Шепитько Г.Е., Локтев А.А. Гудов Г.Н. и др. Комплексная система защиты информации на предприятии. Часть 1

Подождите немного. Документ загружается.

ных подразделений или передача их функций иным подразделениям предприятия, а также воз-

ложение на эти подразделения обязанностей, не связанных с обеспечением режима и защиты

информации, недопустимо.

При построении системы по обеспечению безопасности информации необходимо пони-

мать, каких результатов необходимо добиться, с учётом, того, что расходование материальных,

человеческих ресурсов на защиту информации

не должно превышать возможного ущерба при

реализации угроз безопасности интеллектуальной, материальной и финансовой собственности

общества.

Контрольные вопросы

1. Принципы создания системы защиты информации.

2. Состав системы комплексной защиты предприятия.

3. Какие вы знаете виды угроз информационной безопасности?

4. Перечислите цели и задачи по обеспечению безопасности информации в акционерном

обществе.

5. Перечислите основные

функции подразделений по защите информации.

6. Какие подразделения по защите информации должны быть в составе крупной фирмы?

7. Назовите основные направления деятельности подразделений по защите информации.

ТЕМА 4. НОРМАТИВНО-ПРАВОВОЙ БАЗИС БЕЗОПАСНОСТИ

И ЗАЩИТЫ ИНФОРМАЦИИ

4.1. Нормативное правовое обеспечение информационной безопасности

Правовое обеспечение информационной безопасности Российской Федерации должно ба-

зироваться, прежде всего, на соблюдении в информационной сфере принципов законности, ба-

ланса интересов граждан, общества, и государства.

По роли в правовой системе информация разделяется на правовую и не

правовую.

Нормативная правовая информация создаются в порядке правотворческой деятельно-

сти, и содержится в нормативных правовых актах.

Правовая информация по уровню принятия акта и видам классифицируется так:

1) Нормативные правовые акты федерального уровня:

– Конституция Российской Федерации;

– Федеральные конституционные законы Российской Федерации;

– Федеральные законы Российской Федерации;

– Указания и распоряжения Президента Российской

Федерации;

– Постановления и Распоряжения Правительства Российской Федерации;

– нормативные правовые акты федеральных органов исполнительной власти.

2) нормативные правовые акты субъектов Российской Федерации;

3) законодательные акты субъектов Российской Федерации;

4) нормативные правовые акты высших органов исполнительной власти субъектов Рос-

сийской Федерации;

5) нормативные правовые акты органов исполнительной власти субъектов Российской

Федерации;

6) акты органов

местного самоуправления.

Ненормативная правовая информация создается, как правило, в порядке правоприме-

нительной и правоохранительной деятельности. С помощью такой информации реализуются

предписания правовых норм. К ним можно отнести, например, общую информацию о состоянии

законности и правопорядка (заявления в суд, судебную, уголовную статистику и т.п.), информа-

цию о гражданско-правовых отношениях, (договора

, соглашения и т.п.), информацию судов и

судебных органов, информацию, связанную с раскрытием и расследованием правонарушений.

Нормативная правовая информация создаётся в порядке правотворческой деятельности и

содержится в нормативных правовых актах различного уровня, как то:

– конституционное законодательство, к которому относится Конституция Российской Фе-

дерации;

– основные общие законы «О безопасности», «Об

информации, информационных техно-

логиях и о защите информации», Гражданский кодекс Российской Федерации, Административ-

ный кодекс Российской Федерации и т.д.;

– законы по организации государственной системы управления, такие как «Положение о

ФСБ России», «Положение о ФСТЭК» и т.п.;

– специальные законы «О государственной тайне», «О коммерческой тайне», «О персо-

нальных данных

» и т.д.;

– подзаконные акты: указания и распоряжения Президента Российской Федерации, поста-

новления Правительства Российской Федерации;

– ведомственные нормативные акты Гостехкомиссии и ФСБ России. Конституционные

законы в области информатизации определяют основы прав и свобод личности, общества, госу-

дарства; право на собственность информации; право на производство, распространение, доступ и

получение информации,

информационных ресурсов и т.п.

Общие законы определяют основные направления по реализации конституционных прав

личности общества, государства, определяют и классифицируют информацию по виду и форме

предоставления, определяют режим доступа, накопления, распределения (распространения)

информации, разграничивают полномочия федеральных органов государственной власти и субъ-

ектов Российской Федерации.

