Основные положения раздела I

1.Инженерно-техническая защита информации является од­ним из основных направлений обеспечения информационной бе­зопасности. Технический прогресс способствует повышению роли
инженерно-технической защиты. Она охватывает большое коли­чество областей знаний и сфер практической деятельности, при ее обеспечении необходимо учитывать большое число факто­
ров, информация о которых недостаточная и часто недостоверная. Определяющую роль при инженерно-технической защите игра­ет человек, действия которого пока не поддаются формализации. Задачи инженерно-технической защиты информации относятся к так называемым слабоформализуемым задачам, не имеющим фор­мальных (строго математических) методов решения. Получение рациональных (удовлетворяющих поставленным требованиям) ре­зультатов при решении слабоформализуемых задач достигается на основе системного подхода.

2.Системный подход представляет собой обобщение опытачеловечества по решению задач, прежде всего, слабоформализуе­мых. Эти задачи характеризуются большим числом факторов, влияющих на результат решения задачи, информация о которых не­достоверная и недостаточная, и отсутствием формальных мето­дов решения, учитывающих эти факторы. Отсутствие формального математического аппарата оптимизации решения слабофор­мализуемых задач не позволяет находить оптимальные решения.Результаты решения, удовлетворяющие требованиям, образуютобласть рациональных решений, внутри которых находится опти­мальный результат.

Системный подход предусматривает представление совокуп­ности сил, средств и методов, обеспечивающих решение задач, в виде открытой системы, являющейся подсистемой более слож­ной системы и одновременно гиперсистемой для систем (подсис­тем) более низкого уровня. Система защиты не имеет юридичес­ки оформленной организационно-штатной структуры, а является моделью для анализа и разработки эффективной инженерно-тех­нической защиты информации. Система защиты информации опи­сывается пятью параметрами: целью и задачами защиты информа­ции, ресурсами, угрозами — входами, мерами по защите инфор­мации — выходами и процессом преобразования входов в выходы. Системный подход требует полноты и достоверности описания па­раметров, в противном случае возможны грубые ошибки. Кроме того, при анализе системы надо учитывать появление в системе системных свойств, отсутствующих у ее элементов. Задачи защи­ты информации, как любые иные слабо формализуемые задачи, ре­шаются путем выбора специалистом рациональных вариантов ре­шения на основе результатов системного анализа. Основным ап­паратом системного анализа является аппарат исследования опе­раций — совокупность математических методов оптимизации ре­шений сложных задач: теории массового обслуживания, линей­ного, нелинейного, динамического программирования, игр и др. Рациональный вариант выбирается по значениям показателей эф­фективности защиты информации. В зависимости от вида защища­емой информации и условий обеспечения безопасности информа­ции применяются соответствующие показатели эффективности.

3. Основной целью инженерно-технической защиты информа­ции является обеспечение ее безопасности, при которой риск изме­нения, уничтожения или хищения информации не превышает до­пустимого значения. Риск характеризуется вероятностью реализа­ции угроз и зависит от ресурса — прямых расходов на защиту ин­формации. Сумма прямых расходов на защиту информации и кос­венных расходов, соответствующих ущербу от реализации угроз, определяет расходы на информацию. Значения прямых расходов, при которых суммарные расходы на информацию минимизируются, образуют область рациональной защиты информации. Для оценки риска необходимо определить источники информации и цену содержащейся в них информации, угрозы ее безопасности и возможность (вероятность) их реализации.

Задачи инженерно-технической защиты информации опреде­ляют то, что надо выполнить с учетом данного ресурса для предо­твращения (нейтрализации) конкретных угроз в интересах постав­ленных целей.

