критерия, так как он имеет в этом случае лучшее соотношение эффективности и стоимости.

Проектирование требуемой системы защиты

определение перечня защищаемой информации, целей, задач, ограничений и показателей эффективности системы защиты;
моделирование существующей системы и выявление ее недостатков с позиции поставленных целей и задач;
определение и моделирование угроз безопасности информации;
разработка вариантов (алгоритмов функционирования) проектируемой системы;
сравнение вариантов по глобальному критерию и частным показателям,выборнаилучших вариантов;
обоснование выбранных вариантов системы в докладной записке или в проекте для руководства организации;
доработка вариантов или проекта с учетом замечаний руководства.

Tcoibl17 4 new.png

Для защиты информации на основе системного анализа наряду с организационным и техническим необходимо и методологическое обеспечение. В соответствии с алгоритмом проектирования системы оно должно обеспечить:

Моделирование объекта защиты.
Выявление и моделирование угроз безопасности информации.
Разработку мер инженерно-технической защиты информации.

Моделирование объектов защиты включает в себя:

структурирование защищаемой информации,
разработку моделей объектов защиты.

Для структурирования информации в качестве исходных данных используются:

перечень сведений, содержащих государственную, ведомственную и коммерческую тайну,
перечень источников информации в организации.

Основным методом исследования систем защиты является моделирование.

Tcoibl17 5.png

Тот или иной тип моделирования редко применяется в чистом виде. Как правило, применяются их комбинации.

Моделирование объекта защиты

Моделирование объектов защиты включает:

определение источников защищаемой информации,
описание пространственного расположения основных мест размещения источников защищаемой информации,
выявление путей распространение носителей с защищаемой информацией за пределы контролируемой зоны,
описание с указанием характеристик существующих преград на путях распространение носителей с защищаемой информацией за пределы контролируемой зоны.

Моделирование проводится на основе пространственных моделей контролируемых зон с указанием мест расположения источников защищаемой информации.

Выявление и моделирование угроз безопасности информации.

Моделирование угроз безопасности информации предусматривает анализ способов ее хищения, изменения или уничтожения с целью оценки наносимого ущерба. Оно включает в себя:

моделирование способов физического проникновения злоумышленника к источникам информации,
моделирование технических каналов утечки информации.

Оценка показателей угроз представляет собой сложную задачу в силу следующих обстоятельств:

добывание информации нелегальными путями не афишируется и скудно представлены реальные статистические данные по видам угроз безопасности информации;
характер и частота реализации угроз зависят от криминогенной обстановки в районе нахождения организации и данные об угрозах;
оценка угроз безопасности основана на прогнозах действий органов разведки; учитывая скрытость подготовки и проведения разведывательной операции, их прогноз проводится в условиях информационной недостаточности;
многообразие способов, вариантов и условий доступа к защищаемой информации существенно затрудняют возможность выявления и оценки угроз безопасности;
не известен состав, места размещения и характеристики технических средств добывания информации злоумышленника.

Оценки проводятся с учетом меры вероятности реализуемости того или иного пути проникновения злоумышленника к защищаемой информации или канала утечки.

Угроза безопасности информации, выраженная в величине ущерба Сущ от попадания к злоумышленнику защищаемой информации, определяется для каждого пути и канала в виде Сущ = Си * Рр.

Моделирование угроз безопасности завершается их ранжированием.

Так как не существует формальных методов синтеза вариантов предотвращения угроз безопасности информации, то разработка мер по защите информации проводится эвристическим путем на основе знаний и опыта соответствующих специалистов. Однако в интересах минимизации ошибок процесс разработки должен соответствовать следующим рекомендациям.

Разработка мер инженерно-технической защиты информации

Разработку мер защиты информации целесообразно начинать с угроз, имеющих максимальное значение, далее — с меньшей угрозой и так далее до тех пор, пока не будут исчерпаны выделенные ресурсы. Такой подход гарантирует, что даже при малых ресурсах хватит средств для предотвращения наиболее значимых угроз. Для каждой угрозы разрабатываются меры (способы и средства) по защите информации.

Разработка мер по предотвращению угроз представляет собой итерационный процесс, каждая итерация которого выполняется в 2 этапа:

разработка локальных мер по предотвращению каждой из выявленных угроз;
интеграция (объединение) локальных мер.

Условием для перехода к следующей итерации является освобождение в результате объединения способов и средств защиты информации части ресурса, достаточной для предотвращения очередной угрозы.

В итоговой части проекта (служебной записке, предложениях) целесообразно оценить полноту выполнения задач по защите информации для выделенных ресурсов, а также нерешенные задачи и необходимые для их решения ресурсы.

Подготовленные документы (проект, служебная записка, предложения) предъявляются руководству для принятия решения. Наличие в них нескольких вариантов решений способствует более активному участию в построении или совершенствованию системы защиты информации руководителя организации в качестве как наиболее опытного и квалифицированного специалиста, так и распорядителя ресурсов организации. После принятия проекта (предложений) начинается этап их реализации. Основные задачи специалистов по защите информации заключаются в контроле за работами по выполнению организационных и технических мероприятий, участие в приемке результатов работ и проверке эффективности функционирования элементов и системы защиты в целом.

Результаты оформляются в виде предложений (проекта) в кратком сжатом виде, а материалы моделирования — в виде приложения с обоснованием предложений.

Следует отметить, что материалы с предложениями и их обоснованием, в которых раскрываются методы и средства защиты информации, нуждаются в обеспечении высокого уровня безопасности, а обобщенные документы должны иметь наиболее высокий гриф из применяемых в организации.

Что входит в организационную составляющую итзи

Организация инженерно-технической защиты информации на предприятиях (в организациях, учреждениях)

Что входит в организационную составляющую итзи

Выводы к разделу

Вопрос 45.2. Концепция инженерно-технической защиты информации (ИТЗИ): базовые принципы и основные направления ИТЗИ.

Методологические основы и положения инженерно-технической защиты

Содержание

Системообразующие факторы

Руководящие документы

Инструкция по защите информации в организации

Группа инженерно-технической защиты

Построение (модернизация) системы защиты информации

Системный подход к защите информации.

Оценка требуемого уровня защиты информации

Критерий эффективности системы

Проектирование требуемой системы защиты

Моделирование объекта защиты

Выявление и моделирование угроз безопасности информации.

Разработка мер инженерно-технической защиты информации

Добавить комментарий Отменить ответ