Специальные законы определяют область действия законов, описывают юридические

нормы по конкретным видам

информации (государственная, служебная тайна, коммерческая

информация, персональные данные и т.д.). Они ориентированы на создание условий в организа-

ции и упорядочения самой информации в сфере производства, накопления, доступа и распреде-

ления, передачи, а также определяют и разграничивают права и обязанности между производи-

телем (собственником) и пользователем информации. Эти законы определяют

полномочия дос-

тупа к информации и режим её защиты.

Подзаконные акты дополняют, конкретизируют и уточняют общие и специальные законы.

Ведомственные нормативные акты устанавливают нормы защищённости информации,

требования и правила организационного и технического характера, определяющие комплекс мер

защиты, необходимых для обеспечения безопасности информации в зависимости от уровня,

ценности, секретности, конфиденциальности информации, условий

эксплуатации и применяе-

мых систем обработки информации.

Основой для построения системы обеспечения безопасности информации является право-

вое обеспечение, определяющее правомерность действий работников и работодателей и прово-

димых работ.

Правовые основы направлены на построение системы управления безопасности информа-

ции, регулирование производственных отношений, отнесение сведений к коммерческой тайне,

установление правил передачи такой

информации, охрану её конфиденциальности.

4.2. Правовые основы отнесения информации к информации,

составляющей коммерческую тайну, и способы получения такой информации

Право на отнесение принадлежит обладателю с учётом положений ФЗ «О коммерческой

тайне».

Информация, самостоятельно полученная лицом при осуществлении исследований, сис-

тематических наблюдений или иной деятельности, считается полученной законным способом.

Информация, полученная

от её обладателя на основании договора или на другом закон-

ном основании, считается полученной законным способом.

Информация считается полученной незаконно, если её получение осуществлялось с

умышленным преодолением мер по охране конфиденциальности этой информации.

Сведения, которые не могут составлять коммерческую тайну:

1) содержащиеся в учредительных документах юридического лица;

2) содержащиеся в документах, дающих

право на осуществление предпринимательской

деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия,

государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитар-

но-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других

факторах, оказывающих негативное воздействие на гражданина и на безопасность

населения в

целом;

5) о численности и составе работников, о системе оплаты труда, об условиях труда, в том

числе об охране труда, о показателях производственного травматизма и профессиональной забо-

леваемости и о наличии свободных рабочих мест;

6) о задолженности работодателей по заработной плате и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответ-

ственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или

муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их

имущества, об их расходах, о численности и об оплате труда

их работников, об использовании

безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического

лица;

11) сведения, обязательность раскрытия которых или недопустимость ограничения досту-

па к которым установлена иными федеральными законами.

4.3. Права обладателя информации, составляющей коммерческую тайну

Обладатели информации могут представлять

или получать информацию в следующих

случаях:

– по мотивированному требованию органа государственной власти, иного государствен-

ного органа, органа местного самоуправления;

– в случае отказа на получение информации вправе затребовать эту информацию в судеб-

ном порядке;

– обладатель обязан предоставить эту информацию по запросу судов, органов прокурату-

ры, органов предварительного следствия, органов дознания.

Права обладателя возникают с момента установления им в отношении такой информации

режима коммерческой тайны.

На документы должен быть нанесен гриф «Коммерческая тайна» с указанием её обладате-

ля (для юридических лиц — полное наименование и место нахождения, для индивидуальных

предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным пред-

принимателем, и место жительства).

Обладатель информации

, составляющей коммерческую тайну, имеет право:

1) устанавливать, изменять и отменять в письменной форме режим коммерческой

тайны;

2) использовать коммерческую тайну для собственных нужд;

3) разрешать или запрещать доступ к коммерческой тайне, определять порядок и условия

доступа к этой информации;

4) вводить в гражданский оборот коммерческую тайну на основании договоров, преду-

сматривающих включение

в них условий об охране конфиденциальности этой информации;

5) требовать от юридических и физических лиц, получивших доступ к коммерческой тай-

не, органов государственной власти соблюдения обязанностей по охране её конфиденциально-

сти;

6) требовать от лиц, получивших доступ к коммерческой тайне случайно или по ошибке,

охраны конфиденциальности этой информации;

7) защищать в установленном

законом порядке свои права и требовать возмещения убыт-

ков, причиненных в связи с нарушением прав обладателя информации.