4.Входы системы представляют собой угрозы безопасности информации. Угрозы проявляются в виде угроз преднамеренных и случайных (непреднамеренных) воздействий на источники инфор­мации и угроз утечки информации. Угрозы воздействий создают условия и действия, которые могут привести к непосредственному или дистанционному контакту сил человека и природы с источни­ком информации, в результате которого информация может быть изменена, уничтожена, похищена или блокирована. Случайные воздействия в отличие от преднамеренных возникают в результате
непреднамеренных (случайных) воздействий на источники инфор­мации людей, технических средств и стихийных сил.

5.Выходы системы защиты информации — меры по обеспече­нию инженерно-технической защиты. Меры инженерно-техничес­кой защиты информации представляют собой совокупность техни­ческих средств и способов их использования, которые обеспечива­ют требуемый уровень безопасности информации при минимуме ресурса. Каждому набору угроз соответствует рациональный на­ бор мер защиты. Определение такого набора является основной за­дачей инженерно-технической защиты информации. При отсутс­твии формальных методов определение набора средств задача решается путем выбора этих мер специалистами по локальным и гло­бальным показателям эффективности.

6.Основу концепции инженерно-технической защиты инфор­мации составляют принципы ее защиты и построения системы ин­женерно-технической защиты информации.

Основными принципами инженерно-технической защиты ин­формации являются:

•надежность, предусматривающая обеспечение требуемого уров­ня безопасности защищаемой информации;

•непрерывность защиты во времени и пространстве, характери­зующая постоянную (в любое время) готовность системы защи­ты к предотвращению (нейтрализации) угроз информации;

•активность, предусматривающая упреждающее предотвраще­ние (нейтрализация) угроз;

•скрытность, исключающая возможность ознакомления лиц с информацией о конкретных способах и средствах защиты в рас­сматриваемой структуре в объеме, превышающем служебную
необходимость;

•целеустремленность, предполагающая расходование ресурса на предотвращение угроз с максимальным потенциальным ущер­бом;

•рациональность, требующая минимизации расходования ресур­са на обеспечение необходимого уровня безопасности информа­ции;

•комплексное использование различных способов и средств за­щиты информации, позволяющее компенсировать недостатки одних способов и средств достоинствами других;

•экономичность защиты, предусматривающая, что расходы назащиту не превысят ущерба от реализации угроз.

7. Принципы построения системы защиты информации учи­тывают рассмотренные принципы, способы безопасности живых существ, отобранные природой в процессе ее эволюции, способы, которые создали люди и механизмы гипотетической абсолютной системы обеспечения безопасности. К основным принципам пост­роения инженерно-технической защиты информации относятся:

•многозональность пространства, контролируемого системой ин­женерно-технической защиты информации, позволяющая обес­печить согласование затрат на защиту и цены информации;

•многорубежность системы инженерно-технической защиты ин­формации, увеличивающей время движения источников угроз и уменьшающей энергию сил воздействия и носителей информа­ции при ее утечке;

•равнопрочность рубежей контролируемой зоны, исключающая появление в них «дырок», через которые возможно проникнове­ние источников угроз и утечки информации;

•надежность технических средств системы защиты, обеспечива­ющая их постоянную работоспособность;

•ограниченный контролируемый доступ к элементам системы защиты информации, исключающий «растекание» информации о способах и средствах защиты;

•адаптируемость (приспосабливаемость) системы к новым угро­зам и изменениям условий ее функционирования;

•согласованность системы защиты информации с другими сис­темами, минимизирующая дополнительные задачи и требова­ния к сотрудникам организации, вызванные необходимостью
защиты информации.

Литература к разделу I

1. Ожегов С. И, Словарь русского языка. •— М.: Советская энциклопе­дия, 1968.

2. Оптнер С. Л. Системный анализ для решения деловых и промышлен­ных проблем. — М.: Советское радио, 1969.

3. Расторгуев С. П. Абсолютная система защиты // Системы безопас­ности, связи и телекоммуникаций. — 1996. — Июнь-июль.

4. Поздняков Е. Н. Защита объектов (Рекомендации для руководителей и сотрудников служб безопасности). — М.: Банковский Деловой Центр,
1997.