- •Раздел I. Концепция инженерно- технической защиты информации
- •Глава 1. Системный подход к инженерно- технической защите информации
- •1.1. Основные положения системного подхода к инженерно-технической защите информации
- •Ограничения
- •1.2. Цели, задачи и ресурсы системы защиты информации
- •1.3. Угрозы безопасности информации и меры по их предотвращению
- •Глава 2. Основные положения концепции инженерно-технической защиты информации
- •2.1. Принципы инженерно-технической защиты информации
- •2.2. Принципы построения системы инженерно- технической защиты информации
- •Раздел II. Теоретические основы инженерно-технической защиты информации
- •Глава 3. Характеристика защищаемой информации
- •3.1. Понятие о защищаемой информации
- •3.2. Виды защищаемой информации
- •3.3. Демаскирующие признаки объектов защиты
- •3.3.1. Классификация демаскирующих признаков объектов защиты
- •3.3.2. Видовые демаскирующие признаки
- •3.3.3. Демаскирующие признаки сигналов
- •По регулярности появления
- •3.3.4. Демаскирующие признаки веществ
- •3.4. Свойства информации как предмета защиты
- •I Ценность информации, %
- •3.5. Носители и источники информации
- •3.6. Запись и съем информации с ее носителя
- •Глава 4. Характеристика угроз безопасности информации
- •4.1. Виды угроз безопасности информации
- •4.2. Источники угроз безопасности информации
- •4.3. Опасные сигналы и их источники
- •Глава 5. Побочные электромагнитные излучения и наводки
- •5.1. Побочные преобразования акустических сигналов в электрические сигналы
- •I Якорь /
- •5.2. Паразитные связи и наводки
- •Собственное затухание Zj - 10 lg рвых1 /Рвх1
- •5.3. Низкочастотные и высокочастотные излучения технических средств
- •5.4. Электромагнитные излучения сосредоточенных источников
- •5.5. Электромагнитные излучения распределенных источников
- •Т Провод несимметричного кабеля
- •I ип1з ь Провод 1 линии
- •5.6. Утечка информации по цепям электропитания
- •5.7. Утечка информации по цепям заземления
- •Глава 6. Технические каналы утечки информации
- •6.1. Особенности утечки информации
- •6.2. Типовая структура и виды технических каналов утечки информации
- •6.3. Основные показатели технических каналов утечки информации
- •Ic. 6.3. Графическое представление ограничения частоты сигнала каналом утечки
- •6.4. Комплексное использование технических каналов утечки информации
- •6.5. Акустические каналы утечки информации
- •Помехи Помехи
- •Помехи Помехи
- •6.6. Оптические каналы утечки информации
- •Внешний источник света
- •6.7. Радиоэлектронные каналы утечки информации
- •6.7.1. Виды радиоэлектронных каналов утечки информации
- •I Помехи
- •6.7.2. Распространение опасных электрических
- •6.8. Вещественные каналы утечки информации
- •6.8.1. Общая характеристика вещественного канала утечки информации
- •6.8.2. Методы добывания информации о вещественных признаках
- •Глава 7. Методы добывания информации
- •7.1. Основные принципы разведки
- •7.2. Классификация технической разведки
- •7.3. Технология добывания информации
- •7.4. Способы доступа органов добывания к источникам информации
- •7.5. Показатели эффективности добывания информации
- •Глава 8. Методы инженерно-технической защиты информации
- •8.1. Факторы обеспечения защиты информации от угроз воздействия
- •8.2. Факторы обеспечения защиты информации от угроз утечки информации
- •Обнаружение
- •8.3. Классификация методов инженерно- технической защиты информации
- •Глава 9. Методы физической защиты информации
- •9.1. Категорирование объектов защиты
- •9.2. Характеристика методов физической защиты информации
- •Глава 10. Методы противодействия наблюдению
- •10.1. Методы противодействия наблюдению в оптическом диапазоне
- •Пространственное скрытие
- •Энергетическое скрытие
- •10.2. Методы противодействия
- •Глава 11. Методы противодействия подслушиванию
- •11.1. Структурное скрытие речевой информации в каналах связи
- •А) Исходный сигнал
- •Телефон или громкоговоритель
- •1 Цифровое шифрование
