Класифікація та аналіз методів оцінки захищеності. Анкети. Експертна оцінка. Проведення випробувань та експериментів

Для службового

користування

екземпляр № _______

Лекція 1.1.2.

з дисципліни “Технічний захист об’єктів”

Спеціальність – 7. 092201 “Електричні системи комплексів транспортних засобів”

Спеціалізація «Технічний захист інформації»

Лекція 1.1.2. Класифікація та аналіз методів оцінки захищеності. Анкети. Експертна оцінка. Проведення випробувань та експериментів – 2 години.

Електротехнічний факультет

Кафедра електрообладнання суден

Група – 544т

Курс – 5

Семестр – 10

Лекції – 34 години

Практичні заняття – 17 годин

Всього - 51 години

Екзамен – 10 семестр

Миколаїв 2001р.

План лекции:

1.  Анализ анкет-опросников

2.  Экспертная оценка отдельных составляющих системы защиты

3.  Проведение испытаний и экспериментальных работ на объекте с использованием специального оборудования и аппаратуры

Существующие методы оценки защищенности

На рынке услуг в сфере безопасности уже появились фирмы, которые берутся оценивать состояние безопасности на предприятии. Используемые ими методики могут дать в конкретных случаях вполне приемлемые результаты. Далее приведен краткий обзор таких методик.

1 Анализ анкет-опросников

Анкеты, специально разработанные применительно к специфике ведения бизнеса в России, заполняются одним или несколькими руководителями предприятия. Полученные сведения анализируются с использованием специальных компьютерных программ. На основе этого готовится развернутое заключение и конкретные рекомендации по совершенствованию коммерческой безопасности предприятия и личной безопасности руководителей. Большое значение здесь имеет системность подхода, число рассматриваемых параметров безопасности (у лучших программ их число может превышать 3000), а также время работы фирмы, оказывающей такого рода услуги. Такая работа осуществляется, как правило, в три этапа:

1.  Заполнение руководителем (лучше не одним) анкеты-опросника, где объем представляемой информации определяется самим клиентом, а также разрешается давать такие варианты ответов, как «не знаю», «не хочу обсуждать этот вопрос» и пр.

2.  Комплексный анализ полученных данных (одновременно может проводиться изучение обстановки вокруг предприятия с использованием возможностей фирмы-исполнителя). Исследуются такие вопросы, как готовность системы к отражению угроз, эффективность действующей службы безопасности, достаточность используемых мер и пр.

3.  Подготовка развернутого экспертного заключения и конкретных рекомендаций по совершенствованию коммерческой безопасности фирмы, ее руководителей и персонала.

2 Экспертная оценка отдельных составляющих системы защиты

К составляющим системы могут относиться целый ряд частных проблем:

—  правильность построения системы охраны;

—  стойкость объекта против проникновения со взломом;

—  возможность вывода из строя или нейтрализации охранной сигнализации и контрольных устройств;

—  определение «мертвых зон» в системе наблюдения;

—  правильность построения защиты от пожара и других стихийных бедствий.

Экспертные оценки должны проводить только специалисты соответствующего профиля, желательно профессионально знакомые не только с самими устройствами защиты, но и с методами их преодоления (вскрытие сейфов, нейтрализация сигнальных датчиков и т.д.). Такие оценки могут оказаться очень полезными при построении системы охраны. Например, специалист определит, что запасная дверь может быть вскрыта без взлома в течение 5 минут несложными приспособлениями. Это значит, что зона двери должна быть взята под наблюдение тем или иным способом.

Существует, однако, практическая сложность – где найти таких специалистов. Ведь эти специальности достаточно узкие даже для ведомств правоохранительной системы, да и сама по себе принадлежность в прошлом к этой системе не гарантирует автоматически нужной компетентности. В России в настоящее время институт экспертов в этом направлении формируется по трем направлениям:

1.  Выходцы из спецподразделений КГБ, МВД и других спецслужб, профессионально в прошлом занимавшиеся этими проблемами и перешедшие работать в сферу обеспечения коммерческой безопасности.

2.  Сотрудники иностранных фирм или совместных предприятий, многие годы специализирующиеся на вышеуказанных проблемах. (Например, американская фирма «Lockmasters, Ink» многие годы специализирующаяся на проблемах вскрытия и ремонта сейфов, замков и дверей, имеющая соответствующие лицензии и обширную представительскую сеть).

3.  Активно формирующаяся в последнее время в России система стандартизации и сертификации технических средств защиты (подробнее см. соответствующий раздел).

3 Проведение испытаний и экспериментальных работ на объекте с использованием специального оборудования и аппаратуры

Этот метод достаточно трудоемкий, требует наличия сложной аппаратуры для проведения работ непосредственно на защищенном объекте. Он незаменим в ситуациях, когда необходимо:

—  определить максимальное расстояние, с которого возможен устойчивый перехват информации с экрана персонального компьютера, расположенного в конкретном месте (например, у секретаря начальника);

—  проверить, не появились ли какие-либо устройства слухового контроля в конкретных помещениях после проведения в них ремонтно-строительных работ с участием посторонних людей;

—  определить, возможен ли съем речевой информации с оконных стекол конкретного кабинета из точек, расположенных вне здания на расстоянии прямой видимости;

—  проверить подозрение, не заложены ли средства негласного наблюдения и передачи видеоинформации из здания в какой-нибудь пункт, расположенный поблизости.

Возможность проведения таких работ определяется, прежде всего, наличием соответствующей аппаратуры и оборудования. Ситуация в последнее время осложнена тем, что для этой цели необходима техника для негласного съема информации, использование которой ограничено Указом Президента России № 21 от 9 января 1996 г и Постановлением Правительства Российской Федерации № 770 от 1 июля 1996 г. Эти документы резко сократили количество фирм, которые могли бы осуществлять такие эксперименты. Подобную работу могут также проводить фирмы, имеющие лицензии на деятельность, а области защиты информации, выданные Государственной технической комиссией при Президенте России по направлению деятельности: «Контроль защищенности информации ограниченного доступа и аттестация средств и систем на соответствие требованиям по защите информации».

Конспект составил

ст. преподаватель кафедры ЭОС                                                                                                                         Гальчевский Ю. Л.