Принципы инженерно-технической защиты информации

Так как органам безопасности, занимающимся защитой информации, противостоит разведка с мощным аппаратом и средствами, находящимися на острие научно-технического прогресса, то возможности способов и средств защиты не должны, по крайней мере, уступать возможностям разведки. Исходя из этих исходных положений в основу защиты должны быть положены следующие принципы:

- непрерывность защиты информации, характеризующая постоянную готовность системы защиты к отражению угроз безопасности информации в любое время;

- активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите;

- скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации;

- целеустремленность, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации;

- комплексное использование различных способов и средств защиты информации, позволяющая компенсировать недостатки одних достоинствами других.

Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации.

Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень ее защиты и позволяет сократить затраты:

- соответствие уровня защиты ценности информации;

- гибкость защиты;

- мнгозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем ее безопасности;

- многорубежность защиты информации на пути движения злоумышленника или распространения носителя.

Первый принцип определяет экономическую целесообразность применения тех или иных мер защиты. Он заключается в том, что затраты на защиту не должны превышать цену защищаемой информации. В противном случае защита нерентабельна.

Требуемый уровень безопасности информации достигается многозональностью и многорубежностью защиты.

Многозональность обеспечивает дифференцированный санкционированный доступ различных категорий сотрудников и посетителей к источникам информации и реализуется путем разделения пространства, занимаемого объектом защиты (организацией, предприятием, фирмой или любой другой государственной и коммерческой структурой) на так называемые контролируемые зоны. Типовыми зонами являются:

- территория, занимаемая организацией и ограниченная забором или условной внешней границей;

- здание на территории;

- коридор или его часть;

- помещение (служебное, кабинет, комната, зал, техническое помещение, склад и др.);

- шкаф, сейф, хранилище.

Зоны могут быть независимыми (здания организации, помещения зданий), пересекающимися и вложенными (сейф внутри комнаты, комнаты внутри здания, здания на территории организации).

С целью воспрепятствования проникновению злоумышленника в зону на ее границе создаются, как правило, один или несколько рубежей защиты. Особенностью защиты границы зоны является требование равной прочности рубежей на границе и наличие контрольно-пропускных пунктов или постов, обеспечивающих управление доступом в зону людей и автотранспорта.

Рубежи защиты создаются и внутри зоны на пути возможного движения злоумышленника или распространения носителей информации, прежде всего, электромагнитных и акустических полей. Например, для защиты акустической информации от подслушивания в помещении может быть установлен рубеж защиты в виде акустического экрана.

Каждая зона характеризуется уровнем безопасности находящейся в ней информации. Безопасность информации в зоне зависит от:

- расстояния от источника информации (сигнала) до злоумышленника или средства добывания информации;

- количества и уровня защиты рубежей на пути движения злоумышленника или распространения носителя информации (например, поля);

- эффективности способов и средств управления допуском людей и автотранспорта в зону;

- мер по защите информации внутри зоны.

Количество и пространственное расположение зон и рубежей выбирается таким образом, чтобы обеспечить требуемый уровень безопасности защищаемой информации как от внешних (вне территории организации), так и от внутренних (проникших на территорию) злоумышленников и сотрудников.