1.Инженерно-техническая защита информации является одним из основных направлений обеспечения информационной безопасности. Технический прогресс способствует повышению роли
инженерно-технической защиты. Она охватывает большое количество областей знаний и сфер практической деятельности, при ее обеспечении необходимо учитывать большое число факто
ров, информация о которых недостаточная и часто недостоверная. Определяющую роль при инженерно-технической защите играет человек, действия которого пока не поддаются формализации. Задачи инженерно-технической защиты информации относятся к так называемым слабоформализуемым задачам, не имеющим формальных (строго математических) методов решения. Получение рациональных (удовлетворяющих поставленным требованиям) результатов при решении слабоформализуемых задач достигается на основе системного подхода.
2.Системный подход представляет собой обобщение опытачеловечества по решению задач, прежде всего, слабоформализуемых. Эти задачи характеризуются большим числом факторов, влияющих на результат решения задачи, информация о которых недостоверная и недостаточная, и отсутствием формальных методов решения, учитывающих эти факторы. Отсутствие формального математического аппарата оптимизации решения слабоформализуемых задач не позволяет находить оптимальные решения.Результаты решения, удовлетворяющие требованиям, образуютобласть рациональных решений, внутри которых находится оптимальный результат.
Системный подход предусматривает представление совокупности сил, средств и методов, обеспечивающих решение задач, в виде открытой системы, являющейся подсистемой более сложной системы и одновременно гиперсистемой для систем (подсистем) более низкого уровня. Система защиты не имеет юридически оформленной организационно-штатной структуры, а является моделью для анализа и разработки эффективной инженерно-технической защиты информации. Система защиты информации описывается пятью параметрами: целью и задачами защиты информации, ресурсами, угрозами — входами, мерами по защите информации — выходами и процессом преобразования входов в выходы. Системный подход требует полноты и достоверности описания параметров, в противном случае возможны грубые ошибки. Кроме того, при анализе системы надо учитывать появление в системе системных свойств, отсутствующих у ее элементов. Задачи защиты информации, как любые иные слабо формализуемые задачи, решаются путем выбора специалистом рациональных вариантов решения на основе результатов системного анализа. Основным аппаратом системного анализа является аппарат исследования операций — совокупность математических методов оптимизации решений сложных задач: теории массового обслуживания, линейного, нелинейного, динамического программирования, игр и др. Рациональный вариант выбирается по значениям показателей эффективности защиты информации. В зависимости от вида защищаемой информации и условий обеспечения безопасности информации применяются соответствующие показатели эффективности.
3. Основной целью инженерно-технической защиты информации является обеспечение ее безопасности, при которой риск изменения, уничтожения или хищения информации не превышает допустимого значения. Риск характеризуется вероятностью реализации угроз и зависит от ресурса — прямых расходов на защиту информации. Сумма прямых расходов на защиту информации и косвенных расходов, соответствующих ущербу от реализации угроз, определяет расходы на информацию. Значения прямых расходов, при которых суммарные расходы на информацию минимизируются, образуют область рациональной защиты информации. Для оценки риска необходимо определить источники информации и цену содержащейся в них информации, угрозы ее безопасности и возможность (вероятность) их реализации.
Задачи инженерно-технической защиты информации определяют то, что надо выполнить с учетом данного ресурса для предотвращения (нейтрализации) конкретных угроз в интересах поставленных целей.
4.Входы системы представляют собой угрозы безопасности информации. Угрозы проявляются в виде угроз преднамеренных и случайных (непреднамеренных) воздействий на источники информации и угроз утечки информации. Угрозы воздействий создают условия и действия, которые могут привести к непосредственному или дистанционному контакту сил человека и природы с источником информации, в результате которого информация может быть изменена, уничтожена, похищена или блокирована. Случайные воздействия в отличие от преднамеренных возникают в результате
непреднамеренных (случайных) воздействий на источники информации людей, технических средств и стихийных сил.
5.Выходы системы защиты информации — меры по обеспечению инженерно-технической защиты. Меры инженерно-технической защиты информации представляют собой совокупность технических средств и способов их использования, которые обеспечивают требуемый уровень безопасности информации при минимуме ресурса. Каждому набору угроз соответствует рациональный на бор мер защиты. Определение такого набора является основной задачей инженерно-технической защиты информации. При отсутствии формальных методов определение набора средств задача решается путем выбора этих мер специалистами по локальным и глобальным показателям эффективности.
6.Основу концепции инженерно-технической защиты информации составляют принципы ее защиты и построения системы инженерно-технической защиты информации.
Основными принципами инженерно-технической защиты информации являются:
•надежность, предусматривающая обеспечение требуемого уровня безопасности защищаемой информации;
•непрерывность защиты во времени и пространстве, характеризующая постоянную (в любое время) готовность системы защиты к предотвращению (нейтрализации) угроз информации;
•активность, предусматривающая упреждающее предотвращение (нейтрализация) угроз;
•скрытность, исключающая возможность ознакомления лиц с информацией о конкретных способах и средствах защиты в рассматриваемой структуре в объеме, превышающем служебную
необходимость;
•целеустремленность, предполагающая расходование ресурса на предотвращение угроз с максимальным потенциальным ущербом;
•рациональность, требующая минимизации расходования ресурса на обеспечение необходимого уровня безопасности информации;
•комплексное использование различных способов и средств защиты информации, позволяющее компенсировать недостатки одних способов и средств достоинствами других;
•экономичность защиты, предусматривающая, что расходы назащиту не превысят ущерба от реализации угроз.
7. Принципы построения системы защиты информации учитывают рассмотренные принципы, способы безопасности живых существ, отобранные природой в процессе ее эволюции, способы, которые создали люди и механизмы гипотетической абсолютной системы обеспечения безопасности. К основным принципам построения инженерно-технической защиты информации относятся:
•многозональность пространства, контролируемого системой инженерно-технической защиты информации, позволяющая обеспечить согласование затрат на защиту и цены информации;
•многорубежность системы инженерно-технической защиты информации, увеличивающей время движения источников угроз и уменьшающей энергию сил воздействия и носителей информации при ее утечке;
•равнопрочность рубежей контролируемой зоны, исключающая появление в них «дырок», через которые возможно проникновение источников угроз и утечки информации;
•надежность технических средств системы защиты, обеспечивающая их постоянную работоспособность;
•ограниченный контролируемый доступ к элементам системы защиты информации, исключающий «растекание» информации о способах и средствах защиты;
•адаптируемость (приспосабливаемость) системы к новым угрозам и изменениям условий ее функционирования;
•согласованность системы защиты информации с другими системами, минимизирующая дополнительные задачи и требования к сотрудникам организации, вызванные необходимостью
защиты информации.
Литература к разделу I
1. Ожегов С. И, Словарь русского языка. •— М.: Советская энциклопедия, 1968.
2. Оптнер С. Л. Системный анализ для решения деловых и промышленных проблем. — М.: Советское радио, 1969.
3. Расторгуев С. П. Абсолютная система защиты // Системы безопасности, связи и телекоммуникаций. — 1996. — Июнь-июль.
4. Поздняков Е. Н. Защита объектов (Рекомендации для руководителей и сотрудников служб безопасности). — М.: Банковский Деловой Центр,
1997.