- Услуги
- Цена и срок
- О компании
- Контакты
- Способы оплаты
- Гарантии
- Отзывы
- Вакансии
- Блог
- Справочник
- Заказать консультацию
Заказать консультацию
Принципы технической защиты информации
Так как органам безопасности, занимающимся защитой информации, противостоит разведка с мощным аппаратом и средствами, находящимися на острие научно-технического прогресса, то возможности способов и средств защиты не должны, по крайней мере, уступать возможностям разведки.
Исходя из этих исходных положений основу защиты информации должны составлять, аналогичные принципам добывания информации, а именно:
- непрерывность защиты информации, характеризующаяся постоянной готовностью системы защиты в любое время к отражению угроз информационной безопасности;
- активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите;
- скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации;
- целеустремлённость, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации;
- комплексное использование различных способов и средств защиты информации, позволяющее компенсировать недостатки одних достоинствами других.
Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации.
Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень её защиты и позволяет сократить затраты.
Эта группа включает следующие принципы:
- соответствие уровня защиты ценности информации;
- гибкость защиты;
- многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем её безопасности;
- многорубежность защиты информации на пути движения злоумышленника или распространения носителя.
Первый принцип определяет экономическую целесообразность применения тех или иных средств мер защиты. Он заключается в том, что затраты на защиту информации не должны превышать цену защищаемой информации.
Так как цена информации — величина переменная, зависящая как от источника информации, так и от времени, то во избежание неоправданных расходов защита информации должны быть гибкой.
Гибкость защиты проявляется в возможности изменения степени защищённости в соответствии с изменившимися требованиями к информационной безопасности.
Требуемый уровень информационной безопасности достигается многоканальностью и многорубежностью защиты.
Многозональность обеспечивает дифференцированный санкционированный доступ различных категорий сотрудников и посетителей к источникам информации и реализуется путём разделения пространства, занимаемого объектом защиты (организацией, предприятием, фирмой или любой другой государственной или коммерческой структурой) на так называемые контролируемые зоны.
Типовыми зонами являются:
- территория, занимаемая объектом защиты и ограниченная забором или условной внешней границей;
- здание на территории;
- коридор или его часть;
- помещение;
- шкаф, сейф, хранилище.
Зоны могут быть независимыми (здания, помещения), пересекающимися и вложенными (сейф в комнате, комната в здании, здание на территории).
С целью воспрепятствования проникновению злоумышленника в зону на её границе создаются, как правило, один или несколько рубежей защиты. Рубежи защиты создаются и внутри зоны на пути возможного движения злоумышленника или распространения иных носителей, прежде всего электромагнитных и акустических полей. Например, для защиты акустической информации от прослушивания в помещении может быть установлен рубеж защиты в виде акустического экрана.
Каждая зона характеризуется уровнем безопасности находящейся в ней информации. Информационная безопасность в зоне зависит:
- от расстояния от источника информации (сигнала) до злоумышленника или его средств добывания информации;
- от количества и уровня защиты рубежей на пути движения злоумышленника или распространения иного носителя информации (например поля);
- от эффективности способов и средств управления допуском людей и автотранспорта в зону;
- от мер по защите информации внутри зоны.
Чем больше удалённость источника информации от места нахождения злоумышленника или его средства добывания информации и чем больше рубежей защиты, тем больше время движения злоумышленника к источнику и ослабление энергии носителя в виде поля или электрического тока.
Количество и пространственное расположение зон и рубежей выбирается таким образом, чтобы обеспечить требуемый уровень информационной безопасности как от внешних (вне территории организации), так и внутренних (проникших на территорию злоумышленников или сотрудников) факторов атаки на защищаемый объект. Чем более ценной является информация, тем большим количеством рубежей и зон целесообразно окружить её источник и тогда тем сложнее злоумышленнику обеспечить разведывательный контакт с её носителями.
Рассмотренные выше принципы относятся к защите информации в целом.
При построении системы защиты информации нужно учитывать также следующие принципы:
- минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации;
- надёжность в работе технических средств системы, исключающая как нереагирование на угрозы (пропуски угроз) информационной безопасности, так и ложные реакции при их отсутствии;
- ограниченный и контролируемый доступ к элементам системы обеспечения информационной безопасности;
- непрерывность работы системы в любых условиях функционирования объекта защиты, в том числе, например, кратковременном отключении электроэнергии;
- адаптируемость (приспособляемость) системы к изменениям окружающей среды.
Смысл указанных принципов очевиден, но следует остановиться подробнее на последнем. Дело в том, что закрытая информация о способах и средствах защиты информации в конкретной организации со временем становится известной всё большему числу людей, в результате чего увеличивается вероятность попадания этой информации к злоумышленнику.
Поэтому целесообразно производить изменения в структуре системы защиты информации периодически или при появлении достаточно реальной возможности утечки информации о системе защиты, например, при внезапном увольнении информированного сотрудника службы безопасности.
Статьи по теме
- Нормативно-правовое обеспечение мероприятий технической защиты информации
- Государственный контроль и надзор за соблюдением правил аттестации
- Аттестация объектов информатизации
- Система обеспечения информационной безопасности РФ
- Эволюция места и роли информационной безопасности в системе обеспечения национальной безопасности
- Вопросы информационной безопасности в перечне национальных интересов РФ
- Требования к технической защите информации
- Цели и задачи технической защиты конфиденциальной информации
- Информация как объект защиты
Полезные статьи
Узнайте цену услуг:
Узнай цену консультации
"Да забей ты на эти
дипломы и экзамены!”
(дворник Кузьмич)
