В статье автор пытается определить критерии оценки степени оснащенности для использования в разработке автоматизированного метода.
Ключевые слова: метод, система физической защиты, защита информации, категорирование объектов, инженерно-технические средства защиты
Оценка состояния оснащенности — это акт, заключающийся в анализе системы охраны защищаемых объектов с целью определения ее возможности противостоять действиям вероятных нарушителей. Конечным итогом оценки является вывод об уровне достаточности принятых мер защиты, который делается по совокупности показателей защищенности на основе результатов проведенного анализа.
Оценка степени оснащенности объекта определяется на основе результатов:
− проверки соответствия состава средств защиты требований нормативных документов по физической защите объекта;
− проверки соответствия средств защиты актуальным угрозам.
Проведение анализа уязвимости объекта, определение модели угроз направлено на проверку адекватности защищенности существующим и прогнозируемым угрозам внешнего и внутреннего характера путем выявления уязвимых мест в системе защиты, который могут иметь место даже при выполнении установленных требований. Результаты оценивания дадут основания для выработки рациональных решений по обеспечению требуемой безопасности для различных угроз.
Для проверки выполнения системой установленных нормативными документами требований по физической защите введем следующие показатели:
− полноту выполнения установленных организационных мероприятий по физической защите и охране объекта от угроз;
− уровень квалификации персонала, задействованного в обеспечении мероприятий по физической защите и охране объекта;
− полноту оснащенности и техническое состояние системы инженерно-технической защиты.
Из всех показателей, оценивающих выполнение требований, наибольший интерес представляет третий. Данный показатель в большей степени определяет техническую защиту объекта. Таким образом будем использовать данный показатель для оценки оснащенности объекта информатизации техническими средствами физической защиты.
При использовании количественных показатель оценки технических средств защиты качественные требования могут не задаваться, так как имеется в виде, что комплекс средств физической защиты должен обеспечивать выполнение количественных заданных требований.
Для оценки оснащенности будем рассматривать показатель полноты или степень оснащенности инженерно-технических средств охраны для i-й зоны по отношению к требуемой (или рекомендуемой) [1]. Для этого будем использовать формулу (1).
(1)
где NТi — требуемое количество средств защиты в i-й зоне;
Ni — фактическое количество установленных средств защиты (соответствующих требуемым) в i-й зоне.
В формуле (1) осн i = 0 характеризует объект, как незащищенный, а осн i = 1 — инженерно-техническая защита полностью выполняет свои функции, т. е. противодействует нарушителям на уровне не ниже требуемого для данного объекта. Таким образом, диапазон значений показателя [0, 1], так как варианты, при которых защита является выше требуемой, т. е. показатель оснащенности становится больше 1, рассмотрению не подлежат, так как превышение требуемого уровня оснащенности экономически нецелесообразно и является недостатком системы физической защиты.
Результаты, полученные при расчете по формуле (1), будем классифицировать в соответствии с таблицей 1.
Таблица 1
Классификация степеней оснащенности
Показатель степени оснащенности |
Характеристика степени оснащенности |
осн i < 0,5 |
Низкий уровень оснащенности |
0,5 осн i < 0,8 |
Достаточный уровень оснащенности |
0,8 осн i 1 |
Высокий уровень оснащенности |
Таким образом, для получения достаточной степени оснащенности необходимо, чтобы соотношение установленных и требуемых средств в i –й зоне достигало уровня 0,5. Начиная с данного показателя оснащенность считается достаточной для эффективной защиты объекта с помощью установленных технических средств охраны. Начиная с показателя 0,8 степень оснащенности считается высокой, что характеризует i-ю зону как высокозащищенную (вероятность НСД минимальна).
Данный показатель будем использовать так же и для проверки выполнения установленных требований по физической защите для противодействия актуальным угрозам, так как данные проверки (на соответствие требованиям нормативных документов и соответствие требованиям по защите от актуальных угроз) являются аналогичными.
Использование данных критериев позволит оценить оснащенность в зонах на объекте защиты. Итоговый показатель степени оснащенности зон будет рассчитан следующим образом: полученные критерии по каждой i-й зоне будут суммированы и поделены на два, то есть рассчитаны как среднее арифметическое двух показателей. Характеристику данного показателя будем определять по таблице 2.6.
Приведем пример оценки степени оснащенности [2, 3, 4]. В таблице 2 представлен пример состава существующей системы защиты.
Таблица 2
Пример существующей системы защиты
Наименование зоны |
Физические барьеры |
Охранная сигнализация |
Система видеонаблюдения |
СКУД |
Комната приема посетителей |
+ |
|||
Кабинет секретаря заместителя директора |
+ |
|||
Кабинет секретаря директора |
+ |
+ |
Состав средств технической защиты объекта по зонам представлен в таблице 3.
Таблица 3
Требуемый состав средств защиты
Наименование зоны |
Физические барьеры |
Охранная сигнализация |
Система видеонаблюдения |
СКУД |
Комната приема посетителей |
+ |
|||
Кабинет секретаря заместителя директора |
+ |
+ |
+ |
|
Кабинет секретаря директора |
+ |
+ |
+ |
Проведем сравнительный анализ существующей системы защиты и требуемой системы защиты в таблице 4.
Таблица 4
Сравнительный анализ существующей итребуемой систем защиты
Наименование зоны |
Установленные средства |
Требуемые средства |
оснi |
||||||
ФБ |
ОС |
СВН |
СКУД |
ФБ |
ОС |
СВН |
СКУД |
||
Комната приема посетителей |
+ |
+ |
1 |
||||||
Кабинет секретаря заместителя директора |
+ |
+ |
+ |
+ |
0,33 |
||||
Кабинет секретаря директора |
+ |
+ |
+ |
+ |
+ |
0,33 |
|||
На примере видно, что:
− первая зона защищена полностью, так как требовалось одно средство (Система видеонаблюдения) и оно было уже установлено;
− вторая зона имеет низкий уровень защищенности, так как требовалось три средства (физические барьеры, охранная сигнализация и СКУД), а установлено было только одно (охранная сигнализация);
− третья зона имеет низкий уровень защищенности, так как из требуемых четырех средств было установлено только одно (Охранная сигнализация). Средство «Система видеонаблюдения» не «засчитывается», так как оно не включено в состав требуемых.
Таким образом на примере был показан принцип оценки степени оснащенности объекта информатизации техническими средствами физической защиты с учетом критериев оценки, разобранных в данной задаче.
Литература:
- Радаев, Н. Приближенные оценки защищенности объектов от террористических действий / Н. Радаев. — М.:БДИ, 2007. — 28 с.
- Андрианов, В. И. Устройства для защиты объектов и информации: справочное пособие / В. И. Андрианов, А. В. Соколов- 2-е изд., перераб. и доп.- М.: АСТ; CПб.: Полигон, 2000. — 256 с.
- ГОСТ Р 50776–95 Системы тревожной сигнализации. Введен 01.01.1996.- М.: Изд-во стандартов, 1996.- 24 с.
- ГОСТ РД 51241–2008.Средства и системы контроля и управления доступом. Введен 01.09.2009.- М.: Изд-во стандартов, 2009.- 34 с.