Обладателем коммерческой тайны, полученной в рамках трудовых отношений, является

работодатель.

Правовая охрана между работником и работодателем регулируется в соответствии с зако-

нодательством Российской Федерации об интеллектуальной собственности.

4.4. Меры по охране конфиденциальности информации

Меры по охране конфиденциальности информации, принимаемые её обладателем, долж-

ны включать в себя:

1) определение перечня информации, составляющей коммерческую тайну;

2) ограничение доступа к коммерческой тайне путём установления порядка обращения с

этой информацией и контроля за соблюдением такого порядка;

3) учёт лиц, получивших доступ к коммерческой

тайне;

4) регулирование отношений по использованию работниками коммерческой тайны на ос-

новании трудовых договоров и контрагентами — на основании гражданско-правовых договоров;

5) нанесение на материальные носители (документы), содержащие информацию, состав-

ляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой ин-

формации (для юридических лиц — полного наименования и места нахождения, для индивиду

альных предпринимателей — фамилии, имени, отчества гражданина, являющегося индивиду-

альным предпринимателем, и места жительства).

Режим коммерческой тайны считается установленным после принятия обладателем ин-

формации мер по её защите.

Меры по охране конфиденциальности информации признаются разумно достаточными,

если:

1) исключается несанкционированный доступ к информации;

2) обеспечивается возможность использования и передачи её контрагентам без

нарушения

режима коммерческой тайны.

Режим коммерческой тайны не может быть использован в целях, противоречащих требо-

ваниям защиты основ конституционного строя, нравственности, здоровья, прав и законных ин-

тересов других лиц, обеспечения обороны страны и безопасности государства.

Охрана конфиденциальности информации в рамках трудовых отношений.

В целях охраны конфиденциальности информации работодатель обязан:

1) ознакомить

под расписку работника с перечнем сведений конфиденциального характе-

ра, обладателями которого являются работодатель и его контрагенты;

2) ознакомить под расписку работника с режимом коммерческой тайны и с мерами ответ-

ственности за его нарушение;

3) создать работнику необходимые условия для соблюдения, им установленного работо-

дателем режима коммерческой тайны.

Доступ работника к коммерческой

тайне осуществляется с его согласия, если это не пре-

дусмотрено его трудовыми обязанностями.

В целях охраны конфиденциальности информации работник обязан:

1) выполнять режим коммерческой тайны;

2) не разглашать коммерческую тайну и не использовать эту информацию в личных це-

лях;

3) не разглашать информацию, составляющую коммерческую тайну, после прекращения

трудового договора в течение

срока по соглашению или в течение трех лет после прекращения

трудового договора;

4) возместить причиненный работодателю ущерб, если работник виновен в разглашении

коммерческой тайны;

5) передать работодателю при прекращении или расторжении трудового договора матери-

альные носители информации, содержащие коммерческую тайну.

Работодатель вправе потребовать возмещения причиненных убытков, если работник ви-

новен в разглашении

информации, составляющей коммерческую тайну, в течение срока, уста-

новленного работодателем.

Причиненный ущерб и убытки не возмещаются работником, если разглашение коммерче-

ской тайны явилось следствием непреодолимой силы, крайней необходимости или неисполнения

работодателем обязанности по обеспечению режима коммерческой тайны.

В трудовом договоре работника предприятия должны предусматриваться его обязательст-

ва и ответственность за обеспечение сохранности конфиденциальной информации, ставшей ему

известной во время исполнения служебной

обязанности.

Руководитель предприятия возмещает организации убытки, причиненные его действиями

в соответствии с Гражданским законодательством.

Охрана конфиденциальности информации в рамках гражданско-правовых отноше-

ний.

Отношения между обладателем и его контрагентом регулируются законом и договором.

В договоре должны быть определены условия охраны конфиденциальности информации,

а также обязанность контрагента по возмещению убытков при

разглашении им этой информации

вопреки договору.

В случае если иное не установлено договором, контрагент в соответствии с законодатель-

ством Российской Федерации самостоятельно определяет способы защиты информации, состав-

ляющей коммерческую тайну, переданную ему по договору.

Контрагент обязан незамедлительно сообщить обладателю о допущенном им самим либо

ставшем ему известном факте разглашения или угрозы

разглашения, незаконном получении или

незаконном использовании коммерческой тайны, третьими лицами.

