КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Задачи и принципы инженерно-технической защиты информации.Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению безопасности информации техническими средствами. Она решает следующие задачи: 1. Предотвращение проникновения злоумышленника к источникам информации с целью ее уничтожения, хищения или изменения. 2. Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении. 3. Предотвращение утечки информации по различным техническим каналам. Способы и средства решения первых двух задач не отличаются от способов и средств защиты любых материальных ценностей, третья задача решается исключительно способами и средствами инженерно-технической защиты информации. Для обеспечения эффективной инженерно-технической защиты информации необходимо определить: · что защищать техническими средствами в конкретной организации, здании, помещении; · каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств; · какие способы и средства целесообразно применять для обеспечения безопасности информации с учетом как величины угрозы, так и затрат на ее предотвращение; · как организовать и реализовать техническую защиту информации в организации. Основы инженерно-технической защиты должны содержать как теоретические знания, так и методические рекомендации, обеспечивающие решение этих задач. В основу защиты должны быть положены следующие принципы: 1. Непрерывность защиты информации, характеризующая постоянную готовность системы защиты к отражению угроз безопасности информации в любое время; 2. Активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите; 3. Скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации; 4. Целеустремленность, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации; 5. Комплексное использование различных способов и средств защиты информации, позволяющая компенсировать недостатки одних достоинствами других. Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации. Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень ее защиты и позволяет сократить затраты. Эта группа включает следующие принципы: 6. Соответствие уровня защиты ценности информации (принцип адекватности). Затраты на защиту не должны превышать цену защищаемой информации. В противном случае защита нерентабельна. 7. Гибкость защиты. Проявляется в возможности изменении степени защищенности в соответствии с изменившимися требованиями к безопасности информации. 8. Многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем ее безопасности; Каждая КЗ характеризуется уровнем безопасности находящейся в ней информации. Безопасность информации в зоне зависит от: - расстояния от источника информации (сигнала) до злоумышленника или его средства добывания информации; - количества и уровня защиты рубежей на пути движения злоумышленника или распространения иного носителя информации (например, поля); - эффективности способов и средств управления допуском людей и автотранспорта в зону; - мер по защите информации внутри зоны. 9. Многорубежность защиты информации на пути движения злоумышленника или распространения носителя Рассмотренные выше принципы относятся к защите в целом. При построении системы защиты целесообразно учитывать также следующие принципы: 10. Минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации; 11. Надежность в работе технических средств системы, исключающая как не реагирование на угрозы безопасности (пропуски угроз) информации, так и ложные реакции при их отсутствии; 12. Ограниченный и контролируемый доступ к элементам системы обеспечения безопасности информации; 13. Адаптируемость (приспособляемость) системы к изменениям окружающей среды;
|