ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12415
Скачиваний: 24
71
получение информации с этих носителей возможно только с
использованием специальной аппаратуры, а ее декодирование —
специалистами,
располагающими
определенным
минимумом
предварительных знаний (за сравнительно редким исключением, когда по
открытым каналам связи ведутся разговоры на «закрытые» темы открытым
текстом).
Основные методы, защиты секретной и конфиденциальной ин-
формации, «переносимой» указанными носителями информации:
скрытие;
дезинформация;
кодирование и шифрование, а также организационные и
инженерно-технические меры.
Все названные группы средств и методов защиты информации
применяются в рамках действующих законов, инструкций и других
нормативных актов. Они должны предусматриваться в разрабатываемых на
предприятии
нормативных
документах
по
организации
защиты
информации.
3.3. Оценка эффективности КСЗИ.
Постоянный контроль за движением и наличием секретных и
конфиденциальных документов, специзделий и подобных материалов, за
соблюдением всеми исполнителями и работниками служб безопасности
правил и порядка защиты информации сопровождается, или во всяком
случае
должен
сопровождаться,
оценкой
эффективности
функционирования КСЗИ.
Оценка эффективности систем защиты информации — проблема
комплексная, многокритериальная, требующая рассмотрения многих
факторов, влияющих на функционирование этой системы.
Во-первых,
оценка эффективности СЗИ является управленческой
функцией, как бы завершающей управленческий цикл.
Во-вторых,
данную задачу следует рассматривать на двух уровнях
управления: на стратегическом и тактическом.
В-третьих,
оценку эффективности СЗИ следует проводить в рамках
всей иерархии систем.
В-четвертых,
оценка эффективности может быть более или менее
точно проведена, если четко сформулированы цели деятельности СЗИ.
И тогда оценка эффективности КСЗИ будет состоять в проверке
соответствия достижения какой-то конкретной системой целей, которые
ей были определены при ее создании или на очередном этапе ее
функционирования.
72
Цели защиты информации должны вытекать из целей деятельности
предприятия, учреждения, организации, то есть системы более высокого
уровня, в рамках которой функционирует КСЗИ. Поэтому ее эффективность
следует рассматривать как функцию системы более высокого порядка, так
как она предназначена способствовать эффективному функционированию
этой системы и всех других систем, зависящих от эффективности
функционирования данной КСЗИ.
Конкретная система должна также рассматриваться в связи, в
«комплекте» с другими системами, в которых имеются те же секреты,
которые охраняет рассматриваемая («наша») система. Сопернику ведь не
обязательно одну и ту же информацию добывать в каждом месте, где она
имеется. Если он интересующую его информацию получил там, где она
сохранялась не очень тщательно, он уже не будет стремиться получить ее в
других местах. Поэтому, хотя наша система сработала, допустим, хорошо,
сохранила секреты от утечки, цель таким образом для нас вроде бы
достигнута, однако, если посмотреть с точки зрения систем более высокого
порядка, то безусловно — нет. Следовательно, оценка эффективности СЗИ с
точки зрения достижения
стратегических целей
может производиться
только по «конечному результату», в координатах систем более высокого
порядка, в комплексе
с другими системами.
Когда рассматривается эффективность КСЗИ
на тактическом уровне,
то учитывается уже только функционирование данной системы в Целом, а
также отдельных ее элементов (подсистем). Оценивается деятельность по
защите информации каждого подразделения, каждого сотрудника с точки
зрения соблюдения правил сохранения в тайне засекреченной информации,
не создавали ли они условия, которые могли бы способствовать или
привести к утечке информации, или создать иные угрозы ее безопасности.
В то же время каждый без труда может увидеть, что тактический и
стратегический уровни оценки эффективности КСЗИ находятся в тесной
взаимосвязи, в прямой зависимости: нарушения режима секретности и
другие недостатки в организации защиты засекреченной информации,
приведшие к ее утечке, есть не что иное, как недостаточная эффективность
систем защиты информации на тактическом уровне, ущерб же сказывается
на всех уровнях, в том числе, естественно, и на стратегическом.
73
4. Состав и классификация носителей защищаемой информации.
4.1. Понятие носителей защищаемой информации и их классификация.
Материальные объекты, в том числе физические поля, в которых
информация находит свое отображение в виде символов, образов, сигналов,
технических решений и процессов, создавая тем самым возможность для
ее накопления, хранения, передачи и использования, называются
носителями информации.
Для
з а п и с и
как
секретной,
так
и
несекретной
и н ф о р м а ц и и и с п о л ь з у ю т с я о д н и и т е ж е н о сители .
Как правило, носители секретной и конфиденциальной информации
охраняются собственником этой информации. Это вызвано тем, что если к
ним получит несанкционированный доступ соперник или лицо, от которого
эта информация охраняется, то носитель может стать источником
информации, из которого это лицо может незаконно добыть интересующую
его и защищаемую от него информацию.