Обладатель информации, передавший её контрагенту, до окончания срока действия дого-

вора не может разглашать коммерческую тайну, а также в одностороннем порядке прекращать

охрану её конфиденциальности, если иное не установлено договором.

Сторона, не обеспечившая в соответствии с условиями договора охраны конфиденциаль-

ности информации, переданной по договору, обязана возместить другой стороне убытки, если

иное не предусмотрено договором.

4.5. Ответственность за нарушение требований Федерального закона

Нарушение Федерального закона влечет за собой дисциплинарную, гражданско-правовую,

административную или уголовную ответственность, в соответствии с законодательством Рос-

сийской Федерации.

Работник, в случае умышленного или неосторожного разглашения этой

информации, не-

сёт дисциплинарную ответственность в соответствии с законодательством Российской Федера-

ции, если в его действиях нет состава преступления.

Органы государственной власти, получившие доступ к коммерческой тайне, несут перед

обладателем информации, составляющей коммерческую тайну, гражданско-правовую ответст-

венность за разглашение или незаконное использование этой информации их должностными

лицами.

Лицо, которое не

имело достаточных оснований считать использование данной информа-

ции незаконным, получает доступ к ней в результате случайности или чей-то ошибки, не может в

соответствии с настоящим Федеральным законом быть привлечено к ответственности.

По требованию обладателя коммерческой тайны контрагент обязан принять меры по ох-

ране конфиденциальности информации. При отказе такого лица

принять указанные меры обла-

датель коммерческой тайны, вправе требовать в судебном порядке защиты своих прав.

Невыполнение обладателем законных требований органов государственной власти, а рав-

но воспрепятствование должностными лицами получению указанной информации влечет за

собой ответственность в соответствии с законодательством Российской Федерации.

Таким образом, в рамках данной темы рассмотрено состояние законодательства Россий

ской Федерации по вопросам обеспечения прав и свобод личности, общества, государства в

информационной сфере. В настоящее время, с учётом изменений в экономической сфере Рос-

сийского государства все вопросы, необходимые для регулирования правовых отношений в

сфере производства, распространения, накопления, потребления, поиска и потребления инфор-

мации юридически закреплены в нормативных актах Российской Федерации.

В Российской Федерации действует более 90 актов в сфере информационного обеспече-

ния личности

, общества, государства, включающих вопросы защиты прав и свобод на законное

получение и распространение информации, защиты прав собственника на произведенную ин-

формацию, защиты сведений ограниченного доступа. Кроме того, с ведением в действие с 1

января 1997 года нового Уголовного Кодекса Российской Федерации появилась возможность

эффективно бороться с компьютерными преступлениями.

Анализ правовых актов Российской

Федерации показывает на противоречивость, неодно-

значность толкований, декларативность, наличие «белых пятен». Имеются разночтения некото-

рых терминов и определений, используемых в законах Российской Федерации и постановлениях

Правительства Российской Федерации и УК РФ. В связи с этим создаются определённые труд-

ности в принятии однозначного решения при доказательстве совершенного преступления и при-

влечения правонарушителя

к ответственности. На сегодняшний день отсутствует ряд важных и

необходимых законов, что создает трудности в обеспечении безопасности информации.

Можно привести примеры поспешности при подготовке законов.

Например, 27 июля 2006 г. Президент Путин подписал Федеральный закон Российской

Федерации № 152-ФЗ «О персональных данных», и уже 29 июля этот акт был официально опуб-

ликован. В

соответствии с его положениями, закон должен был вступить в силу по истечении

180 дней с момента опубликования, что и произошло 26 января 2007 года.

В ч. 2 ст. 5 этого закона указано очень важное с точки зрения IТ-безопасности требование

к операторам персональных данных. «Хранение [приватных сведений] должно осуществляться ...

не дольше, чем этого требуют цели

их обработки», а «по достижении целей обработки или утра-

ты необходимости в их достижении» чувствительная информация «подлежит уничтожению».

Это означает, что, например, электронный магазин обязан уничтожать персональные сведения

своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же тран-

закция уже осуществлена, деньги магазином получены, а данные покупателя (например

, номер

кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нару-

шением закона. Срок, в течение которого уже ставшие ненужными персональные данные долж-

ны быть уничтожены, устанавливается ч. 4 ст. 21 длиной в три рабочих дня. Последствием тако-

го оперативного уничтожения данных могут быть сложности

с расследованием случаев мошен-

ничества с кредитными карточками.

Для подготовки РФ к вступлению в ВТО форсированным путём принят ФЗ «О техниче-

ском регулировании» от 27.12.2002 г. № 184-ФЗ, который основан на принципе минимальной

достаточности требований безопасности и технического уровня и ликвидации излишних барье-

ров на рынке продукции, работ и услуг.

Наиболее важным

является формирование двухуровневой системы документов, содержа-

щих требования к продукции: технические регламенты и национальные стандарты. Технические

регламенты, принятые ФЗ или постановления Правительства РФ, должны содержать обязатель-

ные для применения и исполнения требования к продукции, обеспечивающие безопасность.

Требования технических регламентов в ФЗ, не должны служить препятствием для осуществле-

ния предпринимательской деятельности

в большей степени, чем это необходимо для обеспече-

ния безопасности. Поэтому технические регламенты устанавливают лишь минимально необхо-

димые требования и эти требования являются исчерпывающими.

Однако в течение прошедших нескольких лет разработан только один регламент «О по-

жарной безопасности».

Далее необходимо ещё разработать и ввести в действие комплекс национальных (отрасле-

вых) стандартов

, устанавливающих требования к качеству и безопасности объектов, не попа-

дающих под действие технических регламентов. Причём национальные стандарты будут уста-

навливать требования к продукции в целях добровольного многократного применения.

Таким образом, налицо созданная угроза длительного отсутствия национальных стандар-

тов и мучительного перехода к их внедрению, что приведёт к ухудшению качества продукции и

услуг.

Контрольные вопросы

1. Какой закон является базовым в

области информационного права и защиты информа-

ции?

2. Какая информация не может, отнесена конфиденциальной информации?

3. Кто является обладателем коммерческой тайны, полученной в рамках трудовых отно-

шений?

4. Каким образом устанавливается режим коммерческой тайны?

5. Какие имеет права обладатель коммерческой тайны?

6. Приведите примеры поспешного принятия законодательных актов и их отрицательных

последствий.

ТЕМА 5. ЗАЩИТА ОБЪЕКТОВ ОТ ФИЗИЧЕСКОГО ДОСТУПА

ПОСТОРОННИХ ЛИЦ

5.1. Основы построения системы защиты объектов

Построение системы защиты объектов (предметов) зависит от ценности предметов защи-

ты, возможных источников угроз и способов, методов и средств реализации угроз, применяемых

средств зашиты, которые сложным образом зависят друг от друга. С одной стороны, система

безопасности

объекта должна обладать высокой степенью защиты от пропуска посторонних лиц,

с другой стороны, она не должна обладать избыточностью материальных, финансовых и иных

средств.

Для оптимального построения системы защиты необходимо:

1. Определить категорию объекта защиты, который можно подразделить на простой объ-

ект защиты, важный объект защиты и особо важный объект защиты.

2. Определить

технологию обработки информации и вид (тип) носителей информации.

3. Определить круг лиц или организаций, желающих получить и использовать информа-

цию в личных интересах.

4. Выяснить возможные источники угроз и угрозы, которые могли бы нарушить целост-

ность, доступность, конфиденциальность информации.

5. Уточнить расположение объекта защиты относительно других, не защищаемых объек-

тов на предприятии

и расположение объектов сторонних организаций, размеры контролируемой

и проверяемой зоны.

6. Выявить на объекте защиты общих (совместных в эксплуатации) со сторонними орга-

низациями инженерных коммуникаций и технических сооружений, в том числе подземных ком-

муникаций (водопровод, стены, потолки и т.п.), систем жизнеобеспечения (свет, водопровод,

вентиляция).

Необходимо понять важность и определить ценность

информации для определения уров-

ня защиты и возможных материальных затрат. Чем ценнее информация, тем выше должен быть

уровень защиты объекта (носителя информации). Затраты должны быть достаточны, но не долж-

ны превышать размеры возможного ущерба или упущенной выгоды.

В расчёте ущерба исходят из суммы затрат на изготовление продукции, которую не смог-

ли реализовать (материалы, станки, техническая документация и т.п.). При определении упу-

щенной выгоды исходят из возможной полученной прибыли при реализации продукции.

Для определения возможных каналов утечки информации, носителей информации), необ-

ходимо знать технологию обработки информации, тип носителей информации, перечень работ-

ников, допущенных к конфиденциальной информации.

Выявление организаций или лиц, заинтересованных

в получении информации, позволяет

оценить их финансовые возможности, уровень подготовки, возможные методы и способы реали-

зации угроз.

После выявления потенциально опасных организаций (лиц) заинтересованных в незакон-

ном получении информации (носителей информации), с учетом технологии обработки информа-

ции на защищаемом объекте определяют источники угроз и угрозы, которые могут изменить

характеристики информационной

безопасности (целостность, доступность, конфиденциаль-

ность).

Важное значение в определении мер защиты имеет месторасположение объекта защиты

относительно других объектов сторонних организаций. Определяются размеры контролируемой

и проверяемой зоны, общие инженерные и подземные коммуникации (стены, потолки, пол, вен-

тиляционные каналы), система жизнеобеспечения (электропитание, водопровод, отопление и

т.п.).

После классификации объектов защиты, определения каналов (путей) проникновения на

объект защиты, возможностей нарушителей и уровня их подготовки, возможных методов и спо-

собов реализации угроз безопасности информации вырабатываются методы и способы защиты

объекта.

Типы средств защиты многообразны и различны по принципам построения, функцио-

нальным возможностям и стоимости. Эффективность их применения зависит от

многих факто-

ров, объективных и субъективных условий. Эти и другие особенности определяют два принци-

пиальных вывода:

1. Защита должна проектироваться как единая система.

2. Система защиты должна строиться с учётом принципов, обеспечивающих эффек-

тивность её создания и эксплуатации.

Система обеспечения безопасности объекта должна основываться на следующих принци-

пах:

Принцип комплексности — применение

средств должно быть согласовано с возможны-

ми видами угроз, а средства защиты должны функционировать согласованно как единый меха-

низм защиты, взаимно дополняя друг друга в функциональном и техническом смысле. Особое

внимание должно уделяться обеспечению «стыков» между разными средствами защиты.

Принцип эшелонирования заключается в создании нескольких последовательных рубе-

жей защиты таким

образом, чтобы наиболее важная зона безопасности объекта находилась внут-

ри других зон. При этом вероятность реализации угрозы в зоне наиболее важного участка объек-

та будет зависеть от вероятности преодоления предыдущих рубежей защиты, т.е. уменьшаться с

увеличением степени эшелонирования.

Принцип равнопрочности требует, чтобы все участки всех рубежей, защищающих зону

безопасности, были

«равнопрочными» с точки зрения вероятности реализации угрозы. Если на

участках рубежа есть слабые, плохо защищенные места, и злоумышленнику это известно, то

никакие эффективные меры на других участках не защитят эту зону безопасности.

Принцип разумной достаточности заключается в установлении приемлемого уровня

безопасности без попыток создать «абсолютную» защиту. При достаточном количестве средств

и времени можно преодолеть любую защиту. Целесообразно выбрать тот достаточный уровень,

при котором риск и размер возможного ущерба находились бы в разумных пределах. При реали-

зации этого принципа следует иметь в виду сравнительную оценку важности угроз.

Принцип непрерывности требует, чтобы в процессе функционирования системы защиты

не было перерывов в её работе

, вызванных ремонтом техники, сменой паролей, отключением

энергоснабжения и других факторов, которыми может воспользоваться злоумышленник.

5.2. Структура системы безопасности объекта защиты

В основе структуры системы комплексной безопасности объекта и организации её функ-

ционирования лежит создание последовательных рубежей, в которых угрозы должны быть свое-

временно обнаружены, и их распространению должны препятствовать надёжные

методы и сред-

ства локализации и нейтрализации.

Такие рубежи должны располагаться последовательно, от внешнего ограждения террито-

рии объекта (периметра) до главного (особо важного помещения), такого как хранилище ценно-

стей и информации.

С учётом проанализированных данных об объекте защиты, о потенциальных угрозах, о

возможных средствах защиты возможна следующая структура комплексной системы

защиты

[39] из 6 зон безопасности.

Зона № 1 — защита периметра и территории, включающая в себя организацию огражде-

ния периметра с оборудованием дистанционно управляемых въездных ворот и калиток. В этой

зоне оборудуются средства инженерно-технической защиты: