3.3. Определение объектов защиты
Защита информации должна быть системной, включающей в себя различные взаимоувязанные компоненты. Важнейшим из этих компонентов являются объекты защиты, ибо от их состава зависят и методы, и средства защиты, и состав защитных мероприятии.
Информация является предметом защиты, но защищать ее как таковую невозможно, поскольку она не существует сама по себе, а фиксируется (отображается) в определенных материальных объектах или памяти людей, которые выступают в роли ее носителей и составляют основной, базовый объект защиты.
Согласно ГОСТ 50922-96 «Защита информации. Основные термины и определения», носитель информации — это «физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов».
Для записи как секретной, так и несекретной информации используются одни и те же носители.
Как правило, носители секретной и конфиденциальной информации охраняются собственником этой информации.
Носители защищаемой информации можно классифицировать как документы; изделия (предметы); вещества и материалы; электромагнитные, тепловые, радиационные и другие излучения; акустические и другие поля и т. п.
Особым носителем информации является человек, мозг которого представляет исключительно сложную систему, хранящую и перерабатывающую информацию, поступающую из внешнего мира. Свойство мозга отражать и познавать внешний мир, накапливать в памяти колоссальные объемы информации ставят человека на особое место как носителя информации. Человек обладает возможностью генерировать новую информацию. И как носитель информации он обладает позитивными и негативными чертами.
Положительные — без согласия субъекта-носителя защищаемой информации из его памяти, как правило, никакая информация не может быть извлечена. Он может оценивать важность имеющейся у него информации и в соответствии с этим обращаться с нею. Он может ранжировать и потребителей защищаемой информации, т. е. знать, кому и какую информацию он может доверить.
Отрицательные — он может заблуждаться в отношении истинности потребителя защищаемой информации или умышленно не сохранять доверенную ему информацию: измена или просто разболтать.
Среди наиболее распространенных видов носителей конфиденциальной информации можно выделить следующие.
Бумажные носители, в которых информация фиксируется рукописным, машинописным, электронным, типографским и другими способами в форме текста, чертежа, схемы, формулы и т. п., а отображается в виде символов и образов.
Магнитные носители: аудиокассеты (аудиопленки) для магнитофонов и диктофонов; видеокассеты (видеопленки) Для видеомагнитофонов и некоторых видеокамер; жесткие (твердые) диски, дискеты, магнитные ленты для ЭВМ. В этих носителях информация фиксируется (наносится) с помощью магнитного накопления (записи сигналов), осуществляемого магнитным устройством, а отображается в виде символов. Воспроизведение (считывание) информации осуществляется также магнитным устройством посредством восстановления сигналов.
Магнитооптические и оптические носители (лазерные диски, компакт-диски). Запись данных в них выполняется лазерным лучом (в магнитооптических и магнитным полем), информация отображается в виде символов, а ее считывание (воспроизведение) осуществляется посредством лазерного луча.
Выпускаемая продукция (изделия). Эти изделия выполняют свое прямое назначение и одновременно являются носителями защищаемой информации. В этом случай информация отображается в виде технических решений.
Технологические процессы изготовления продукций которые включают в себя как технологию производства продукции, так и применяемые при ее изготовлении компоненты (средства производства): оборудование, приборы, материалы, вещества, сырье, топливо и др. Информация отображается в виде технических процессов (первая составляющая) и технических решений (вторая составляющая).
Физические поля, в которых информация фиксируется путем изменения их интенсивности, количественных характеристик, отображается в виде сигналов, а в электромагнитных полях и в виде образов.
Носители конфиденциальной информации как объекты защиты должны защищаться, в зависимости от их видов, от несанкционированного доступа к ним, от утраты и от утечки содержащейся в них информации.
Но, чтобы обеспечить защиту, необходимо защищать и объекты, которые являются подступами к носителям, и их защита выступает в роли определенных рубежей защиты носителей. И чем таких рубежей больше, чем сложнее их преодолеть, тем надежнее обеспечивается защита носителей.
В качестве первого рубежа рассмотрим прилегающую к предприятию территорию. Некоторые предприятия на периметре устанавливают и пропускной пункт. Прилегающая территория защищается от несанкционированного проникновения лиц к зданиям предприятия и отходам производства (при наличии отходов). Другим объектом защиты являются здания предприятия. Их защита осуществляется теми же способами и имеет ту же цель, что и охрана территории. Защита зданий является вторым рубежом защиты носителей.
Следующий объект защиты — помещения, в которых расположены хранилища носителей, производится обработка носителей и осуществляется управленческо-производственная деятельность с использованием носителей. К таким помещениям относятся:
— помещения подразделений защиты информации, в которых расположены хранилища носителей и осуществляется обработка носителей. Эти помещения должны защищаться от несанкционированного проникновения;
— помещения, в которых производится работа с носителями информации либо в течение рабочего дня, либо круглосуточно: комнаты, в которых работает с носителями персонал; комнаты, в которых проводятся закрытые мероприятия (совещания, заседания, семинары и др.); производственные участки по изготовлению продукции. Эти помещения должны защищаться во время нахождения в них носителей от несанкционированного проникновения, от визуального наблюдения за носителями, а также, в необходимых случаях, от прослушивания ведущихся в них конфиденциальных разговоров. Защита осуществляется Работающими в помещениях сотрудниками, различными техническими средствами, в том числе в нерабочее время средствами охранной сигнализации.
Еще одним объектом защиты являются непосредственно хранилища носителей. Хранилища защищаются от несанкционированного доступа к носителям. Их защита осуществляется ответственными хранителями, с помощью замков, а во внерабочее время они могут, помимо замков защищаться средствами охранной сигнализации.
Кроме того, объектами защиты должны быть:
— средства отображения, обработки, воспроизведения и передачи конфиденциальной информации, в том числе ЭВМ, которые должны защищаться от несанкционированного подключения, побочных электромагнитных излучений, заражения вирусом, электронных закладок, визуального наблюдения, вывода из строя, нарушения режима работы; копировально-множительная техника, защищаемая от визуального наблюдения и побочных электромагнитных излучений во время обработки информации; средства видео- звукозаписывающей и воспроизводящей техники, которые требуют защиты от прослушивания, визуального наблюдения и побочных электромагнитных излучений;
— средства транспортировки носителей конфиденциальной информации, подлежащие защите от проникновения посторонних лиц к носителям или их уничтожения во время транспортировки;
— средства радио- и кабельной связи, радиовещания и телевидения, используемые для передачи конфиденциальной информации, которые защищаются от прослушивания, вывода из строя, нарушения режима работы;
— системы обеспечения функционирования предприятия (электро-, водоснабжение, кондиционирование и др.) которые должны защищаться от использования их для вывода из строя средств обработки и передачи информации прослушивания конфиденциальных разговоров, визуального наблюдения за носителями;
— технические средства защиты информации и контроля за ними, требующие защиты от несанкционированного доступа с целью выведения их из строя.
- Н. В. Гришина организация комплексной системы защиты информации введение
- 1. Сущность и задачи комплексной системы защиты информации
- 1.1. Подходы к проектированию систем защиты информации
- 1.2. Понятие комплексной системы защиты информации
- 1.3. Назначение комплексной системы защиты информации
- 1.4. Принципы построения комплексной системы защиты информации
- 1.5. Стратегии защиты информации
- 1.6. Выработка политики безопасности
- 1.7. Основные требования, предъявляемые к комплексной системе защиты информации
- 2. Методологические основы комплексной системы защиты информации
- 2.1. Методология защиты информации как теоретический базис комплексной системы защиты информации
- 2.2. Основные положения теории систем
- 2.3. Общие законы кибернетики
- 2.4. Основы методологии принятия управленческого решения
- 3. Определение состава защищаемой информации
- 3.1. Методика определения состава защищаемой информации
- 3.2. Классификация информации по видам тайны и степеням конфиденциальности
- 3.3. Определение объектов защиты
- 4. Источники, способы и результаты дестабилизирующего воздействия на информацию
- 4.1. Определение источников дестабилизирующего воздействия на информацию
- 4.2. Методика выявления способов воздействия на информацию
- 4.3. Определение причин и условий дестабилизирующего воздействия на информацию
- 5. Каналы и методы несанкционированного доступа к информации
- 5.1. Выявление каналов доступа к информации
- 5.2. Соотношение между каналами и источниками воздействия на информацию
- 5.3. Деловая разведка как канал получения информации
- 5.4. Модель потенциального нарушителя
- 6. Моделирование процессов комплексной системы защиты информации
- 6.1. Понятие модели объекта
- 6.2. Значение моделирования процессов ксзи
- 6.3. Архитектурное построение комплексной системы защиты информации
- 7. Технологическое построение комплексной системы защиты информации
- 7.1. Общее содержание работ
- 7.2. Этапы разработки
- 7.3. Факторы, влияющие на выбор состава ксзи
- 7.4. Модель системы автоматизированного проектирования защиты информации
- 8. Кадровое обеспечение комплексной системы защиты информации
- 8.1. Подбор персонала
- 8.2. Подготовка персонала для работы в новых условиях
- 8.3. Мотивация
- 8.4. Разработка кодекса корпоративного поведения
- 9. Нормативно-методическое обеспечение ксзи
- 9.1. Значение нормативно-методического обеспечения
- 9.2. Состав нормативно-методического обеспечения
- 9.3. Порядок разработки и внедрения документов
- 10. Управление комплексной системой защиты информации
- 10.1. Понятие и цели управления
- 10.2. Планирование деятельности
- 10.3. Контроль деятельности
- 11. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- 11.1. Понятие и виды чрезвычайных ситуаций
- 11.2. Технология принятия решения в условиях чрезвычайной ситуации
- 11.3. Факторы, влияющие на принятие решения
- 11.4. Подготовка мероприятий на случай возникновения чрезвычайной ситуации
- Заключение
- Библиография