ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 24.10.2023
Просмотров: 385
Скачиваний: 13
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
236 1
,
n
i
i
i
K
K
=
=
α
∑
Э
где
α — «вес» частного показателя эффективности K
i
«Вес» частного показателя определяется экспертами
(руководством, специалистами организации, сотрудниками службы безопасности) в зависимо сти от характера защищае- мой информации. Если защищается в основном се мантическая информация, то больший «вес» имеют показатели оценки раз- борчивости речи и вероятности ошибки приема дискретных сообщений. В случае защиты объектов наблюдения выше
«вес» показателей, характери зующих вероятности обнару- жения и распознавания этих объектов.
Для оценки эффективности системы зашиты инфор- мации по указанной фо рмуле частные показатели должны иметь одинаковую направленность влияния на эффектив- ность — при увеличении их значений повышается значение эффек тивности. С учетом этого требования в качестве меры обнаружения и распозна вания объекта надо использовать ве- роятность не обнаружения и не распозна ния. а вместо меры качества подслушиваемой речи — ее неразборчивость. Осталь- ные частные показатели соответствуют приведенным выше.
Выбор лучшего варианта производится по максимуму гло- бального крите рия. так как он имеет в этом случае лучшее соотношение эффективности и стоимости.
Проектирование требуемой системы защиты проводится путем системного анализа существующей и разработки вари- антов требуемой. Алгоритм этого процесса включает следую- щие этапы:
определение перечня защищаемой информации, целей, задач, ограниче ний и показателей эффективности системы зашиты;
моделирование существующей системы и выявление ее недостатков с позиции поставленных целей и задач;
определение и моделирование угроз безопасности ин- формации;
237
разработка вариантов (алгоритмов функционирования) проектируемой системы;
сравнение вариантов по глобальному критерию и част- ным показателям, выбор наилучших вариантов;
обоснование выбранных вариантов системы в доклад- ной записке или в проекте для руководства организации;
доработка вариантов или проекта с учетом замечаний руководства.
Так как отсутствуют формальные способы синтеза систе- мы защиты, то ее оптимизация при проектировании возмож- на путем постепенного приближе ния к рациональному вари- анту в результате нескольких итераций.
В ходе проектирования создаются модели объектов за- щиты и угроз безо пасности информации, в том числе модели каналов утечки информации, оце ниваются угрозы, разра- батываются способы защиты информации, выбира ются тех- нические средства, определяются эффективность защиты и необхо димые затраты. Разработка способов и средств защи- ты информации пре кращается, когда достигается требуемый уровень ее безопасности, а затраты на защиту соответствуют ресурсам.
После рассмотрения руководством предлагаемых вари- антов (лучше двух для предоставления выбора), учета пред- ложении и замечаний, наилучший, с точки зрения лица, принимающего решения, вариант (проект, предложения) финансируется и реализуется путем проведения необходи- мых закупок мате риалов и оборудования, проведения строи- тельно-монтажных работ, наладки средств защиты и сдачи в эксплуатацию системы защиты
Следует подчеркнуть, что специалист по защите инфор- мации должен при обосновании предлагаемых руководству организации вариантов защиты учи тывать психологию лица (руководителя), принимающего решение о реализа- ции предложений, и в большинстве случаях недостаточную информирован ность его об угрозах безопасности информации в организации.
238
Психологическим фактором, сдерживающим принятие решения руково дителем о выделении достаточно больших ресурсов на защиту информации, является то обстоятельство, что в условиях скрытности добывания информа ции угрозы ее безопасности не представляются достаточно серьезными, а приобретают некоторый абстрактный характер. Знание ру- ководителем о су ществовании, в принципе, таких угроз, но без достаточно убедительных до водов специалиста о наличии угроз безопасности информации в конкретной организации, не гарантирует финансирование проекта в необходимом объе- ме. Кроме того, руководитель в силу собственного представле- ния об угрозах, способах и средствах их нейтрализации может преувеличивать значимость одних мер защиты и преумень- шать другие. Однако это обстоятельство не должно уменьшать энтузиазм специалиста по защите информации, так как оно характерно для любого вида деятельности, а умение обосно- вывать свои предложения является необходимым качеством любого специалиста.
Корректировка мер по защите информации производит- ся после рассмотрения проекта руководством организации, а также в ходе реализации проекта и эксплуатации системы защиты.
