ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 24.10.2023
Просмотров: 479
Скачиваний: 14
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Защита информации — деятельность по предотвраще- нию утечки защищаемой информации, несанкционирован- ных и непреднамеренных воздействий на защищаемую ин- формацию.
Система защиты информации — совокупность орга- нов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответству- ющими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Объект защиты — информация или носитель информа- ции, или информационный процесс, в отношении которых не-
227
обходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Категорирование защищаемой информации (объекта защиты) — установление градаций важности защиты защи- щаемой информации (объекта защиты).
Средство защиты информации — техническое, про- граммное средство, вещество и/или материал, предназначен- ные или используемые для защиты информации.
Контроль эффективности защиты информации — проверка соответствия эффективности мероприятий по за- щите информации установленным требованиям или нормам эффективности защиты информации.
ГОСТ 26342–84 «Средства охранной, пожарной и охран-
но-пожарной сигнализации. Типы, основные параметры и
размеры».
ГОСТ 4.188–85 «Средства охранной, пожарной и охран-
но-пожарной сигнализации. Номенклатура показателей».
ГОСТ 27990–88 «Средства охранной, пожарной и охран-
но-пожарной сигнализации. Общие технические требова-
ния».
ГОСТ Р 50009–2000 «Совместимость технических
средств охранной, пожарной и охранно-пожарной сигнали-
зации электромагнитная. Требования, нормы и методы ис-
пытаний на помехоустойчивость и индустриальные ради-
опомехи».
ГОСТ Р 50658–94 «Системы тревожной сигнализации».
Часть 2. Требования к системам охраной сигнализации. Раз- дел 4. Ультразвуковые доплеровские извещатели для закры- тых помещений.
ГОСТ Р 50659–2012 «Системы тревожной сигнализа-
ции». Часть 2. Требования к системам охранной сигнализа- ции. Часть 5. Радиоволновые доплеровские извещатели для закрытых помещений.
ГОСТ 31817.1.1–2012 (IEC 60839–1–1:1988). Межгосудар-
ственный стандарт. Системы тревожной сигнализации.
Часть 1. Общие требования. Раздел 1. Общие положения».
228
ГОСТ Р 50776–95 (МЭК 839-14–89) «Системы тревожной
сигнализации». Часть 1. Системы охранной сигнализации.
Общие требования. Раздел 4. Руководство по проектирова- нию, монтажу и техническому обслуживанию.
ГОСТ Р 50777–95 (МЭК 839-1-6–90) «Системы тревож-
ной сигнализации». Часть 2. Требования к системам охран- ной сигнализации. Раздел 6. Пассивные оптико-электронные инфракрасные извещатели для помещений.
ГОСТ Р 50862–2005. Сейфы, сейфовые комнаты и храни-
лища. Требования и методы испытаний на устойчивость к
взлому и огнестойкость.
ГОСТ Р 50941–96 «Кабины защитные. Общие техниче-
ские требования и испытания».
ГОСТ Р 51072–97 «Двери защитные. Требования и мето-
ды испытаний на устойчивость к криминальному откры-
ванию и взлому».
ГОСТ 34024–2016 Замки сейфовые. Требования и мето-
ды испытаний на устойчивость к несанкционированному
открыванию.
ГОСТ 30826–2014. Межгосударственный стандарт.
Стекло многослойное. Технические условия.
ГОСТ 34025–2016. Межгосударственный стандарт. Из-
вещатели охранные поверхностные звуковые для блокиров-
ки остекленных конструкций помещений. Общие техниче-
ские требования и методы испытаний.
ГОСТ Р 51241–2008. Средства и системы контроля и
управления доступом. Классификация. Общие технические
требования. Методы испытаний.
ГОСТ Р 51558–2000 «Системы охранные телевизионные.
Общие технические требования и методы испытаний».
ГОСТ Р ИСО/МЭК 27002–2012. Национальный стандарт
Российской Федерации. Информационная технология. Ме-
тоды и средства обеспечения безопасности. Свод норм и
правил менеджмента информационной безопасности. Уста- навливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реали-
229
зацию или поддержку решений безопасности в организации.
