Кражи, диверсии и другие злонамеренные действия на объекте могут быть предотвращены двумя способами: ведением сдерживающих средств или устрашением нарушителя. Первое достигается путем реализации мер, которые воспринимаются потенциальными нарушителями как труднопреодолимые и делают объект непривлекательной целью, так что нарушитель прекращает нападение или не предпринимает его вовсе. Примерами сдерживающих факторов являются: присутствие охранников на автостоянках, достаточное ночное освещение, установка соответствующих знаков и использование физических препятствий, например решеток на окнах. Эти меры часто применяют без введения дополнительных уровней защиты на случай нападения. Они полезны для удержания нарушителя от нападения, но не помогают, если он решил предпринять нападение, невзирая ни на какие препятствия.
Было бы ошибкой считать, что эффективность системы доказывается тем, что нарушители не бросают ей вызов. Функцию сдерживания СФЗ трудно измерить, и полагаться только на успешное сдерживание рискованно. Таким образом, сдерживание рассматривается как вторичная функция и далее обсуждаться не будет. В то же время уровень сдерживания хорошей СФЗ может быть очень высок, при этом обеспечивается защита информационных объектов в случае нападения. Данная работа направлена на создание концепции безопасности, которая приводит к созданию проекта эффективной системы физической защиты, позволяет проверить ее рабочие характеристики и оценить соотношение эффективность — стоимость системы. Результатом этого является проект СФЗ, который обеспечивает защиту объектов информационной безопасности во время реального нападения, а также дает дополнительные преимущества путем введения средств сдерживания.
По мере продолжения исследований, касающихся как подлежащих измерению, так и долговременных значений факторов сдерживания, последние могут быть внедрены в проект СФЗ. Однако к настоящему времени надежная статистика эффективности различных факторов сдерживания отсутствует. Имеются работы, где указано, что реализованные меры по сдерживанию оказались не столь эффективными, как предполагалось.
Процесс проектирования СФЗ
Проектирование эффективной СФЗ включает определение целей СФЗ, создание предварительного проекта или задание характеристик СФЗ, оценку проекта и, во многих случаях, переработку или совершенствование системы. Чтобы определить цели, разработчик должен начать со сбора информации о характере и условиях функционирования объекта, в частности получить полное описание объекта, уточнить его рабочее состояние и требования по физической защите. Затем следует выяснить характер угрозы информационной безопасности. Для этого необходимо рассмотреть характеристики потенциальных нарушителей — тип, возможности, тактику действий. Затем разработчик должен выявить цели нападения, которые могут включать данные на электронных носителях, персонал или какой-либо фактор, который может повлиять статус защищаемой информации. Теперь проектировщику известны задачи СФЗ: он знает, что и от кого защищать. Следующий шаг — разработка новой или уточнение характеристик существующей системы. При разработке новой системы люди, процедуры и оборудование должны быть интегрированы для решения ее задач. Если система уже существует, необходимо определить ее характеристики, чтобы установить ее исходную (базовую) эффективность. После того как СФЗ спроектирована или определены характеристики, систему следует проанализировать и оценить для того, чтобы убедиться, что она удовлетворяет поставленным задачам физической защиты. Во время оценивания необходимо принимать во внимание совместное действие различных мер обеспечения защиты, а не просто рассматривать каждую из таких мер по отдельности. В связи со сложностью СФЗ оценивание обычно требует использования методов моделирования. Если найдены какие-либо уязвимые места, исходная система должна быть переработана для их устранения, а затем должна быть выполнена повторная оценка.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.