Смысл указанных принципов очевиден, но следует остановится подробнее на последнем.

Адаптируемость (приспособляемость) системы к изменениям окружающей среды.

Непрерывность работы системы в любых условиях функционирования объекта защиты, в том числе, например, кратковременном отключении электроэнергии;

Ограниченный и контролируемый доступ к элементам системы обеспечения информационной безопасности;

Минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации;

Рассмотренные выше принципы относятся к защите информации в целом.

Мер по защите информации внутри зоны.

Эффективности способов и средств управления допуском людей и авто-

Количества и уровня защиты рубежей на пути движения злоумышленника

Расстояния от источника информации (сигнала) до злоумышленника или

его средств доступа к информации;

или распространения иного носителя информации (например, поля);

транспорта в зону;

Чем больше удалённость источника информации от места нахождения злоумышленника или его средства добывания информации и чем больше рубежей защиты, тем больше время движения злоумышленника к источнику и ослабление энергии носителя в виде поля или электрического тока. Количество и пространственное расположение зон и рубежей выбирается таким образом, чтобы обеспечить требуемый уровень информационной безопасности как от внешних (вне территории организации), так и внутренних (проникших на территорию злоумышленников или сотрудников) факторов атаки на защищаемый объект. Чем более ценной является информация, тем большим количеством рубежей и зон целесообразно окружить её источник и тем сложнее злоумышленнику обеспечить разведывательный контакт с её носителями.

При построении системы защиты информации нужно учитывать также следующие принципы:

2. надёжность в работе технических средств системы, исключающая как не-реагирование на угрозы (пропуски угроз) информационной безопасности, так и ложные реакции при их отсутствии;

Дело в том, что закрытая информация о способах и средствах защиты информации в конкретной организации со временем становится известной всё большему числу людей, в результате чего увеличивается вероятность попадания этой информации к злоумышленнику. Поэтому целесообразно производить изменения в структуре системы защиты информации периодически или при появлении достаточно реальной возможности утечки информации о системе защиты, например, при внезапном увольнении информированного сотрудника службы безопасности.

Основные методы инженерно-технической защиты информации

В организациях работа по инженерно-технической защите информации, как правило, состоит из двух этапов:

- построение или модернизация системы защиты:

- поддержание защиты информации на требуемом уровне.

Построение системы защиты информации проводится во вновь создаваемых организациях, в остальных - модернизация существующей.

В зависимости от целей, порядка проведения и применяемого оборудования методы и способы защиты информации от утечки по техническим каналам можно разделить на организационные, поисковые и технические.

Организационные способы защиты

Эти меры осуществляются без применения специальной техники и предполагают следующее:

- установление контролируемой зоны вокруг объекта;

- введение частотных, энергетических, временных и пространственных ограничений в режимы работы технических средств приема, обработки, хранения и передачи информации (ТСПИ);

- отключение на период проведения закрытых совещаний вспомогательных технических средств и систем (ВТСС), обладающих качествами электроакустических преобразователей (телефон, факс и т.п.), от соединительных линий;

- применение только сертифицированных ТСПИ и ВТСС;

- привлечение к строительству и реконструкции выделенных (защищенных) помещений, монтажу аппаратуры ТСПИ, а также к работам по защите информации исключительно организаций, лицензированных соответствующими службами на деятельность в данной области;

- категорирование и аттестование объектов информатизации и выделенных помещений на соответствие требованиям обеспечения защиты информации при проведении работ со сведениями различной степени секретности;

- режимное ограничение доступа на объекты размещения ТСПИ и в выделенные помещения.

Поисковые мероприятия

Портативные подслушивающие (закладные) устройства выявляют в ходе специальных обследований и проверок. Обследование объектов размещения ТСПИ и выделенных помещений выполняется без применения техники путем визуального осмотра. В ходе спецпроверки, выполняемой с применением пассивных (приемных) и активных поисковых средств, осуществляется:

- контроль радиоспектра и побочных электромагнитных излучений ТСПИ;

- выявление с помощью индикаторов электромагнитного поля,

интерсепторов, частотомеров, сканеров или программно-аппаратных комплексов негласно установленных подслушивающих приборов;

- специальная проверка выделенных помещений, ТСПИ и ВТСС с использованием нелинейных локаторов и мобильных рентгеновских установок.

Техническая защита

Подобные мероприятия проводятся с применением как пассивных, так и активных защитных приемов и средств. Нейтрализация каналов утечки достигается путем ослабления уровня информационных сигналов или снижения соотношения сигнал/шум в тракте передачи до величин, исключающих возможность перехвата за пределами контролируемой зоны.

К пассивным техническим способам защиты относят:

- установку систем ограничения и контроля доступа на объектах размещения ТСПИ и в выделенных помещениях;

- экранирование ТСПИ и соединительных линий средств;

- заземление ТСПИ и экранов соединительных линий приборов;

- звукоизоляция выделенных помещений;

- встраивание в ВТСС, обладающие «микрофонным» эффектом и имеющие выход за пределы контролируемой зоны, специальных фильтров;

- ввод автономных и стабилизированных источников, а также устройств гарантированного питания в цепи электроснабжения ТСПИ;

- монтаж в цепях электропитания ТСПИ, а также в электросетях выделенных помещений помехоподавляющих фильтров.

Активное воздействие на каналы утечки осуществляют путем реализации:

- пространственного зашумления, создаваемого генераторами электромагнитного шума;

- прицельных помех, генерируемых на рабочих частотах радиоканалов подслушивающих устройств специальными передатчиками;

- акустических и вибрационных помех, генерируемых приборами виброакустической защиты;

- подавления диктофонов устройствами направленного высокочастотного радиоизлучения;

- зашумления электросетей, посторонних проводников и соединительных линий ВТСС, имеющих выход за пределы контролируемой зоны;

- режимов теплового разрушения электронных устройств.

НАПРАВЛЕНИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ

1. Подготовка и принятие законодательных и иных нормативно-правовых актов в области защиты информации.
2. Обеспечение контроля за их исполнением.
3. Финансовое и кадровое обеспечение мероприятий по защите информации.
4. Обеспечение эффективного управления системой защиты информации.
5. Определение сведений, подлежащих охране, и демаскирующих признаков, раскрывающих эти сведения.
6. Анализ и оценка угроз безопасности охраняемой законом информации.
7. Разработка организационно-технических мероприятий по защите информации и их реализация.
8. Организация и проведение контроля состояния защиты информации.
9. Анализ и оценка эффективности системы защиты информации, ее своевременная корректировка.

Основные организационно-технические мероприятия по защите информации

1. Лицензирование деятельности предприятий в области защиты информации.
2. Аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности.
3. Сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам.
4. Категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности.
5. Обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений.
6. Оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории России.
7. Введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств , подлежащих защите .
8. Создание и применение информационных и автоматизированных систем управления в защищенном исполнении.
9. Разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи.
10. Разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование.
11. Применение специальных методов, технических мер и средств защиты , исключающих перехват информации , передаваемой по каналам электросвязи.