Он предназначен для обеспечения общих основ разработки стандартов безопасности и выбора практических мероприя- тий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следу- ет выбирать и использовать в соответствии с действующим в
России законодательством.
2.3.2. Меры организационно-технической защиты
информации
В организациях работа по инженерно-технической защите информации включает два этапа:
— построение или модернизация системы защиты;
— поддержание защиты информации на требуемом уров- не.
Построение системы защиты информации проводится во вновь создавае мых организациях, в остальных – модерни- зация существующей. Построение (модернизация) системы защиты информации и поддержа ние на требуемом уровне ее защиты в организации предусматривают прове дение следую- щих основных работ:
уточнение перечня защищаемых сведений в организа- ции, определение источников и носителей информации, вы- явление и оценка угрозы ее безопасности;
определение мер по защите информации, вызванных изменениями це лей и задач защиты, перечня защищаемых сведений, угроз безопасности информации;
контроль эффективности мер по инженерно-техниче- ской защите инфор мации в организации.
Меры по защите информации целесообразно разделить на две группы: ор ганизационные и технические. В публи- кациях, в том числе в некоторых ру ководящих документах, меры по защите делят на организационные, органи зационно- технические и технические. Учитывая отсутствие достаточно чет кой границы между организационно-техническими и ор-
230
ганизационными, ор ганизационно-техническими и техниче- скими мерами, целесообразно ограничиться двумя группами: организационными и техническими. При такой классифика- ции к техническим относятся меры, реализуемые путем уста- новки но вых или модернизации используемых инженерных и технических средств защиты информации. Основу органи- зационных мер инженерно-технической защиты информа- ции составляют меры, определяющие порядок использова ния этих средств.
Организационные меры инженерно-технической защиты информации включают, прежде всего, мероприятия по эффек- тивному использованию тех нических средств регламентации и управления доступом к защищаемой ин формации, а также по порядку и режимам работы технических средств защи ты информации. Организационные меры инженерно-техниче- ской защиты ин формации являются частью ее организаци- онной защиты, основу которой со ставляют регламентация и управление доступом.
Регламентация — это установление временных, террито- риальных и ре жимных ограничений в деятельности сотрудни- ков организации и работе технических средств, направленные на обеспечение безопасности инфор мации.
Регламентация предусматривает:
♦ установление границ контролируемых и охраняемых зон;
♦ определение уровней защиты информации в зонах;
♦ регламентация деятельности сотрудников и посетите- лей (разработка распорядка дня, правил поведения сотрудни- ков в организации и вне ее, т. д.);
♦ определение режимов работы технических средств, в том числе сбора, обработки и хранения защищаемой инфор- мации на ПЭВМ, передачи документов, порядка складирова- ния продукции и т. д. Управление доступом к информации включает следующие мероприятия:
♦ идентификацию лиц и обращений;
♦ проверку полномочий лиц и обращений;
231
♦ регистрацию обращений к защищаемой информации;
♦ реагирование на обращения к информации.
Идентификация пользователей, сотрудников, посетите- лей, обращений по каналам телекоммуникаций проводится с целью их надежного опознавания. Способы идентификации рассмотрены выше.
Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к ин формации уровень полномочий обращения не может быть ниже разрешенно го. С целью обе- спечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.
Реагирование на любое обращение к информации за- ключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровож даться включением сигна- лизации, оповещением службы безопасности или правоох- ранительных органов, задержанием злоумышленника при его попыт ке несанкционированного доступа к защищаемой информации.
Технические меры предусматривают применение спосо- бов и средств, рассмотренных в данной книге.
Важнейшее и необходимое направление работ по защите информации —
контроль эффективности защиты. Этот вид деятельности проводится пре жде всего силами службы безопасности, а также руководителями структур ных подраз- делений. Контроль инженерно-технической защиты является со ставной частью контроля защиты информации в организа- ции и заключается, прежде всего, в определении (измерении) показателей эффективности защиты техническими средства- ми и сравнении их с нормативными.
Применяют следующие виды контроля:
предварительный;
периодический;
постоянный.