Носители защищаемой информации можно классифицировать
следующим образом:
документы;
изделия (предметы);
вещества и материалы;
электромагнитные,
тепловые,
радиационные
и
другие
излучения;
гидроакустические, сейсмические и другие поля;
геометрические формы строений, их размеры и т.п.
В качестве носителя защищаемой информации выступает также
человек,
мозг которого представляет исключительно сложную систему,
хранящую и перерабатывающую информацию, поступающую из внешнего
мира. Свойство мозга отражать и познавать внешний мир, накапливать в
своей памяти колоссальные объемы информации, в том числе и секретной,
естественно, ставят человека на первое место как носителя
конфиденциальной информации. Человек как хранитель секретной и
конфиденциальной информации обладает возможностью (кроме получения
такой информации извне) генерировать новую информацию, в том числе
секретную. У него как носителя защищаемой информации могут быть
отмечены как позитивные черты, так и негативные.
Положительно то, что без согласия субъекта — носителя защищаемой
информации, или, как еще говорят, секретоносителя, из его памяти, как
правило, никакая информация не может быть извлечена. Он может давать
74
оценку важности имеющейся у него в памяти информации и в
соответствии с этим обращаться с нею. Он может ранжировать и
потребителей защищаемой информации, то есть знать, кому и какую
информацию он может доверить.
В то же время он может заблуждаться в отношении истинности
потребителя защищаемой информации, или встать на путь сознательного не
сохранения доверенной ему по службе или работе секретной или
конфиденциальной информации: совершить государственную измену
(шпионаж, выдача государственной или служебной тайны врагу и т.п.) или
разболтать секреты своим знакомым и родственникам. В сфере защиты
информации человек имеет статус
субъекта информационных
отношений.
4.2. Документ как носитель защищаемой информации.
Документ — зафиксированная на материальном носителе ин-
формация с реквизитами, позволяющими ее идентифицировать.
По
форме документы как носители информации могут быть самыми
разнообразными:
бумага,
кино- и фотопленка,
внутренний накопитель на жестком магнитном или магнито -
оптическом диске (НЖМД или НМОД - винчестер);
внешний накопитель на жестком магнитном диске (ЗИП-
драйвер);
внешнее устройство накопления информации (стриммер);
накопитель на магнитной ленте или специальной металлической
нити (в кассетах или бобинах);
гибкий магнитный диск (ГМД - дискета);
оптический или магнитооптический диск (лазерный или компакт
- диск);
бумажная (картонная), пластиковая или металлическая карта;
интегральная микросхема памяти (ИМСП) - микроэлектронное
изделие окончательной или промежуточной формы, предназначенное для
выполнения функций электронной схемы памяти ЭВМ и других
компьютерных устройств, элементы и связи которого неразрывно
сформированы в объеме и (или) на поверхности материала, на основе
которого изготовлено изделие;
листинг - распечатка компьютерной информации на твердом
физическом носителе (бумаге или пленке) и др.
75
Информация, записанная на носителе, может быть в виде текста,
чертежей, формул, графиков, карт и т.п.
Классификация материальных носителей информации.
1. По времени хранения информации:
оперативные
- обеспечивающие кратковременное хранение
данных и команд, например, оперативное запоминающее устройство
(ОЗУ) или электромагнитное поле;
постоянные
- время хранения информации ограничивается лишь
сроком службы (физическим износом) материала МНИ, например,
постоянное запоминающее устройство (ПЗУ) или магнитная лента
2. По условиям корректировки информации:
не перезаписываемые
- МНИ, на которые информация
записывается один раз и хранится постоянно до момента физического
уничтожения или полного старения (износа) ее носителя - позволяют
использовать информацию без корректировки только в режиме "чтение",
например, перфокарта, перфолента, карта со штрих-кодом, не
перезаписываемый оптический диск (компакт-диск), не перезаписываемая
ИМСП;
однократно
перезаписываемые
-
машинные
носителя,
позволяющие произвести одноразовую корректировку ранее записанной
на них информации - информация на них записывается частями
(порциями, импульсами) до тех пор, пока объем свободной памяти не
будет исчерпан, либо один раз с одновременной перезаписью всех ранее
записанных данных, например, интегральная микросхема ПЗУ ЭВМ или
иного компьютерного устройства;
многократно
перезаписываемые
-
МНИ,
допускающие
многократную перезапись и чтение компьютерной информации,
например, магнитные диски и ленты, магнитооптические диски,
интегральная микросхема ОЗУ, электромагнитное поле.
На документе — носителе защищаемой информации указывается
степень закрытости информации (гриф секретности), поэтому потребитель,
имея такие данные на руках, может знать кому и как с этой информацией
обращаться.
Уровень защиты секретных документов может быть организован с
учетом важности содержащихся в них охраняемых сведений.
Слабыми свойствами
документа как носителя защищаемой
информации являются следующие. Если к документу получил не-