30556

Задачи и принципы инженерно-технической защиты информации

Доклад

Математика и математический анализ

Задачи Инженернотехническая защита информации одна из основных составляющих комплекса мер по защите информации составляющей государственную коммерческую и личную тайну. Этот комплекс включает нормативноправовые документы организационные и технические меры направленные на обеспечение безопасности секретной и конфиденциальной информации. Инженернотехническая защита информации включает комплекс организационных и технических мер по обеспечению информационной безопасности техническими средствами и решает следующие задачи:...

Русский

2013-08-24

50.5 KB

55 чел.

Задачи и принципы инженерно-технической защиты информации.

Задачи

 

Инженерно-техническая защита информации - одна из основных составляющих комплекса мер по защите информации, составляющей государственную, коммерческую и личную тайну. Этот комплекс включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации.

Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению информационной безопасности техническими средствами и решает следующие задачи:

  1.  Предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения.
  2.  Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении.
  3.  Предотвращение утечки информации по различным техническим каналам.

Способы и средства решения первых двух задач не отличаются от способов и средств защиты любых материальных ценностей, третья задача решается исключительно способами и средствами инженерно-технической защиты информации.

Инженерно-техническая защита информации представляет собой достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты. Для обеспечения эффективной инженерно-технической защиты информации необходимо определить:

  1.  что защищать техническими средствами в данной организации, здании, помещении
  2.  каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств
  3.  какие способы и средства целесообразно применять для обеспечения информационной безопасности с учётом как величины угрозы, так и затрат на её предотвращение
  4.  как организовать и реализовать техническую защиту информации в организации

При организации защиты информации, как и других видов защиты, необходимо также знать и учитывать психологические факторы, влияющие на принятие решения руководителем или любым другим ответственным лицом. Это обусловлено тем, что меры по защите имеют превентивную направленность без достаточно достоверных данных о потенциальных угрозах не вообще, а применительно к конкретной организации. Кроме того, последствия скрытого хищения информации проявляются спустя некоторое время, когда порой бывает достаточно трудно выявить истинную причину ухудшения финансового положения фирмы или появления у конкурента идентичной продукции. Эти факторы не способствуют психологической готовности руководителя на достаточно большие затраты на защиту информации. Тем не менее, мировой опыт организации защиты информации подтверждает, что на информационную безопасность фирмы вынуждены выделять порядка 10-20% от общей прибыли. Поскольку значительную часть расходов на защиту информации составляют затраты на покупку и эксплуатацию средств защиты, то методология инженерно-технической защиты информации должна обеспечивать возможность рационального выбора средств защиты информации.

Однако, выбор средств защиты информации с ориентацией на рекламные данные чреват крупными ошибками, так как в рекламе фирмы-производители не указывают недостатки и преувеличивают достоинства своей продукции. Нужны более глубокие знания о принципах работы и возможностях тех или иных технических средств защиты информации.

Таким образом, при решении задач защиты информации объективно существует необходимость учёта большого числа различных факторов, что не удаётся, как правило, сделать на основе здравого смысла. Поэтому основы инженерно-технической защиты информации должны содержать как теоретические знания, так и методические рекомендации, обеспечивающие решение этих задач.

Принципы

Так как органам безопасности, занимающимся защитой информации, противостоит разведка с мощным аппаратом и средствами, находящимися на острие научно-технического прогресса, то возможности способов и средств защиты не должны, по крайней мере, уступать возможностям разведки. Исходя из этих исходных положений основу защиты информации должны составлять, аналогичные принципам добывания информации, а именно:

  1.  непрерывность защиты информации, характеризующаяся постоянной готовностью системы защиты в любое время к отражению угроз информационной безопасности
  2.  активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите
  3.  скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации
  4.  целеустремлённость, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации
  5.  комплексное использование различных способов и средств защиты информации, позволяющее компенсировать недостатки одних достоинствами других

Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации.

Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень её защиты и позволяет сократить затраты. Эта группа включает следующие принципы:

  1.  соответствие уровня защиты ценности информации
  2.  гибкость защиты
  3.  многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем её безопасности
  4.  многорубежность защиты информации на пути движения злоумышленника или распространения носителя

Первый принцип определяет экономическую целесообразность применения тех или иных средств мер защиты. Он заключается в том, что затраты на защиту информации не должны превышать цену защищаемой информации.

Так как цена информации - величина переменная, зависящая как от источника информации, так и от времени, то во избежание неоправданных расходов защита информации должны быть гибкой. Гибкость защиты проявляется в возможности изменения степени защищённости в соответствии с изменившимимся требованиями к информационной безопасности.

Требуемый уровень информационной безопасности достигается многозональностью и многорубежностью защиты:

  1.  многозональность обеспечивает дифференцированный санкционированный доступ различных категорий сотрудников и посетителей к источникам информации и реализуется путём разделения пространства, занимаемого объектом защиты (организацией, предприятием, фирмой или любой другой государственной или коммерческой структурой) на так называемые контролоируемые зоны. Типовыми зонами являются:
  2.  территория занимаемая объектом защиты и ограниченная забором или условной внешней грамницей
  3.  здание на территории
  4.  коридор или его часть
  5.  помещение
  6.  шкаф, сейф, хранилище

Зоны могут быть независимыми (здания, помещения), пересекающимися и вложенными (сейф в комнате, комната в здании, здание на территории).

Каждая зона характеризуется уровнем безопасности находящейся в ней информации. Информационная безопасность в зоне зависит от:

  1.  расстояния от источника информации (сигнала) до злоумышленника или его средств добывания информации
  2.  количества и уровня защиты рубежей на пути движения злоумышленника или рапространения иного носителя информации (например, поля)
  3.  эффективности способов и средств управления допуском людей и автотранспорта в зону
  4.  мер по защите информации внутри зоны

Чем больше удалённость источника информации от места нахождения злоумышленника или его средства добывания информации и чем больше рубежей защиты, тем больше время движения злоумышленника к источнику и ослабление энергии носителя в виде поля или электрического тока. Количество и пространственное раположение зон и рубежей выбирается таким образом, чтобы обеспечить требуемый уровень информационной безопасности как от внешних (вне территории организации), так и внутренних (проникших на территорию злоумышленников или сотрудников) факторов атаки на защищаемый объект. Чем более ценной является информация, тем большим количеством рубежей и зон целесообразно окружить её источник и тогда тем сложнее злоумышленнику обеспечить разведывательный контакт с её носителями.

Рассмотренные выше принципы относятся к защите информации в целом. При построении системы защиты информации нужно учитывать также следующие принципы:

  1.  минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации
  2.  надёжность в работетехнических средств системы, исключающая как нереагирование на угрозы (пропуски угроз) информационной безопасности, так и ложные реакции при их отсутствии
  3.  ограниченный и контролируемый доступ к элементам системы обеспечения информационной безопасности
  4.  непрерывность работы системы в любых условиях функционирования объекта защиты, в том числе, например, кратковременном отключении электроэнергии
  5.  адаптируемость (приспособляемость) системы к изменениям окружающей среды

Смысл указанных принципов очевиден, но следует остановится подробнее на последнем. Дело в том, что закрытая информация о способах и средствах защиты информации в конкретной организации со временем становится известной всё большему числу людей, в результате чего увеличивается вероятность попадания этой информации к злоумышленнику. Поэтому целесообразно производить изменения в структуре системы защиты информации периодически или при появлении достаточно реальной возможности утечки информации о системе защиты, например, при внезапном увольнении информированного сотрудника службы безопасности.


 

А также другие работы, которые могут Вас заинтересовать

39021. Паттерновые сети 44.5 KB
  Паттерновые сети Разделы Лекции 8: 8.1 Абстрактные конкретные и ассоциированные паттерновые сети Из образующих путем попарного соединения их связей составляются паттерновые сети. Две соединенные связи образующих называются связкой паттерновой сети. Каждой связке сети устанавливается отношение связей  соединено которое может иметь значение либо ИСТИНА либо ЛОЖЬ в зависимости от условия соединения связки.
39022. Проектирование экономических информационных 505.5 KB
  Средства структурного анализа и проектирования Метод функционального моделирования SDT Диаграммы потоков данных. Словари данных и спецификации процессов. Моделирование данных. 1 Система управления совокупность взаимодействующих структурных подразделений экономической системы осуществляющих функции управления: планирование – определение цели функционирования экономической системы на различные периоды времени; учет – отображение состояния объекта управления в результате...
39023. Понятие индустриального проектирования 231.5 KB
  Ключевые аспекты технологии индустриального проектирования: Реорганизация реинжиниринг бизнеспроцессов; Моделирование предметной проблемной области; Средства автоматизированного проектирования ИС CSEсредства; Возможность применения типовых решений типовое проектирование. Понятие и виды бизнеспроцессов Определение. Под бизнеспроцессом БП будем понимать совокупность взаимосвязанных операций работ по изготовлению готовой продукции или выполнению услуг на основе потребления ресурсов. Основные черты бизнеспроцессов: Все...
39024. Автоматизированное проектирование ИС (CASE-технология) 76 KB
  Изначально CSEсредства были ориентированы на разработку ПО. Сейчас чаще всего под такими средствами подразумевают любые средства проектирования ИС и или моделирования предметной области. CSEсредства охватывают все стадии ЖЦ ИС анализ проектирование разработка сопровождение. Инструментальные средства – CSEсредства.
39025. Типовое проектирование ИС 58 KB
  Сущность: Является одной из разновидностей индустриального проектирования. Содержание: Процесс проектирования ИС состоит из следующих основных этапов: Разбиение проекта информационной системы на отдельные составляющие компоненты. Основная цель применения ТПР – уменьшение трудоемкости и стоимости проектирования и или разработки ИС.
39026. Основные понятия технологии проектирования информационных систем 66 KB
  Основные понятия технологии проектирования информационных систем Понятие и сущность проектирования ИС Определение Проектирование от лат. Обладает возможностью последовательной детализации и конкретизации могут быть выделены стадии этапы проектирования. Предполагает возможность частичной автоматизации Традиционные виды проектирования: архитектурностроительное машиностроительное технологическое. Проектирование информационных систем – сравнительно новый вид проектирования.
39027. Жизненный цикл информационных систем 92 KB
  Поэтому с точки зрения проектирования ИС имеет смысл говорить о модели жизненного цикла. Модель жизненного цикла ИС – это модель создания и использования ИС отражающая ее различные состояния начиная с момента возникновения необходимости в данном комплексе средств и заканчивая моментом его полного выхода из употребления у пользователей. Вопрос к семинарскому занятию: можно ли назвать моделью жизненного цикла такую модель которая бы охватывала не все возможные состояния ИС а только некоторую их часть. Модель жизненного цикла и технология...
39028. Каноническое проектирование информационных систем 126 KB
  В зависимости от сложности объекта автоматизации и набора задач требующих решения при создании конкретной ИС стадии и этапы работ могут иметь различную трудоемкость. Формирование требований к ИС включает в себя следующие этапы: Обследование объекта и обоснование необходимости создания ИС; Формирование требований пользователя к ИС; Оформление отчёта о выполненной работе и заявки на разработку ИС тактикотехнического задания Обследование объекта автоматизации ОА – важнейшая составляющая предпроектной стадии. Обследование объекта...
39029. Проектирование информационного обеспечения ИС 188 KB
  Информационное обеспечение совокупность единой системы классификации и кодирования информации унифицированных систем документации схем информационных потоков циркулирующих в организации а также методология построения баз данных. Понятие и виды информационного обеспечения Информационное обеспечение ИС является средством для решения следующих задач: однозначного и экономичного представления информации в системе на основе кодирования объектов; организации процедур анализа и обработки информации с учетом характера связей между...