232
Предварительный контроль проводится при любых изме- нениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:
после установки нового технического средства защиты или изменении организационных мер;
после проведения профилактических и ремонтных ра- бот средств за щиты;
после устранения выявленных нарушений в системе защиты.
Периодический контроль осуществляется с целью обеспе- чения система тического наблюдения за уровнем защиты. Он проводится выборочно (при менительно к отдельным темам работ, структурным подразделениям или всей организации) по планам, утвержденным руководителем организации, а так- же вышестоящими органами.
Наиболее часто должен проводиться периодический кон- троль на химических предприятиях, так как незначитель- ные нарушения в технологическом процессе могут привести к утечке демаскирующих веществ. Для определе ния концентра- ции демаскирующих веществ регулярно берутся возле пред- приятия пробы воздуха, воды, почвы, снега, растительности.
Периодический (ежедневный, еженедельный, ежемесячный) контроль должен проводится также сотрудниками организации в части источников ин формации, с которыми они работают.
Общий (в рамках всей организации) периодический кон- троль проводится обычно два раза в год. Целью его является тщательная проверка работоспо собности всех элементов и си- стемы защиты информации в целом.
Постоянный контроль осуществляется выборочно си- лами службы безо пасности и привлекаемых сотрудников ор- ганизации с целью объективной оценки уровня защиты ин- формации и, прежде всего, выявления слабых мест в системе защиты организации. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников организации, вынуждая их более тщательно выполнять требования по обе- спечению защиты информа ции.
233
Меры контроля, также, как и защиты, представляют со- вокупность органи зационных и технических мероприятий, проводимых с целью проверки вы полнения установленных требований и норм по защите информации. Организационные меры контроля включают:
проверку выполнения сотрудниками требований руко- водящих докумен тов по защите информации;
проверку работоспособности средств охраны и защиты информации от наблюдения, подслушивания, перехвата и утечки информации по мате риально-вещественному каналу
(наличие занавесок, штор, жалюзи на окнах, чехлов на раз- рабатываемых изделиях, состояние звукоизоляции, экранов, средств подавления опасных сигналов и зашумления, емкостей для сбора отходов с демаскирующими веществами и т. д.);
контроль за выполнением инструкций по защите ин- формации о разраба тываемой продукции:
оценка эффективности применяемых способов и средств защиты инфор мации.
Технические меры контроля проводятся с использованием технических средств радио- и электроизмерений, физическо- го и химического анализа и обеспечивают проверку:
напряженности полей с информацией на границах кон- тролируемых зон;
уровней опасных сигналов и помех в проводах и экра- нах кабелей, выходящих за пределы контролируемой зоны;
степени зашумления генераторами помех структурных звуков в ограж дениях;
концентрации демаскирующих веществ в отходах про- изводства.
Для измерения напряженности электрических полей ис- пользуются селек тивные вольтметры, анализаторы спектра, панорамные приемники. Следует также отметить, что добро- совестное и постоянное выполнение сотрудниками организа- ции требований по защите информации основывается на ра- циональном сочетании способов принуждения и побуждения.
234
Принуждение — способ, при котором сотрудники орга- низации вынужде ны соблюдать правила обращения с источ- никами и носителями конфиденци альной информации под угрозой материальной, административной или уго ловной от- ветственности.
Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требова- ний по защите информации, формирование моральных, этиче- ских, психологических и других нравствен ных мотивов. Вос- питание побудительных мотивов у сотрудников организа ции является одной из задач службы безопасности, но ее усилия найдут бла годатную почву у тех сотрудников, которые добро- желательно относятся к руководству организации и рассматри- вают организацию как долговременное место работы. Созда- ние условий, при которых место работы воспринимается как второй дом, является, по мнению компетентных аналитиков, одним из факторов экономического роста Японии. Поэтому эффективность защиты в значительной степени влияет климат в организации, который формируется ее руководством.
Алгоритм процесса преобразования входных воздействий
(угроз) в меры защиты определяет вариант системы защиты.
Вариантов, удовлетворяющих целям и задачам, может быть много. Сравнение вариантов производится по количественной мере, называемой критерием эффективности системы. Кри- терий может быть в виде одного показателя, учитывающего основные харак теристики системы или представлять собой набор частных показателей. Еди ный общий критерий эффек- тивности называется глобальным.