1 ... 11 12 13 14 15 16 17 18 19
2.3.3. Сертификация средств защиты информации
Защита информации является общегосударственной про- блемой, так как это напрямую связано с обеспечением сувере- нитета Российской Федерации.
В соответствии с требованиями нормативно-правовой базы
Российской Федерации для осуществления деятельности, свя- занной с использованием сведений конфиденциального ха- рактера, юридическому лицу необходимо иметь соответству- ющие лицензии и сертификаты.
Сертификат на средство защиты информации— доку- мент, подтверждающий соответствие средства защиты инфор- мации требованиям по безопасности информации.
Защита информации является общегосударственной про- блемой, так как это напрямую связано с обеспечением сувере- нитета Российской Федерации.
В соответствии с требованиями нормативно-правовой базы
Российской Федерации для осуществления деятельности, свя- занной с использованием сведений конфиденциального ха- рактера, юридическому лицу необходимо иметь соответству- ющие лицензии и сертификаты.
Сертификат на средство защиты информации— доку- мент, подтверждающий соответствие средства защиты инфор- мации требованиям по безопасности информации.
239
Сертификация средств защиты информации, прежде все- го, подразумевает проверку их качественных характеристик для реализации основной функции – защиты информации на основании государственных стандартов и требований по без- опасности информации. Применительно к сведениям, состав- ляющим государственную тайну, общие принципы организа- ции сертификации средств защиты информации определены нормами статьи 28 Закона РФ «О государственной тайне» — средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организа- ция сертификации средств защиты информации возлагается на Федеральное агентство контроля экспорта и технологий,
Министерство обороны РФ в соответствии с функциями, воз- ложенными на них законодательством Российской Федера- ции. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством
России. Одним из основных руководящих документов по сер- тификации защиты информации в настоящее время являются
Постановлением Правительства Российской Федерации от
25.06.95 г. № 608 «О сертификации средств защиты информа- ции» и «Положение о сертификации средств защиты инфор- мации по требованиям безопасности информации», утверж- денное Приказом Гостехкомиссии РФ от 27.10.1995 № 199.
Порядок проведения сертификации основан на следую- щих принципах:
Обязанность сертификации изделий, обеспечивающих защиту государственной тайны.
Обязательность использования криптографических ал- горитмов, являющихся стандартами.
Принятие на сертификацию только изделий от заяви- телей, имеющих лицензию.
Таким образом, в соответствии с названными документа- ми разработаны и введены в действие перечни средств защи-
240
ты информации, подлежащих обязательной сертификации; государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств (в т.ч. электронной подписи и защищенных техниче- ских средств хранения, обработки и передачи информации), не имеющих сертификата.
Осуществляется следующий порядок сертификации:
В Центральный орган по сертификации (орган, аккре- дитованный ФСТЭК России) подается заявление и полный комплект технической документации.
Центральный орган назначает испытательный центр
(лабораторию) для проведения испытания.
Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром.
Сертификация (экспертиза материалов и подготовка до- кументов для выдачи) осуществляется центральным органом.
Сертификат выдается на срок до 5 лет.
Кроме указанных целей, сертификация средств защиты информации необходима также для решения вопросов эко- номической безопасности организации в связи с постоянным ростом компьютерных преступлений.
После получения сертификата на право оказания услуг за организацией осуществляется государственный контроль
(надзор) за соблюдением требований технических регламен- тов.
Контрольные вопросы
1. Какие документы относятся к системе нормативно-пра- вового регулирования информационной безопасности в Рос- сийской Федерации?
2. Приведите структуру нормативно-правовой базы с сфе- ре информационной безопасности РФ.
3. Назовите основные меры организационно-технической защиты информации.
4. Какие меры защиты относятся к организационным, а какие к техническим?
5. Что включают в себя организационные меры?
6. Что включают в себя технические меры?
7. Что такое лицензия, сертификат?
8. Перечислите законодательные и нормативные докумен- ты для лицензирования и сертификации в области защиты государственной тайны.
9. Перечислите законодательные и нормативные докумен- ты для лицензирования и сертификации в области защиты конфиденциальной информации.
10. Какие виды деятельности подлежат лицензированию и сертификации?
242
ЗАКЛЮЧЕНИЕ
Рассмотренный учебный курс по дисциплине «Техниче- ская защита информации» является одним из важнейших в подготовке специалистов по защите информации. Успешное освоение данного курса позволяет изучить современные мето- ды и средства инженерно-технической защиты информации.
Такие знания необходимы современному специалисту при разработке систем защиты информации на различных уров- нях обеспечения информационной безопасности личности, организации и Российской Федерации в целом. Построение систем защиты информации в современных условиях стано- вится все более актуальным в виду того, что уровень разви- тия средств несанкционированного добывания информации очень высок, доступность миниатюрных и камуфлированных технических средств добывания информации превращает за- дачу нелегального добывания информации из уникальной и рискованной операции в достаточно простую задачу , что значительно увеличивает риск получения больших объемов информации злоумышленниками на безопасном расстоянии от ее источников. Практика показывает, что эффективная защита информации с учетом этих тенденций возможна при активном использовании инженерно-технических методов и средств защиты информации.
Целью курса «Техническая защита информации» явля- ется формирование у студентов знаний по техническому обе- спечению информационной безопасности и навыков по их ис- пользованию для реальных условий. В результате изучения этого курса студенты должны:
знать:
виды информации, защищаемой техническими сред- ствами;
источники и носители информации, защищаемой техническими средствами;
виды угроз безопасности информации, защищаемой техническими средствами;
классификацию и структуру технических каналов утечки информации;
основные способы и принципы работы средств на- блюдения объектов, подслушивания и перехвата сигналов;
основные этапы проектирования системы защиты информации техническими средствами;
способы и принципы работы средств защиты инфор- мации от наблюдения, подслушивания и перехвата;
организационные и технические меры инженер- но-технической защиты информации в государственных и коммерческих структурах;
способы контроля эффективности защиты информа- ции;
уметь:
разрабатывать проекты систем инженерно-техниче- ской защиты объектов;
использовать основные составляющие технической системы охраны: датчики, приборы визуального наблюдения, системы сбора и обработки информации, средства связи, пи- тания и тревожно-вызывной сигнализации;
иметь опыт:
работы со специальными техническими средствами защиты информации;
монтажа и наладки систем видеонаблюдения и ох- ранно-пожарной сигнализации.
Содержание предлагаемого учебного пособия позволит об- учающимся освоить вопросы инженерно-технической защиты информации для успешного решения задач информационной безопасности в рамках профессиональной деятельности.
244
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Аверченков, В. И. Аудит информационной безопасно- сти органов исполнительной власти [Электронный ресурс] : учебное пособие / В. И. Аверченков [и др.]. — Электрон. тек- стовые данные. — Брянск : Брянский государственный тех- нический университет, 2012. — 100 c. — 978-89838-491-3. —
Режим доступа: http://www.iprbookshop.ru/6992.html.
2. Аверченков, В. И. Организационная защита инфор- мации [Электронный ресурс] : учебное пособие для вузов /
В. И. Аверченков, М. Ю. Рытов. — Электрон. текстовые дан- ные. — Брянск : Брянский государственный технический университет, 2012. — 184 c. — 978-89838-489-0. — Режим доступа: http://www.iprbookshop.ru/7002.html.
3. Аверченков, В. И. Оптимизация выбора состава средств инженерно-технической защиты информации на основе моде- ли Клеменса-Хоффмана [Текст] / В. И. Аверченков, М. Ю. Ры- тов, Т. Р. Гайнулин // Весник БГТУ. — Брянск. — 2008 г.
4. Аверченков, В. И. Служба защиты информации. Орга- низация и управление [Электронный ресурс] : учебное посо- бие для вузов / В. И. Аверченков, М. Ю. Рытов. — Электрон. текстовые данные. — Брянск : Брянский государственный технический университет, 2012. — 186 c. — 5-89838-138-4. —
Режим доступа: http://www.iprbookshop.ru/7008.html.
5. Аверченков, В. И. Структура системы обеспечения безопасности Российской Федерации [Электронный ресурс] : учебное пособие / В. И. Аверченков [и др.]. — Электрон. тек- стовые данные. — Брянск : Брянский государственный техни- ческий университет, 2012. — 140 c. — 978-5-89838-503-3. —
Режим доступа: http://www.iprbookshop.ru/7011.html.
6. Аверченков, В. И. Методы автоматизации для проекти- рования систем инженерно-технической защиты информации