Задачи и принципы инженерно-технической защиты информации.

Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению безопасности информации техническими средствами. Она решает следующие задачи:

1. Предотвращение проникновения злоумышленника к источникам информации с целью ее уничтожения, хищения или изменения.

2. Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении.

3. Предотвращение утечки информации по различным техническим каналам.

Способы и средства решения первых двух задач не отличаются от способов и средств защиты любых материальных ценностей, третья задача решается исключительно способами и средствами инженерно-технической защиты информации. Для обеспечения эффективной инженерно-технической защиты информации необходимо определить:

· что защищать техническими средствами в конкретной организации, здании, помещении;

· каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств;

· какие способы и средства целесообразно применять для обеспечения безопасности информации с учетом как величины угрозы, так и затрат на ее предотвращение;

· как организовать и реализовать техническую защиту информации в организации.

Основы инженерно-технической защиты должны содержать как теоретические знания, так и методические рекомендации, обеспечивающие решение этих задач. В основу защиты должны быть положены следующие принципы:

1. Непрерывность защиты информации, характеризующая постоянную готовность системы защиты к отражению угроз безопасности информации в любое время;

2. Активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите;

3. Скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации;

4. Целеустремленность, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации;

5. Комплексное использование различных способов и средств защиты информации, позволяющая компенсировать недостатки одних достоинствами других.

Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации. Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень ее защиты и позволяет сократить затраты. Эта группа включает следующие принципы:

6. Соответствие уровня защиты ценности информации (принцип адекватности). Затраты на защиту не должны превышать цену защищаемой информации. В противном случае защита нерентабельна.

7. Гибкость защиты. Проявляется в возможности изменении степени защищенности в соответствии с изменившимися требованиями к безопасности информации.

8. Многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем ее безопасности; Каждая КЗ характеризуется уровнем безопасности находящейся в ней информации. Безопасность информации в зоне зависит от:

- расстояния от источника информации (сигнала) до злоумышленника или его средства добывания информации;

- количества и уровня защиты рубежей на пути движения злоумышленника или распространения иного носителя информации (например, поля);

- эффективности способов и средств управления допуском людей и автотранспорта в зону;

- мер по защите информации внутри зоны.

9. Многорубежность защиты информации на пути движения злоумышленника или распространения носителя

Рассмотренные выше принципы относятся к защите в целом. При построении системы защиты целесообразно учитывать также следующие принципы:

10. Минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации;

11. Надежность в работе технических средств системы, исключающая как не реагирование на угрозы безопасности (пропуски угроз) информации, так и ложные реакции при их отсутствии;

12. Ограниченный и контролируемый доступ к элементам системы обеспечения безопасности информации;

13. Адаптируемость (приспособляемость) системы к изменениям окружающей среды;