В качестве частных показателей критерия эффективности системы защи ты информации используются, в основном, те же, что и при оценке эффективности разведки. Это возможно потому, что цели и задачи, а, следовательно, значения показа- телей эффективности разведки и защиты информации близки по содержанию, но противоположны по результатам. То, что хорошо для безопасности информации, плохо для разведки, и наоборот.
235
Частными показателями эффективности системы защиты информации яв ляются:
♦ вероятность обнаружения и распознавания органами разведки объектов защиты:
♦ погрешности измерения признаков объектов защиты;
♦ качество (разборчивость) речи на выходе приемника злоумышленника;
♦ достоверность (вероятность ошибки) дискретного эле- мента информа ции (буквы, цифры, элемента изображения).
Очевидно, что система защиты тем эффективнее, чем меньше вероят ность обнаружения и распознавания объек- та защиты органом разведки (зло умышленником), чем ниже точность измерения им признаков объектов за щиты, ниже разборчивость речи, выше вероятность ошибки приема орга- ном разведки дискретных сообщений.
Однако при сравнении вариантов построения системы по не- скольким ча стным показателям возникают проблемы, обуслов- ленные возможным проти воположным характером изменения значений разных показателей: одни по казатели эффективности одного варианта могут превышать значения анало гичных пока- зателей второго варианта, другие наоборот — имеют меньшие значения. Какой вариант предпочтительнее? Кроме того, важ- ным показате лем системы защиты являются затраты на обеспе- чение требуемых значений оперативных показателей. Поэтому результаты оценки эффективности защиты по совокупности частных показателей, как правило, неоднозначные.
Для выбора рационального (обеспечивающего достижение целей, решающего поставленные задачи при полном наборе входных воздействий с учетом ограничений) варианта путем сравнения показателей нескольких ва риантов используется глобальный критерий в виде отношения эффекти вность/стои- мость. Под эффективностью понимается степень выполнения системой задач, под стоимостью — затраты на защиту.
В качестве меры эффективности K
э применяются различ- ные композиции частных показателей, чаще их «взвешен- ная» сумма:
Система защиты информации — совокупность орга- нов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответству- ющими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Объект защиты — информация или носитель информа- ции, или информационный процесс, в отношении которых не-
227
обходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Категорирование защищаемой информации (объекта защиты) — установление градаций важности защиты защи- щаемой информации (объекта защиты).
Средство защиты информации — техническое, про- граммное средство, вещество и/или материал, предназначен- ные или используемые для защиты информации.
Контроль эффективности защиты информации — проверка соответствия эффективности мероприятий по за- щите информации установленным требованиям или нормам эффективности защиты информации.
ГОСТ 26342–84 «Средства охранной, пожарной и охран-
но-пожарной сигнализации. Типы, основные параметры и
размеры».
ГОСТ 4.188–85 «Средства охранной, пожарной и охран-
но-пожарной сигнализации. Номенклатура показателей».
ГОСТ 27990–88 «Средства охранной, пожарной и охран-
но-пожарной сигнализации. Общие технические требова-
ния».
ГОСТ Р 50009–2000 «Совместимость технических
средств охранной, пожарной и охранно-пожарной сигнали-
зации электромагнитная. Требования, нормы и методы ис-
пытаний на помехоустойчивость и индустриальные ради-
опомехи».
ГОСТ Р 50658–94 «Системы тревожной сигнализации».
Часть 2. Требования к системам охраной сигнализации. Раз- дел 4. Ультразвуковые доплеровские извещатели для закры- тых помещений.
ГОСТ Р 50659–2012 «Системы тревожной сигнализа-
ции». Часть 2. Требования к системам охранной сигнализа- ции. Часть 5. Радиоволновые доплеровские извещатели для закрытых помещений.
ГОСТ 31817.1.1–2012 (IEC 60839–1–1:1988). Межгосудар-
ственный стандарт. Системы тревожной сигнализации.
Часть 1. Общие требования. Раздел 1. Общие положения».
