Системный подход к инженерно-технической защите информации. Основные этапы проектирования системы защиты информации техническими средствами
Для обеспечения ИТЗИ необходимы силы и средства, техническая и нормативно-правовая база, а также постоянно проводимые мероприятия по ее обеспечению. Защиту информации обеспечивает ее владелец и пользователь. Защиту информации, содержащую государственную тайну, обеспечивают государственные органы и пользователи информации.
Инженерно-техническая защита информации проводится по двум основным направлениям: физическая защита носителя информации и ее скрытие. Предотвращением и нейтрализацией сил воздействия и утечки информации традиционно занимаются различные ведомства и органы, используются различные технические средства защиты информации.
Системный подход — это исследование объекта или процесса с помощью модели, называемой системой.
Этот подход предусматривает самый высокий уровень описания объекта исследования — системный. Самым низким уровнем является уровень описания параметров объекта — параметрический. Между ними располагаются структурный и функциональный уровни.
Сущность системного подхода состоит в следующем:
• совокупность сил и средств, обеспечивающих решение задачи, представляется в виде модели, называемой системой;
• система описывается совокупностью параметров;
• любая система рассматривается как подсистема более слож¬ной системы, влияющей на структуру и функционирование рас-сматриваемой;
• любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных основа¬ний;
• при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе части из них без рассмотрения остальных может привести к неверным ре¬зультатам;
• свойства системы превышают сумму свойств ее элементов за счет качественно новых свойств, отсутствующих у ее элемен¬тов — системных свойств.
С позиции системного подхода совокупность взаимосвязанных элементов, функционирующих с целью обеспечения безопасности информации, образуют СЗИ. Такими элементами являются люди (руководители и сотрудники служб информационной безопасности). Элементом является объект защиты представляющий собой здания, инженерные конструкции, средства ВТ, технические средства защиты, средства контроля эффективности защиты, правовые и нормативные документы. Причем речь идет не о простом наборе элементов, а наборе, объединенном поставленными целями и решаемыми задачами. Проектирование требуемой системы защиты производится путем системного анализа существующей и разработки вариантов требуемой системы.
При сравнении вариантов построения системы по нескольким частным показателям возникают проблемы, связанные с характером измерения разных показателей. Важнейшим показателем СЗИ является затраты на обеспечение требуемых значений оперативных показателей. Для выбора рационального, обеспечивающего достижение цели, - варианта системы – путём сравнения показателей нескольких вариантов используется глобальный критерий в виде соотношения эффективность/стоимость.
Алгоритм этого процесса включает следующие этапы:
1) определение перечня защищаемой информации, ограничений, показателей эффективности СЗИ.
2) моделирование существующей системы и выявление ее недостатков с позиции поставленных целей и задач,
3) определение и моделирование угроз безопасности информации,
4) разработка вариантов (алгоритмов функционирования) проектируемой системы,
5) сравнение вариантов построения системы по заданным критериям и выбор наилучшего варианта с учетом замечания руководства
Структура государственной системы защиты информации от технической разведки, ее задачи и функции определены в Постановлении Совета Министров РФ от 15 сентября 1993 г. № 912-51 под названием «Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от утечки ее по техническим каналам».
Основные государственные органы занимающиеся защитой ГТ:
ФСБ
ФСТЭК
Министерство обороны
Деятельность государственной системы защиты информации регламентируется документами, составляющими нормативно-правовую базу инженерно-технической защиты информации. Основу ее составляют документы, классификация которых приведена на рисунке.
Уровень государства
Уровень ведомства
Уровень организации, предприятия
По назначению документы делятся на:
• руководящие;
• нормативные;
• методические.