- •11.2. Энергетическое скрытие акустического сигнала
- •11.3. Обнаружение и подавление закладных устройств
- •11.3.1. Демаскирующие признаки закладных устройств
- •11.3.2. Методы обнаружения закладных подслушивающих устройств
- •Поиск закладных устройств по сигнальным признакам
- •11.3.3. Методы подавления подслушивающих закладных устройств
- •11.3.4. Способы контроля помещений на отсутствие закладных устройств
- •11.4. Методы предотвращения
- •11.5. Методы подавления опасных сигналов акустоэлектрических преобразователей
- •Глава 12. Экранирование побочных излучений и наводок
- •12.1. Экранирование электромагнитных полей
- •12.2. Экранирование электрических проводов
- •12.3. Компенсация полей
- •12.4. Предотвращение утечки информации по цепям электропитания и заземления
- •Глава 13. Методы предотвращения утечки информации по вещественному каналу
- •13.1. Методы защиты информации в отходах производства
- •13.2. Методы защиты демаскирующих веществ в отходах химического производства
- •Раздел III. Технические основы
- •Глава 14. Характеристика средств технической разведки
- •14.1. Структура системы технической разведки
- •14.2. Классификация технических средств добывания информации
- •14.3. Возможности средств технической разведки
- •Глава 15. Технические средства подслушивания
- •15.1. Акустические приемники
- •Микрофон
- •Структурный звук
- •15.2. Диктофоны
- •15.3. Закладные устройства
- •15.4. Лазерные средства подслушивания
- •15.5. Средства высокочастотного навязывания
- •Глава 16. Средства скрытного наблюдения
- •16.1. Средства наблюдения в оптическом диапазоне
- •16.1.1. Оптические системы
- •16.1.2. Визуально-оптические приборы
- •16.1.3. Фото-и киноаппараты
- •16.1.4. Средства телевизионного наблюдения
- •16.2. Средства наблюдения в инфракрасном диапазоне
- •Электропроводящий слой
- •Т Видимое
- •16.3. Средства наблюдения в радиодиапазоне
- •Радиолокационная станция Объект
- •Глава 17. Средства перехвата сигналов
- •17.1. Средства перехвата радиосигналов
- •17.1.1. Антенны
- •1,0 Основной лепесток
- •Металлическая поверхность
- •I Диэлектрический стержень Круглый волновод
- •17.1.2. Радиоприемники
- •Примечание:
- •17.1.3. Технические средства анализа сигналов
- •17.1.4. Средства определения координат источников радиосигналов
- •17.2. Средства перехвата оптических и электрических сигналов
- •Глава 18. Средства добывания информации о радиоактивных веществах
- •, Радиоактивное
- •Глава 19. Система инженерно-технической защиты информации
- •19.1. Структура системы инженерно-технической защиты информации
- •529 Включает силы и средства, предотвращающие проникновение к
- •19.2. Подсистема физической защиты источников информации
- •19.3. Подсистема инженерно-технической защиты информации от ее утечки
- •19.4. Управление силами и средствами системы инженерно-технической защиты информации
- •Руководство организации Преграждающие средства
- •Силы " и средства нейтрализации угроз
- •Телевизионные камеры
- •19.5. Классификация средств инженерно- технической защиты информации
- •Глава 20. Средства инженерной защиты
- •20.1. Ограждения территории
- •20.2. Ограждения зданий и помещений
- •20.2.1. Двери и ворота
- •20.3. Металлические шкафы, сейфы и хранилища
- •20.4. Средства систем контроля и управления доступом
- •Глава 21. Средства технической охраны объектов
- •21.1. Средства обнаружения злоумышленников и пожара
- •21.1.1. Извещатели
- •Извещатели
- •21.1.2. Средства контроля и управления средствами охраны
- •21.2. Средства телевизионной охраны
- •21.3. Средства освещения
- •21.4. Средства нейтрализации угроз
- •Глава 22. Средства противодействия наблюдению
- •22.1. Средства противодействия наблюдению в оптическом диапазоне
- •22.2. Средства противодействия
- •Глава 23. Средства противодействия
- •23.1. Средства звукоизоляции и звукопоглощения (1 акустического сигнала
- •Примечание. *) Стекло — воздушный зазор — стекло — воздушный зазор — стекло.
- •Примечание, d — толщина заполнителя, b — зазор между поглотителем и отражателем.
- •23.2. Средства предотвращения утечки информации с помощью закладных подслушивающих устройств
- •23.2.1. Классификация средств обнаружения
- •23.2.2. Аппаратура радиоконтроля
- •23.2.3. Средства контроля телефонных линий и цепей электропитания
- •23.2.4. Технические средства подавления сигналов закладных устройств
- •23.2.6. Обнаружители пустот, металлодетекторы и рентгеновские аппараты
- •23.2.7. Средства контроля помещений на отсутствие закладных устройств
- •Глава 24т Средства предотвращения утечки информации через пэмин
- •24.1. Средства подавления опасных сигналов акустоэлектрических преобразователей
- •Телефонная трубка
- •24.2. Средства экранирования электромагнитных полей
- •Раздел IV. Организационные основы инженерно-технической защиты информации
- •Глава 25. Организация инженерно-
- •25.1. Задачи и структура государственной
- •25.2. Организация инженерно-технической защиты информации на предприятиях (в организациях, учреждениях)
- •25.3. Нормативно-правовая база инженерно- технической защиты информации
- •Глава 26. Типовые меры по инженерно-
- •Организационные меры итзи
- •26.2. Контроль эффективности инженерно- технической защиты информации
- •Раздел V. Методическое обеспечение инженерно-технической защиты информации
- •Глава 27. Рекомендации по моделированию системы инженерно-технической защиты информации
- •27.1. Алгоритм проектирования
- •Показатели:
- •Разработка и выбор мер защиты
- •27.2. Моделирование объектов защиты
- •27.3. Моделирование угроз информации
- •27.3.1. Моделирование каналов несанкционированного доступа к информации
- •27.3.2. Моделирование каналов утечки информации
- •Объект наблюдения
- •Примечание. В рассматриваемых зданиях 30% площади занимают оконные проемы.
- •Контролируемая зона
- •Граница контролируемой зоны
- •27.4. Методические рекомендации по оценке значений показателей моделирования
- •2. Производные показатели:
- •Глава 28. Методические рекомендации
- •28.1. Общие рекомендации
- •28.2. Методические рекомендации по организации физической защиты источников информации
- •28.2.1. Рекомендации по повышению укрепленности инженерных конструкций
- •28.2.2.Выбор технических средств охраны
- •28.2.2.3. Выбор средств наблюдения и мест их установки
- •28.3. Рекомендации по предотвращению утечки информации
- •28.3.1. Типовые меры по защите информации от наблюдения:
- •28.3.2. Типовые меры по защите информации от подслушивания:
- •28.3.3. Типовые меры по защите информации от перехвата:
- •28.3.4. Методические рекомендации по «чистке» помещений от закладных устройств
- •28.3.5. Меры по защите информации от утечки по вещественному каналу:
- •1. Моделирование кабинета руководителя организации как объекта защиты
- •1.1. Обоснование выбора кабинета как объекта защиты
- •1.2. Характеристика информации, защищаемой в кабинете руководителя
- •1.3. План кабинета как объекта защиты
- •2. Моделирование угроз информации в кабинете руководителя
- •2.1. Моделирование угроз воздействия на источники информации
- •2. Забор
- •3. Нейтрализация угроз информации в кабинете руководителя организации
- •3.1. Меры по предотвращению проникновения злоумышленника к источникам информащ
- •3.2. Защита информации в кабинете руководителя от наблюдения
- •3.4. Предотвращение перехвата радио- и электрических сигналов
- •2. Технические средства подслушивания
- •3. Технические средства перехвата сигналов
- •Технические средства инженерно-технической защиты информации
- •1. Извещатели контактные
- •2. Извещатели акустические
- •3. Извещатели оптико-электронные
- •4. Извещатели радиоволновые
- •5. Извещатели вибрационные
- •6. Извещатели емкостные
- •7. Извещатели пожарные
- •9. Средства радиоконтроля
- •10. Анализаторы проводных коммуникаций
- •11. Устройства защиты слаботочных линий
- •Примечание. Та — телефонный аппарат.
- •12. Средства защиты речевого сигнала в телефонных линиях связи
- •13. Средства акустического и виброакустической зашумления
- •14. Средства подавления радиоэлектронных и звукозаписывающих устройств
- •15. Нелинейные локаторы
- •16. Металлодетекторы
- •17. Рентгеновские установки
- •18. Средства подавления радиоэлектронных и звукозаписывающих устройств
- •19. Средства уничтожения информации на машинных носителях
- •20. Специальные эвм в защищенном исполнении
- •21. Средства защиты цепей питания и заземления
- •22. Системы экранирования и комплексной защиты помещения
- •Инженерно-техническая защита информации
Глава 1. Системный подход к инженерно- технической защите информации
1.1. Основные положения системного подхода к инженерно-технической защите информации
Слабоформализуемые задачи, к которым относится большинство задач инженерно-технической защиты, характеризуются следующими основными особенностями:
наличием большого числа факторов, влияющих на эффективность решения задачи;
отсутствием количественных достоверных исходных данных об этих факторах;
отсутствием формальных (математических) методов получения оптимальных результатов решения слабоформализованных задач по совокупности исходных данных.
Эти особенности исключают возможность формального получения оптимального (наилучшего) результата решения задачи. Но даже формальный аппарат при недостоверных исходных данных не гарантирует получение точного результата. Как писал известный русский математик, механик и кораблестроитель А. Н. Крылов, «точность результатов не может быть выше точности исходных данных».
Слабоформализуемые задачи наиболее часто приходится решать на практике, в том числе при решении бытовых вопросов. Даже покупка товара сопровождается предварительными размышлениями и сбором информации о потребительских свойствах аналогичных товаров и их стоимости у разных производителей. Решение о покупке принимается на основе подсознательного анализа множества факторов, влияние которых на принятие решения часто не осознается и интегрально интерпретируется как «понравилось». Несмотря на огромные достижения науки, число проблем и задач, которые удается свести к формальным и решить строго математически, существенно меньше, чем не имеющих такого решения.
Слабоформализуемые задачи решаются в основном эвристическими методами. Однако эти методы не обеспечивают получение оптимального результата, а определяют область рациональных решений, т. е. тех, которые с определенными допусками соответствуют постановке задачи. Как правило, задача имеет несколько рациональных решений, которые в пространстве результатов образуют область, внутри которой расположено оптимальное решение.
Эвристические методы реализуют на подсознательном уровне знания и опыт специалистов. Подсознательный уровень на современном этапе развития биологической и психологической наук пока представляет собой «черный ящик», алгоритм работы которого неизвестен. Специалисты по психоанализу пытаются по отдельным проявлениям бессознательного на сознательном уровне выявить психические болезни пациентов, причины которых кроются в неосознаваемых психических травмах в предшествующие годы. Тем не менее эвристические методы решения (на основе «здравого смысла») слабоформализуемых задач часто обеспечивают более точные результаты, чем формальные на основе грубых математических моделей или при недостоверных и недостаточных исходных данных.
Однако возможности эвристических методов имеют ограничения, определяемые числом учитываемых при решении задачи факторов влияния. В силу малого объема у человека оперативной памяти количество учитываемых факторов невелико и составляет 5-9. Только отдельные выдающиеся личности способны интуитивно учитывать большее количество факторов, в силу чего принимаемые ими решения более эффективны, чем решения человека со средними способностями. В силу этих же ограничений должностные лица, которым приходится оперативно решать многофакторные задачи, имеют помощников, которые готовят им информацию в сжатом систематизированном виде.
Если число факторов влияния велико, что имеет место при решении задач инженерно-технической защиты информации, то точность эвристических методов низка. В общем случае задачи инженерно-технической защиты информации характеризуются большим количеством и многообразием факторов, влияющих на результат решения, причем это влияние часто не удается однозначно выявить и строго описать. К ним, в первую очередь, относятся задачи, результаты решения которых зависят от людей. Только в отдельных простейших случаях удается однозначно и формально описать реакции человека на внешние воздействия. В большинстве других вариантов сделать это не удается. Однако из этого утверждения не следует, что организация эффективной защиты информации зависит исключительно от искусства специалистов по защите информации. Человечеством накоплен достаточно большой опыт по решению слабоформализуемых проблем.
Решение любых задач производится на основе моделей исследуемых объектов и процессов. Решаемая задача или проблема представляет собой разницу между реальным объектом или процессом и тем, что надо достигнуть или получить. Наиболее универсальной моделью любого объекта или процесса является представление его в виде системы. Системный подход — это исследование объекта или процесса с помощью модели, называемой системой.
Этот подход предусматривает самый высокий уровень описания объекта исследования — системный. Самым низким уровнем является уровень описания параметров объекта — параметрический. Между ними располагаются структурный и функциональный уровни.
Сущность системного подхода состоит в следующем:
совокупность сил и средств, обеспечивающих решение задачи, представляется в виде модели, называемой системой;
система описывается совокупностью параметров;
любая система рассматривается как подсистема более сложной системы, влияющей на структуру и функционирование рассматриваемой;
любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных оснований;
при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе части из них без рассмотрения остальных может привести к неверным результатам;
свойства системы превышают сумму свойств ее элементов за счет качественно новых свойств, отсутствующих у ее элементов — системных свойств.
Совокупность элементов образует систему, когда у них появляются общие цели. Если представить цели элементов в виде векторов, то векторы целей элементов простой совокупности (набора элементов) ориентированы произвольно. При сложении векторов результирующий вектор набора элементов не будет существенно отличаться от векторов элементов. Однако если векторы целей элементов ориентированы в одном направлении, то результирующий вектор будет существенно отличаться от векторов элементов. В этом случае набор элементов трансформируется в систему с дополнительными возможностями. Например, толпа людей на улице ведет себя спокойно до тех пор, пока не найдется оратор и не сблизит цели собравшихся людей. Толпа может преобразоваться временно в систему с ориентацией суммарного вектора целей как на добрые дела, так и на разрушение. Способность пламенных ораторов изменить ориентацию целей слушающих их людей и повести за собой писатели красиво назвали умением «зажечь сердца» людей. По этой же причине руководитель, назначенный или выбранный на высокий пост, собирает свою команду единомышленников, т. е. людей с одинаковой ориентацией векторов целей. Если это ему не удается, то результирующий вектор целей его аппарата возрастает несущественно, так как складываются лишь проекции целей, величина которых определяется лишь формальным выполнением сотрудниками аппарата своих функциональных обязанностей.
Важнейшим отличием системы от набора элементов является то, что система обладает свойствами, отсутствующими у ее элементов. Традиционный несистемный подход предполагает, что свойства объекта или субъекта есть совокупность свойств его частей. Примером традиционного подхода могут служить пока преобладающие в официальной медицине методы диагностики и лечения болезней человека по результатам исследования отдельных его органов. Человек к старости, после прохождения многочисленных кабинетов узкоспециализированных врачей, «приобретает» такой букет болезней, что побочный вред от назначенных многочисленных лекарств может превысить пользу от них. Человека нельзя делить на части без учета информационных, химических, электромагнитных, электрических связей между его органами и даже клетками, лечить надо не отдельные болезни, а человека в целом. Но человек как система очень сложен. Основная проблема современной медицины состоит в противоречии между необходимостью лечения человека как единого целого и ограниченностью медицинских знаний о нем врача. Консерватизм методов лечения традиционной медицины привел к тому, что нишу системных свойств человека заполняют знахари, экстрасенсы, так называемые народные целители и другие «самородки», заряжающие энергией зубные пасты и газеты. Следует отметить, что восточная философия, в том числе и медицина, характеризуется более целостным подходом к миру, чем западная. Иероглифы, каждый из которых отображает целые понятия языка, являются примером такого подхода. Конечно, учащимся японской, корейской и китайской школ труднее запомнить несколько тысяч иероглифов, чем тридцать букв алфавита, но при изучении иероглифов уже в раннем возрасте развивается дедуктивное мышление, которое в дальнейшем способствует формированию системного мышления специалиста. Отчасти этим можно объяснить огромные успехи, например, Японии и Северной Кореи в производстве высокотехнологичной продукции.
Примером системного свойства является сознание человека, которое отсутствует у его частей. Мыслительные способности автономно функционирующего мозга как органа обработки и хранения информации и мозга в теле человека существенно отличаются. Это утверждение подтверждается соответствующими опытами: у человека, изолированного от внешних воздействий (с закрытыми глазами и ушами, помещенного в бассейн с жидкостью, плотность которой равна плотности его тела), через некоторое время возникают галлюцинации, а через более продолжительное время проявляются симптомы психического расстройства. Это можно объяснить влиянием расхождения между текущей моделью мира, которая постоянно создается в мозгу на основе информации от всех рецепторов тела человека, и эталонной, сформировавшейся в течение предыдущей жизни человека. Когда прекращается поток данных от рецепторов, то текущая модель деформируется, подсознание не может найти алгоритм сохраняющего здоровье и жизнь поведения, происходит так называемая «сшибка», приводящая к психическому расстройству. По этой же причине «теряется» человек, попадающий в незнакомую обстановку.
Эффективность реализации системного подхода на практике зависит от умения специалиста выявлять и объективно анализировать все многообразие факторов и связей достаточно сложного объекта исследования, каким является, например, организация как объект защиты. Необходимым условием такого умения является наличие у специалиста так называемого системного мышления, формируемого в результате соответствующего обучения и практики решения слабоформализуемых задач. Системное мышление — это форма мышления, характеризующая способность человека на бессознательном уровне решать задачи дедуктивным методом. Эти методы применительно к инженерно-технической защите информации предусматривают:
четкую постановку задачи, включающую определение тематических вопросов защищаемой информации и ее источников как объектов защиты, выявление угроз этой информации и формулирование целей и задач защиты информации;
разработку принципов и путей решения задачи;
разработку методов решения задач;
создание программного, технического и методического обеспечения решения задачи.
Системное мышление — важнейшее качество не только специалиста по защите информации, но и любого организатора и руководителя. Если руководитель не может быстро выявить факторы, влияющие на то или иное решение, и оценить их вес, то неучтенные или необоснованно отброшенные факторы постоянно будут о себе напоминать. Такой руководитель превращается в борца с им же создаваемыми проблемами.
Если системный поход характеризует концептуальные взгляды на пути решения слабоформализуемых задач, то основу их решения составляет системный анализ.
Системный анализ предусматривает применение комплекса методов, методик и процедур, позволяющих выработать в результате анализа модели системы рациональные рекомендации по решению проблем системы. Математическим обеспечением системного анализа является аппарат исследования операций. Исследование операций представляет собой комплекс научных методов для решения задач эффективного управления организационными системами, в которых основным элементом является человек. Один из создателей аппарата исследования операций Т. Саати определил его как «искусство давать плохие ответы на те практические вопросы, на которые даются еще худшие ответы другими методами». Следует сразу оговориться, что при решении слабо- формализуемых задач методами системного анализа в большинстве случаев удается найти только область рациональных решений, внутри которой находится наилучший (оптимальный) для конкретных исходных данных результат.
Системный подход и системный анализ составляют основу теории систем. Теория систем зародилась в 30-е годы. В годы Второй мировой войны корпорация «Ренд корпорэшен» разработала методологию системных исследований, а в 50-е годы теория систем сформировалась как самостоятельное направление. В 50-е годы в США было организовано «Общество исследований в области общей теории систем». Его организаторами являются специалисты по математическим проблемам в области системотехники и психологии JI. Берталанфи, Р. Жерар и А. Рапопорт, К. Боулдинг. С 1956 г. «Общество ...» издает под редакцией Берталанфи и Рапопорта ежегодники «General System». В 1959 г. при Кейсовском технологическом институте (США) создан «Центр системных исследований». Корпорация «International Business Mashines Corporation» в 1963 г. организовала Институт системных исследований.
Созданию и развитию теории систем способствовали труды русских ученых В. И. Вернадского, А. А. Богданова, JI. С. Выготского, Г. С. Поспелова, Н. П. Бусленко, В. Н. Садовского, Н. П. Федоренко и других. С 1969 года в России издается ежегодник «Системные исследования», в 1976 году основан в Москве научно-исследовательский институт системных исследований РАН (НИИСИ).
В соответствии с требованиями системного подхода совокупность взаимосвязанных элементов, функционирование которых направлено на обеспечение безопасности информации, образует систему защиты информации. Такими элементами являются люди, инженерные конструкции и технические средства, обеспечивающие защиту информации независимо от их принадлежности к другим системам. Ядро системы защиты образуют силы и средства, основными функциями которых является обеспечение ин
формационной безопасности. Однако они составляют лишь часть сил и средств системы защиты информации. Например, в систему защиты информации входят не только структурные подразделения (служба безопасности, отдел режима и секретности, 1-й отдел и др.), предназначенные для защиты информации, но все сотрудники организации, обязанные в меру своей ответственности обеспечивать защиту информации. Следовательно, они также являются элементами системы защиты информации организации. И если какой-либо сотрудник организации нарушит правила обращения с секретными документами, то возможен огромный ущерб, несмотря на безупречную работу других элементов системы защиты. Следовательно, структура (элементы и их взаимосвязь) системы защиты информации государства, ведомства, организации пронизывает структуру государства, ведомства, организации.
Для системы защиты информации очень трудно точно указать места входов и выходов. Входами любой системы являются силы и воздействия, изменяющие состояние системы. Такими силами и воздействиями являются угрозы. Угрозы могут быть внутренними и внешними, в том числе такие трудно локализуемые как слабая правовая дисциплина сотрудников, некачественная эксплуатация средств обработки информации или наличие в помещении радио и электрических приборов, побочные физические процессы в которых способствуют несанкционированному распространению защищаемой информации. Источниками угроз могут быть злоумышленники, технические средства внутри организации, сотрудники организации, внутренние и внешние поля, стихийные силы и т. д.
17
3 Зак. 174
Следовательно, система защиты информации представляет собой модель системы, объединяющей силы и средства организации, обеспечивающие защиту информации. Она описывается параметрами на рис. 1.1.
Цели и задачи защиты информации