228
ГОСТ Р 50776–95 (МЭК 839-14–89) «Системы тревожной
сигнализации». Часть 1. Системы охранной сигнализации.
Общие требования. Раздел 4. Руководство по проектирова- нию, монтажу и техническому обслуживанию.
ГОСТ Р 50777–95 (МЭК 839-1-6–90) «Системы тревож-
ной сигнализации». Часть 2. Требования к системам охран- ной сигнализации. Раздел 6. Пассивные оптико-электронные инфракрасные извещатели для помещений.
ГОСТ Р 50862–2005. Сейфы, сейфовые комнаты и храни-
лища. Требования и методы испытаний на устойчивость к
взлому и огнестойкость.
ГОСТ Р 50941–96 «Кабины защитные. Общие техниче-
ские требования и испытания».
ГОСТ Р 51072–97 «Двери защитные. Требования и мето-
ды испытаний на устойчивость к криминальному откры-
ванию и взлому».
ГОСТ 34024–2016 Замки сейфовые. Требования и мето-
ды испытаний на устойчивость к несанкционированному
открыванию.
ГОСТ 30826–2014. Межгосударственный стандарт.
Стекло многослойное. Технические условия.
ГОСТ 34025–2016. Межгосударственный стандарт. Из-
вещатели охранные поверхностные звуковые для блокиров-
ки остекленных конструкций помещений. Общие техниче-
ские требования и методы испытаний.
ГОСТ Р 51241–2008. Средства и системы контроля и
управления доступом. Классификация. Общие технические
требования. Методы испытаний.
ГОСТ Р 51558–2000 «Системы охранные телевизионные.
Общие технические требования и методы испытаний».
ГОСТ Р ИСО/МЭК 27002–2012. Национальный стандарт
Российской Федерации. Информационная технология. Ме-
тоды и средства обеспечения безопасности. Свод норм и
правил менеджмента информационной безопасности. Уста- навливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реали-
229
зацию или поддержку решений безопасности в организации.
Он предназначен для обеспечения общих основ разработки стандартов безопасности и выбора практических мероприя- тий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следу- ет выбирать и использовать в соответствии с действующим в
России законодательством.
2.3.2. Меры организационно-технической защиты
информации
В организациях работа по инженерно-технической защите информации включает два этапа:
— построение или модернизация системы защиты;
— поддержание защиты информации на требуемом уров- не.
Построение системы защиты информации проводится во вновь создавае мых организациях, в остальных – модерни- зация существующей. Построение (модернизация) системы защиты информации и поддержа ние на требуемом уровне ее защиты в организации предусматривают прове дение следую- щих основных работ:
уточнение перечня защищаемых сведений в организа- ции, определение источников и носителей информации, вы- явление и оценка угрозы ее безопасности;
определение мер по защите информации, вызванных изменениями це лей и задач защиты, перечня защищаемых сведений, угроз безопасности информации;
контроль эффективности мер по инженерно-техниче- ской защите инфор мации в организации.
Меры по защите информации целесообразно разделить на две группы: ор ганизационные и технические. В публи- кациях, в том числе в некоторых ру ководящих документах, меры по защите делят на организационные, органи зационно- технические и технические. Учитывая отсутствие достаточно чет кой границы между организационно-техническими и ор-
230
ганизационными, ор ганизационно-техническими и техниче- скими мерами, целесообразно ограничиться двумя группами: организационными и техническими. При такой классифика- ции к техническим относятся меры, реализуемые путем уста- новки но вых или модернизации используемых инженерных и технических средств защиты информации. Основу органи- зационных мер инженерно-технической защиты информа- ции составляют меры, определяющие порядок использова ния этих средств.
Организационные меры инженерно-технической защиты информации включают, прежде всего, мероприятия по эффек- тивному использованию тех нических средств регламентации и управления доступом к защищаемой ин формации, а также по порядку и режимам работы технических средств защи ты информации. Организационные меры инженерно-техниче- ской защиты ин формации являются частью ее организаци- онной защиты, основу которой со ставляют регламентация и управление доступом.
Регламентация — это установление временных, террито- риальных и ре жимных ограничений в деятельности сотрудни- ков организации и работе технических средств, направленные на обеспечение безопасности инфор мации.
Регламентация предусматривает:
♦ установление границ контролируемых и охраняемых зон;
♦ определение уровней защиты информации в зонах;
♦ регламентация деятельности сотрудников и посетите- лей (разработка распорядка дня, правил поведения сотрудни- ков в организации и вне ее, т. д.);
♦ определение режимов работы технических средств, в том числе сбора, обработки и хранения защищаемой инфор- мации на ПЭВМ, передачи документов, порядка складирова- ния продукции и т. д. Управление доступом к информации включает следующие мероприятия:
♦ идентификацию лиц и обращений;
♦ проверку полномочий лиц и обращений;
231
♦ регистрацию обращений к защищаемой информации;
♦ реагирование на обращения к информации.
Идентификация пользователей, сотрудников, посетите- лей, обращений по каналам телекоммуникаций проводится с целью их надежного опознавания. Способы идентификации рассмотрены выше.
Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к ин формации уровень полномочий обращения не может быть ниже разрешенно го. С целью обе- спечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.
Реагирование на любое обращение к информации за- ключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровож даться включением сигна- лизации, оповещением службы безопасности или правоох- ранительных органов, задержанием злоумышленника при его попыт ке несанкционированного доступа к защищаемой информации.
Технические меры предусматривают применение спосо- бов и средств, рассмотренных в данной книге.
Важнейшее и необходимое направление работ по защите информации —
контроль эффективности защиты. Этот вид деятельности проводится пре жде всего силами службы безопасности, а также руководителями структур ных подраз- делений. Контроль инженерно-технической защиты является со ставной частью контроля защиты информации в организа- ции и заключается, прежде всего, в определении (измерении) показателей эффективности защиты техническими средства- ми и сравнении их с нормативными.
Применяют следующие виды контроля:
предварительный;
периодический;
постоянный.
232
Предварительный контроль проводится при любых изме- нениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:
после установки нового технического средства защиты или изменении организационных мер;
после проведения профилактических и ремонтных ра- бот средств за щиты;
после устранения выявленных нарушений в системе защиты.
Периодический контроль осуществляется с целью обеспе- чения система тического наблюдения за уровнем защиты. Он проводится выборочно (при менительно к отдельным темам работ, структурным подразделениям или всей организации) по планам, утвержденным руководителем организации, а так- же вышестоящими органами.
Наиболее часто должен проводиться периодический кон- троль на химических предприятиях, так как незначитель- ные нарушения в технологическом процессе могут привести к утечке демаскирующих веществ. Для определе ния концентра- ции демаскирующих веществ регулярно берутся возле пред- приятия пробы воздуха, воды, почвы, снега, растительности.
Периодический (ежедневный, еженедельный, ежемесячный) контроль должен проводится также сотрудниками организации в части источников ин формации, с которыми они работают.
Общий (в рамках всей организации) периодический кон- троль проводится обычно два раза в год. Целью его является тщательная проверка работоспо собности всех элементов и си- стемы защиты информации в целом.
Постоянный контроль осуществляется выборочно си- лами службы безо пасности и привлекаемых сотрудников ор- ганизации с целью объективной оценки уровня защиты ин- формации и, прежде всего, выявления слабых мест в системе защиты организации. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников организации, вынуждая их более тщательно выполнять требования по обе- спечению защиты информа ции.
233
Меры контроля, также, как и защиты, представляют со- вокупность органи зационных и технических мероприятий, проводимых с целью проверки вы полнения установленных требований и норм по защите информации. Организационные меры контроля включают:
проверку выполнения сотрудниками требований руко- водящих докумен тов по защите информации;
проверку работоспособности средств охраны и защиты информации от наблюдения, подслушивания, перехвата и утечки информации по мате риально-вещественному каналу
(наличие занавесок, штор, жалюзи на окнах, чехлов на раз- рабатываемых изделиях, состояние звукоизоляции, экранов, средств подавления опасных сигналов и зашумления, емкостей для сбора отходов с демаскирующими веществами и т. д.);
контроль за выполнением инструкций по защите ин- формации о разраба тываемой продукции:
оценка эффективности применяемых способов и средств защиты инфор мации.
Технические меры контроля проводятся с использованием технических средств радио- и электроизмерений, физическо- го и химического анализа и обеспечивают проверку:
напряженности полей с информацией на границах кон- тролируемых зон;
уровней опасных сигналов и помех в проводах и экра- нах кабелей, выходящих за пределы контролируемой зоны;
степени зашумления генераторами помех структурных звуков в ограж дениях;
концентрации демаскирующих веществ в отходах про- изводства.
Для измерения напряженности электрических полей ис- пользуются селек тивные вольтметры, анализаторы спектра, панорамные приемники. Следует также отметить, что добро- совестное и постоянное выполнение сотрудниками организа- ции требований по защите информации основывается на ра- циональном сочетании способов принуждения и побуждения.
234
Принуждение — способ, при котором сотрудники орга- низации вынужде ны соблюдать правила обращения с источ- никами и носителями конфиденци альной информации под угрозой материальной, административной или уго ловной от- ветственности.
Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требова- ний по защите информации, формирование моральных, этиче- ских, психологических и других нравствен ных мотивов. Вос- питание побудительных мотивов у сотрудников организа ции является одной из задач службы безопасности, но ее усилия найдут бла годатную почву у тех сотрудников, которые добро- желательно относятся к руководству организации и рассматри- вают организацию как долговременное место работы. Созда- ние условий, при которых место работы воспринимается как второй дом, является, по мнению компетентных аналитиков, одним из факторов экономического роста Японии. Поэтому эффективность защиты в значительной степени влияет климат в организации, который формируется ее руководством.
Алгоритм процесса преобразования входных воздействий
(угроз) в меры защиты определяет вариант системы защиты.
Вариантов, удовлетворяющих целям и задачам, может быть много. Сравнение вариантов производится по количественной мере, называемой критерием эффективности системы. Кри- терий может быть в виде одного показателя, учитывающего основные харак теристики системы или представлять собой набор частных показателей. Еди ный общий критерий эффек- тивности называется глобальным.
В качестве частных показателей критерия эффективности системы защи ты информации используются, в основном, те же, что и при оценке эффективности разведки. Это возможно потому, что цели и задачи, а, следовательно, значения показа- телей эффективности разведки и защиты информации близки по содержанию, но противоположны по результатам. То, что хорошо для безопасности информации, плохо для разведки, и наоборот.
235
Частными показателями эффективности системы защиты информации яв ляются:
♦ вероятность обнаружения и распознавания органами разведки объектов защиты:
♦ погрешности измерения признаков объектов защиты;
♦ качество (разборчивость) речи на выходе приемника злоумышленника;
♦ достоверность (вероятность ошибки) дискретного эле- мента информа ции (буквы, цифры, элемента изображения).
Очевидно, что система защиты тем эффективнее, чем меньше вероят ность обнаружения и распознавания объек- та защиты органом разведки (зло умышленником), чем ниже точность измерения им признаков объектов за щиты, ниже разборчивость речи, выше вероятность ошибки приема орга- ном разведки дискретных сообщений.
Однако при сравнении вариантов построения системы по не- скольким ча стным показателям возникают проблемы, обуслов- ленные возможным проти воположным характером изменения значений разных показателей: одни по казатели эффективности одного варианта могут превышать значения анало гичных пока- зателей второго варианта, другие наоборот — имеют меньшие значения. Какой вариант предпочтительнее? Кроме того, важ- ным показате лем системы защиты являются затраты на обеспе- чение требуемых значений оперативных показателей. Поэтому результаты оценки эффективности защиты по совокупности частных показателей, как правило, неоднозначные.
Для выбора рационального (обеспечивающего достижение целей, решающего поставленные задачи при полном наборе входных воздействий с учетом ограничений) варианта путем сравнения показателей нескольких ва риантов используется глобальный критерий в виде отношения эффекти вность/стои- мость. Под эффективностью понимается степень выполнения системой задач, под стоимостью — затраты на защиту.
В качестве меры эффективности K
э применяются различ- ные композиции частных показателей, чаще их «взвешен- ная» сумма: