Защита информации оборонно-промышленного предприятия (Челябинский Tрaктopный Завод)

• непрерывность защиты информации, характеризующаяся постоянной готовностью системы защиты в любое время к отражению угроз информационной безопасности
• активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите
• скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации
• целеустремлённость, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации
• комплексное использование различных способов и средств защиты информации, позволяющее компенсировать недостатки одних достоинствами других

Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации.

Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень её защиты и позволяет сократить затраты. Эта группа включает следующие принципы:

• соответствие уровня защиты ценности информации
• гибкость защиты
• многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем её безопасности
• многорубежность защиты информации на пути движения злоумышленника или распространения носителя

    Первый  принцип определяет экономическую целесообразность применения тех или иных средств мер защиты. Он заключается в том, что затраты на защиту информации не должны превышать цену защищаемой информации.

    Так как цена информации - величина переменная, зависящая как от источника информации, так и от времени, то во избежание неоправданных расходов защита информации должны быть гибкой. Гибкость защиты проявляется в возможности изменения степени защищённости в соответствии с изменившимися требованиями к информационной безопасности.

    Требуемый уровень информационной безопасности достигается многозональностью и многорубежностью защиты: многозональность обеспечивает дифференцированный санкционированный доступ различных категорий сотрудников и посетителей к источникам информации и реализуется путём разделения пространства, занимаемого предприятием (ЧТЗ) на так называемые контролируемые зоны. Типовыми зонами являются:

• территория занимаемая объектом защиты и ограниченная забором или условной внешней границей
• здание на территории
• коридор или его часть
• помещение
• шкаф, сейф, хранилище

    Зоны  могут быть независимыми (здания, помещения), пересекающимися и вложенными (сейф в комнате, комната в здании, здание на территории).

    С целью воспрепятствования проникновению  злоумышленника в зону на её границе  создаются, как правило, один или несколько рубежей защиты.

    Рубежи  защиты создаются и внутри зоны на пути возможного движения злоумышленника или распространения иных носителей, прежде всего, электромагнитных и акустических полей. Например, для защиты акустической информации от прослушивания в помещении может быть установлен рубеж защиты в виде акустического экрана.

    Каждая  зона характеризуется уровнем безопасности находящейся в ней информации. Информационная безопасность в зоне зависит от:

• расстояния от источника информации (сигнала) до злоумышленника или его средств добывания информации
• количества и уровня защиты рубежей на пути движения злоумышленника или распространения иного носителя информации (например, поля)
• эффективности способов и средств управления допуском людей и автотранспорта в зону
• мер по защите информации внутри зоны

Чем больше удалённость источника информации от места нахождения злоумышленника или его средства добывания информации и чем больше рубежей защиты, тем  больше время движения злоумышленника к источнику и ослабление энергии носителя в виде поля или электрического тока. Количество и пространственное расположение зон и рубежей выбирается таким образом, чтобы обеспечить требуемый уровень информационной безопасности как от внешних (вне территории организации), так и внутренних (проникших на территорию злоумышленников или сотрудников) факторов атаки на защищаемый объект. Чем более ценной является информация, тем большим количеством рубежей и зон целесообразно окружить её источник и тогда тем сложнее злоумышленнику обеспечить разведывательный контакт с её носителями.

Рассмотренные выше принципы относятся к защите информации в целом. При построении системы защиты информации нужно  учитывать также следующие принципы:

• минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации
• надёжность в работетехнических средств системы, исключающая как нереагирование на угрозы (пропуски угроз) информационной безопасности, так и ложные реакции при их отсутствии
• ограниченный и контролируемый доступ к элементам системы обеспечения информационной безопасности
• непрерывность работы системы в любых условиях функционирования объекта защиты, в том числе, например, кратковременном отключении электроэнергии
• адаптируемость (приспособляемость) системы к изменениям окружающей среды

Смысл указанных принципов очевиден, но следует остановиться подробнее на последнем. Дело в том, что закрытая информация о способах и средствах защиты информации на данном предприятии (ЧТЗ) со временем становится известной всё большему числу людей, в результате чего увеличивается вероятность попадания этой информации к злоумышленнику. Поэтому целесообразно производить изменения в структуре системы защиты информации периодически или при появлении достаточно реальной возможности утечки информации о системе защиты, например, при внезапном увольнении информированного сотрудника службы безопасности.

Заключение

   Статистика  показывает, что во всех странах  убытки от злонамеренных действий непрерывно возрастают. Причем, основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.

    Подводя итоги, следует упомянуть о том, что известно множество случаев, когда предприятия (не только зарубежные) ведут между собой настоящие «шпионские войны», вербуя сотрудников конкурента с целью получения через них доступа к информации, составляющую какую-либо информацию. Регулирование вопросов, связанных с коммерческой тайной, еще не получило в России достаточного развития. Имеющееся законодательство все же не обеспечивает соответствующего современным реалиям регулирования отдельных вопросов, в том числе и о коммерческой тайне. В то же время надо отдавать себе отчет, что ущерб, причиненный разглашением коммерческой тайны, зачастую имеет весьма значительные размеры (если их вообще можно оценить). Наличие норм об ответственности, в том числе уголовной, может послужить работникам предостережением от нарушений в данной области, поэтому целесообразно подробно проинформировать всех сотрудников о последствиях нарушений. Хотелось бы надеяться  что создающаяся в стране система защиты информации и формирование комплекса мер по ее реализации не приведет к необратимым последствиям на пути зарождающегося в России информационно - интеллектуального объединения со всем миром.

Литература

1. Левин В.К.  Защита информации в информационно-вычислительных системах и сетях // Программирование. - 2002. - N5. - C. 5-16.
2. Об информации, информатизации и защите информации: Федеральный Закон // Российская газета. - 2003. - 22 февраля. - C. 4.

3. Мельников В. Защита информации в компьютерных системах. М.: Финансы и статистика, Электронинформ, 2003

4. http://www.runtex.ru/consult/leakage/foundations
5. http://www.amulet-group.ru/page.htm?id=360
6. http://arhidelo.ru/article/detail-8746.html
7. http://www.ci.ru/inform11_97/aiti1.htm
8. http://www.rhr.ru/index/sovet/safety/5288,0.html

Приложение  А