Инженерно-техническая защита информации
معرفی کتاب «Инженерно-техническая защита информации» نوشتهٔ Иванов، منتشرشده توسط نشر Московский университет МВД России имени В. Я. Кикотя. این کتاب در فرمت pdf، زبان ru ارائه شده است.
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ МОСКОВСКИЙ УНИВЕРСИТЕТ М. А. Иванов, М. К. Каретников ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ Учебное пособие Москва МосУ МВД России 2013 ББК 32.973 И20 Иванов, М. А. Инженерно-техническая защита информации : учебное пособие / М. А. Иванов ; М. К. Каретников. – М. : Московский университет МВД России, 2013. – 147 с. В учебном пособии рассматриваются организация и основные аспекты нормативного регулирования инженерно-технической защиты информации, распространенные средства и технологии двух ее составляющих, основы проектирования систем инженерно-технической защиты информации. Предназначено для курсантов и адъюнктов, обучающихся по специальностям «Организация и технология защиты информации» и «Безопасность информационных технологий». ББК 32.973 Рецензенты: заместитель начальника НЦБ Интерпола МВД России С. Н. Бородин; начальник ФКУ НИИ ФСИН России А. В. Быков. © Московский университет МВД России, 2013 © Иванов М. А., 2013 © Каретников М. К., 2013 ОГЛАВЛЕНИЕ Введение. 4 Глава 1. Нормативное регулирование инженерно-технической защиты информации 6 1. Основные качества и направления технической защиты информации. 6 2. Нормативное обеспечение и организация ИТЗИ. 15 Глава 2. Защита информации в составе защиты объекта информатизации 24 1. Инженерные сооружения в защите объектов информатизации. 25 2. Технологии и системы охранной и пожарной сигнализации. 44 3. Технологии и системы охранного видеонаблюдения. 56 4. Технологии и системы управления доступом. 61 5. Применение интегрированных систем охраны. 78 Глава 3. Защита информации от утечки по техническим каналам. 80 1. Понятие, характеристики и классификация технических каналов утечки информации. 80 2. Основные угрозы утечки защищаемой информации. 86 3. Технологии и средства блокирования утечки информации. 98 4. Технологии и средства проведения специальных проверок объектов информатизации. 106 5. Технологии защиты от утечки сообщений систем связи 116 Глава 4. Системы инженерно-технической защиты информации объектов информатизации. 127 1. Структура и состав систем ИТЗИ. 127 2. Основы проектирования систем ИТЗИ. 134 3. Контроль инженерно-технической защиты информации 144 Заключение 145 ВВЕДЕНИЕ Современный этап развития общества характеризуется возрастающей ролью информационной сферы, которая образована совокупностью информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений. Сегодня информация оказывает огромное влияние на все стороны жизни индивидуума и социума. Незащищенность интересов граждан, общества и государства в информационной сфере является самостоятельной угрозой безопасности Российской Федерации. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности страны. Как отмечается в Доктрине информационной безопасности Российской Федерации, национальная безопасность страны существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать. Деятельность большинства служб и подразделений органов внутренних дел в значительной степени имеет информационный характер. В связи с этим проблема обеспечения их информационной безопасности является перманентной. В условиях проведения в нашей стране кардинальных социально-экономических реформ, дальнейшей демократизации всех сторон общественной жизни, глобальной информатизации современного общества она наполняется новым содержанием и становится особенно актуальной. Появление ранее неизвестных аспектов этой проблемы в немалой степени обусловлено формированием и развитием российского информационного законодательства, в том числе административного, уголовного, процессуального, оперативно-разыскного, созданием и широким использованием в жизни современного общества новых информационных технологий. Одним из важнейших слагаемых обеспечения информационной безопасности ОВД выступает защита ведомственной информации. Очевидны колоссальные объемы информации, собираемые и обрабатываемые органами внутренних дел в процессе решения возложенных на них задач. Значительная часть этой информации представляет информацию ограниченного доступа. Так, в соответствии с Указом Президента Российской Федерации по разнообразию номенклатуры подлежащих рассмотрению секретных сведений, органы внутренних дел занимают пятое место среди всех других государственных ведомств. В Федеральном законе «О полиции» отмечается, что ведомство «... обеспечивает защиту информации, содержащейся в банках данных, от неправомерного или случайного доступа, уничтожения, копирования, распространения и иных неправомерных действий». Новые информационные технологии меняют ситуацию в сфере защиты информации. С одной стороны, массовое применение современных компьютерных систем, систем телекоммуникаций, специальной и оргтехники объективно расширяет фронт вероятных разведывательных и иных деструктивных акций и увеличивает уязвимость используемых информационных технологий и информации. С другой – растет атакующий потенциал преступной среды, прежде всего, организованных преступных групп и сообществ, использующих современные методы и технические средства, системы разведки и деструктивные воздействия на информацию. Отсутствие жестких ограничений в обороте специальной техники приводит к многочисленным случаям ее применения криминальными структурами в отношении физических и юридических лиц, в том числе органов государственной власти и управления. Несомненно, подобные разведывательные акции являются серьезными угрозами информационной безопасности личности, общества, государства и должны надежно блокироваться. Известно, что основными составляющими защиты информации выступают ее правовая, организационная и техническая стороны. В свою очередь, в настоящее время в качестве основных направлений технической защиты информации могут быть выделены: защита информации средствами защиты объекта информатизации, защита информации от утечки по техническим каналам и защита компьютерной информации. Знание основных средств и технологий технической защиты информации, умение их применять в практической деятельности являются обязательными квалификационными требованиями к современному специалисту по защите информации и безопасности информационных технологий. Традиционно в сфере подготовки специалистов большинством государственных образовательных стандартов нашей страны средства и методы первых двух направлений технической защиты информации главным образом изучаются в процессе преподавания учебной дисциплины «Инженерно-техническая защита информации», содержание третьего направления – в рамках дисциплины «Программно-аппаратная защита информации». Использование в названии учебных дисциплин составных прилагательных «инженерно-техническая» и «программно-аппаратная для обозначения и разделения технических средств, преимущественно используемых каждым из направлений защиты, вряд ли можно признать удачным. Сегодня многие технические средства и системы, применяемые для охраны объектов или защиты информации от утечки, как и средства защиты компьютерной информации, являются программно-аппаратными устройствами, а большинство технических средств могут быть определены как инженерные, поскольку созданы и эксплуатируются инженерами. Однако применение первого составного прилагательного имеет исторические истоки, длительное время использовалось и прочно вошло в словарь нескольких поколений отечественных специалистов в сфере охраны важных и особо важных объектов. Глава 1. НОРМАТИВНОЕ РЕГУЛИРОВАНИЕ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ 1. Основные качества и направления технической защиты информации В соответствии с Федеральным законом Российской Федерации «информация – сведения (сообщения, данные) независимо от формы их представления». В отличие от большинства теоретических воззрений на феномен информации, закон фактически отождествляет информацию с представляющим его материальным объектом. Таким материальным объектом выступает носитель информации с закрепленным сообщением, результат интерпретации которого субъектом и является собственно информацией. Подобное упрощение содержания термина позволяет не только осуществлять регулирование отношений в информационной сфере, но и успешно использовать понятие в специальных областях, например, в теории и практике защиты информации. Выступая в качестве важнейшей составляющей социума, его жизни и развития, информация предполагает обеспечение возможности своего надлежащего использования, в первую очередь, сохранения существенных качеств, что и является задачей защиты информации. Очевидно, качествами, определяющими возможность последующего надлежащего использования созданной информации, выступают ее неизменность и возможность получения пользователем, отсутствие непредусмотренных изменений при преобразовании информации в процессе ее обработки, а также сохранение тайны, если защищаемая информация ее отражает. В связи с этим безопасность информации можно определить как состояние защищаемой информации, в котором сохраняются ее целостность, доступность и тайна информации ограниченного доступа. В свою очередь, целостность информации следует понимать как отсутствие непредусмотренных изменений информации, а доступность – возможность ее получения в соответствии с установленным порядком доступа. Поскольку приведенные определения несколько отличаются от распространенных в специальной литературе, приведем ряд пояснений. Использованное в определении целостности словосочетание «непредусмотренные изменения» – это искажение или уничтожение информации, которые приводят к невозможности ее надлежащего использования. Такие изменения информации могут стать результатом случайных событий, ошибок легальных пользователей, умышленных действий легальных пользователей-инсайдеров или умышленных действий противника. Изменения могут произойти как на этапе хранения ранее созданной информации, так и на этапе ее последующей обработки (преобразования). Следует заметить, что непредусмотренные изменения информации могут также произойти на этапе ее обработки (преобразования), например, из-за скрытых ошибок используемого алгоритма или сбоя в работе средств обработки. Представляется, что предупреждение таких непредусмотренных изменений информации не является предметом защиты информации. Использованное в определении доступности информации дополнение: «в соответствии с установленным порядком доступа» означает следующее: в общем случае получение информации, во-первых, связано с выполнением получателем информации некоторого условия, а именно: его идентификацией в качестве легального пользователя. Это обстоятельство является важным и обязательным при защите и организации доступа к информации ограниченного доступа и общедоступной информации, предоставляемой по соглашению лиц. Во-вторых, получение информации может быть сопряжено с утомительными процедурами идентификации или ожиданием восстановления информации после атак противника. Следует отметить также, что доступность не является свойством или характеристикой собственно информации – тех записей, сведений, которые где-то хранятся. В контексте защиты информации она характеризует состояние носителя информации, который в соответствии с законодательным определением термина «информация» в том числе является информацией, или состояние служебной информации, определяющей порядок доступа к собственно информации. Очевидно, что только неудовлетворительное состояние носителя или искажение такой служебной информации могут привести к невозможности получения информации. Выход или вывод из строя аппаратных механизмов доступа к информации могут также заблокировать доступ. Однако противодействие этим событиям не является предметом защиты информации, это предмет защиты средств обработки информации или защиты объекта информатизации. Безопасность информации может быть нарушена в результате действия самых разнообразных факторов – угроз. Представляется, что исходную классификацию угроз или классификацию основных угроз безопасности информации целесообразно выполнять, исходя из возможных последствий их реализации. Определение термина «безопасность информации» постулирует три таких последствия: частичная или полная утрата целостности, доступности и тайны информации ограниченного доступа. Утрата целостности информации возможна в результате воздействия на информацию, которое приводит к ее непредусмотренному изменению или уничтожению. Потеря доступности может наступить в результате уничтожения информации или изменения или уничтожения служебной информации, определяющей порядок доступа, или из-за вывода из строя носителя информации, т.е. в результате воздействия на информацию. Причиной раскрытия тайны информации ограниченного доступа, очевидно, может стать либо неправомерное копирование информации, либо ее разглашение. Последние два события в специальной литературе обычно обозначают как утечка информации. Следовательно, основными угрозами безопасности информации являются утечка информации и воздействие на информацию. Каждая из этих угроз может быть реализована умышленно (преднамеренно) или неумышленно (непреднамеренно). Если использовать распространенные в специальной литературе термины, то определить каждую из этих угроз можно следующим образом. Утечка информации – это неконтролируемое распространение защищаемой информации в результате ее разглашения или несанкционированного доступа к информации. Воздействие на информацию – преднамеренные или непреднамеренные действия или случайные события, изменяющие или уничтожающие защищаемую информацию, или приводящие к выходу из строя носителя информации, которые исключают возможность получения и надлежащего использования информации или нарушают установленный порядок доступа к информации. В качестве основных видов защиты информации, которые противостоят рассмотренным угрозам, общепринято рассматривать правовую, организационную и техническую защиту информации. Исторически техническая защита стала применяться в целях охраны и защиты особо важных объектов. Исходно ее основу составляли технические средства охранной сигнализации, обнаруживающие попытки проникновения противника на охраняемый объект, и разнообразные инженерные сооружения, препятствующие этому проникновению. С течением времени решаемые задачи и перечень средств такой защиты существенно расширились. В настоящее время их применение обоснованно рассматривается и как один из важных элементов технической защиты информации. Рассматриваемую составляющую технической защиты информации Национальный стандарт Российской Федерации «Защита информации. Основные термины и определения» называет «физической защитой информации»: «защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты». В качестве единственной угрозы, которой призвана противостоять физическая защита, стандарт указывает проникновение или доступ неуполномоченных физических лиц к объекту защиты. По всей видимости, прилагательное «физическая» в названии вида защиты авторы стандарта заимствовали из словосочетания «физические лица». Вместе с тем рассматриваемая защита должна также противостоять (и реально противостоит) угрозам стихийных бедствий и техногенных катастроф. По крайней мере только это обстоятельство предполагает исключение прилагательного «физическая» из названия комментируемого вида защиты. Содержание способов, объектов защиты, перечисленных в примечании к дефиниции, свидетельствует о том, что определяемая авторами стандарта «физическая защита» осуществляется в целях обеспечения требуемых контрольно-пропускного режима и внутриобъектового режима объекта информатизации, т.е. в целях обеспечения безопасности объекта информатизации, его сотрудников и посетителей. Известно, что сегодня безопасность любого объекта обеспечивается как проведением ряда организационных мероприятий, так и за счет использования «совокупности средств»: инженерных сооружений, систем охранной и пожарной сигнализации, автоматического пожаротушения, телевизионной охраны и т.д. Таким образом, речь идет не о защите информации, а о защите объекта информатизации, одним из элементов которого, естественно, выступает и сама информация. Следовательно, определяемый вид защиты целесообразно назвать не защитой информации, а защитой объекта информатизации. С развитием средств и методов технической разведки, постепенной утратой в условиях информационного общества монополии на этот вид деятельности специальными службами закономерно возникло еще одно направление технической защиты – защита информации (сигналов) от перехвата или ее утечки по техническим каналам. Относительно самостоятельной составляющей защиты информации от утечки выступает выявление и поиск технических средств разведывательного назначения на объектах информатизации. Широкое применение в жизни общества средств вычислительной техники для обработки и хранения разнообразных данных закономерно привело также к неизбежности обеспечения безопасности компьютерной информации. Специфика процессов и средств ее защиты стала причиной возникновения соответствующего самостоятельного направления технической защиты информации. Представляется, что критерием, разделившим техническую защиту информации на защиту сигналов от перехвата и защиту компьютерной информации, являются особенности непосредственно самих объектов защиты, а также форм их существования в рамках защищаемой системы. В рамках первого направления технической защиты информации объектом защиты выступают разнообразные сигналы – физические процессы, а ее целью является предотвращение несанкционированного перехвата энергии этих сигналов, допускающего их декодирование. Основной задачей противника выступает по возможности скрытый перехват и последующее декодирование зафиксированных сигналов. Этот перехват выполняется с помощью технических средств разведывательного назначения, представляющих собой физические приборы, способные фиксировать существенные параметры соответствующих сигналов. Очевидно, что сутью этих процессов являются отбор и фиксация с помощью физического прибора части распространяющейся энергии сигнала. В свою очередь, задачей защиты сигналов выступает ослабление их энергии в точке потенциального ведения разведки до уровня, сравнимого с величиной естественных шумов канала утечки или чувствительностью приемника противника, или искажение информационных параметров сигналов, препятствующее возможному восстановлению противником исходной формы сигнала и его последующее декодирование. В рамках второго направления технической защиты информации объектом защиты выступают бинарные состояния элементов компьютерной системы, а ее целью является предотвращение непредусмотренного изменения значений этих состояний или их копирования и декодирования. Действительно, в пределах компьютерной системы физическая сущность цифровых сигналов отходит на второй план, они превращаются в бинарные состояния комбинационных устройств, триггеров, регистров, счетчиков и т.п., т.е. в символические нули и единицы двоичной системы. При этом их существование в первую очередь подчиняется уже не физическим законам, а внутрисистемным жестким правилам используемых форматов, реализации различных процедур, интерфейсов, протоколов. Естественно, любые действия противника по копированию компьютерной информации – нулей и единиц, модифицированию или уничтожению компьютерной информации – изменению бинарных состояний элементов, должны осуществляться с соблюдением этих правил с помощью средств, реализующих установленные в системе процедуры, интерфейсы, протоколы. Точно так же функционирование средств защиты компьютерной информации должно подчиняться внутрисистемным правилам и логике взаимодействия различных ресурсов компьютерной системы. Таким образом, в настоящее время в качестве основных направлений технической защиты информации могут быть выделены (рис. 1): защита информации средствами защиты объекта информатизации, защита информации от утечки по техническим каналам, защита компьютерной информации. Национальный стандарт Российской Федерации «Защита информации. Основные термины и определения» термин «техническая защита» определяет следующим образом: это защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств. Некоторое сомнение в определении вызывает исключение стандартом из сферы технической защиты информации криптографической защиты. Очевидно, что объектами защиты современной криптографии, как отмечалось ранее, также являются «метафизические» нули и единицы компьютерных систем. Из-за этого криптографическая защита информации, осуществляемая в настоящее время преимущественно с помощью программных или аппаратно-программных средств, обоснованно может рассматриваться как одна из разновидностей защиты компьютерной информации, ее технической защиты. ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ Инженерно-техническая защита информации ПАЗИ Защита информации средствами защиты объекта информатизации Защита информации от утечки по техническим каналам Защита компьютерной информации Использование инженерных сооружений Применение технических систем охраны Энергетическое скрытие опасных сигналов Двойное преобразование формы опасных сигналов Поиск и нейтрализация технических средств разведки Рис. 1. Основные направления технической защиты информации и виды ИТЗИ В этой ситуации техническую защиту информации и соответствующие направления можно определить следующим образом. Техническая защита информации – это деятельность по обеспечению безопасности информации с использованием технических средств, специальных сооружений, материалов и веществ. Основными направлениями технической защиты информации являются использование средств защиты объектов информатизации, защита информации от утечки по техническим каналам и защита компьютерной информации. Первое направление инженерно-технической защиты информации – защита информации средствами защиты объекта информатизации – включает две составляющие. Во-первых, такая защита осуществляется за счет использования инженерных сооружений: различных преград, ограждений, турникетов, специальных хранилищ и т.д. Во-вторых, она реализуется с помощью технических систем охраны объектов: охранной и пожарной сигнализации, охранного видеонаблюдения, управления доступом в выделенные зоны или к защищаемым ресурсам объекта информатизации, применением интегрированных систем охраны. Использование средств защиты объекта информатизации позволяет решать следующие основные задачи защиты информации: – предотвращение доступа противника к средствам информатизации и носителям информации с целью предупреждения преднамеренных деструктивных воздействий на защищаемую информацию; – нейтрализация негативных воздействий стихийных бедствий или техногенных катастроф на средства информатизации и носители информации; – препятствие созданию противником необходимых оперативно-технических позиций для скрытого ведения разведки, а значит, предупреждение потенциальной утечки информации ограниченного доступа. Основной задачей второго направления инженерно-технической защиты информации выступает блокирование утечки защищаемой информации по техническим каналам, образованным источниками опасных сигналов, приемниками противника и соединяющими их линиями связи. Здесь защищаемую информацию представляют различные сигналы: оптические, акустические, электрические, электромагнитные. Поскольку перехват и декодирование противником таких сигналов означает раскрытие тайны информации ограниченного доступа и, следовательно, нарушение ее безопасности, соответствующие сигналы в теории и практике инженерно-технической защиты информации называют опасными. Это направление защиты информации реализуется с помощью трех составляющих: – энергетического скрытия опасных сигналов, препятствующего их распознаванию, регистрации и декодированию с помощью технических средств разведки противника за счет уменьшения соотношения «уровень опасного сигнала – уровень шума» в точке потенциального перехвата сигналов; – поиска и нейтрализации технических средств разведки – закладных устройств, скрытно установленных противником на объектах информатизации; при этом в процессе поисковых операций осуществляется выявление как работающих закладных устройств, так и закладных устройств, исчерпавших ресурс автономных источников питания или находящихся в выключенном состоянии; – двойным преобразованием формы опасных сигналов, как правило, используемым для защиты от декодирования речевых сообщений различных систем связи, которые могут быть перехвачены противником; прямое преобразование выполняется над отправляемым сообщением, затем обратное преобразование – над принимаемым сообщением. Представленные составляющие инженерно-технической защиты информации могут рассматриваться как ее виды или основные методы. Любая технология, в том числе защиты информации, должна соответствовать набору общих определенных требований, которые можно рассматривать как принципы защиты информации. К ним обычно относят: – надежность защиты информации, реализация которого предполагает обеспечение требуемого уровня безопасности информации в условиях действия различных неблагоприятных внутренних и внешних факторов; – непрерывность и активность защиты информации, предусматривающие непрерывность соответствующего процесса во времени и пространстве, т.е. обеспечение защиты информации на всех технологических этапах ее обработки как в рабочее, так и во внерабочее время, а также активное выявление и прогнозирование потенциальных угроз безопасности информации; – скрытность защиты информации, обеспечивающая неопределенность исходных данных противника и тем самым существенно затрудняющая планирование и осуществление его акций; – комплексность защиты информации, соблюдение, которого в условиях отсутствия универсальных инструментов защиты информации, предполагает одновременное применение различных методов и средств для нейтрализации конкретной угрозы безопасности информации; – рациональность защиты информации, заключающаяся в минимизации используемых ресурсов, обоснованности создания определенного уровня трудностей и неудобств получения и работы с защищаемой информацией для легального пользователя; – соответствие нормативным требованиям обеспечения защиты информации и др. 2. Нормативное обеспечение и организация ИТЗИ В регулировании общественных отношений в информационной сфере одно из центральных мест занимает Федеральный закон «Об информации, информационных технологиях и о защите информации». Ряд правовых норм закона непосредственно связан с защитой информации. В соответствии с Федеральным законом Российской Федерации «государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации» (ст. 16, ч. 2). Регулирование отношений в сфере защиты информации одновременно с выдвижением каких-либо требований о защите и ответственности предполагает точное определение объектов и субъектов защиты. К сожалению, закон, в названии которого использовано словосочетание «о защите информации», прямо не определяет виды или категории информации, подлежащие защите в нашей стране. В соответствии с нормами закона защита осуществляется в отношении сведений, составляющих государственную тайну, согласно законодательству Российской Федерации о государственной тайне (ст. 9, ч. 3), в отношении конфиденциальной информации в случаях, установленных законодательством Российской Федерации (ст. 9, ч. 5; ст. 16, ч. 4), в отношении общедоступной информации (ст. 16, ч. 3). Представляется, что в нашей стране безусловной защите подлежит государственная тайна. Обеспечение конституционных прав личности на свободный поиск, получение и передачу информации, неприкосновенность частной жизни и жилища, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых телеграфных и иных сообщений предполагает необходимость защиты общедоступной и конфиденциальной информации, установленной законодательством страны. Согласно положениям Конституции Российской Федерации, объекты защиты могут быть определены следующим образом: в Российской Федерации защите подлежит любая информация, нарушение безопасности которой может нанести ущерб обладателю информации, ее пользователю или иному лицу. Субъектов защиты информации федеральный закон установил в ст. 6: обладатель информации при осуществлении своих прав обязан «принимать меры по защите информации». Однако в начале ст. 16 закон расширил их круг: «обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить ...» защиту информации. В соответствии с законом «обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам». Очевидно, в рамках информационной системы оператор становится неким «вторичным» обладателем информации на основании договора с «первичным» обладателем. Следовательно, «вторичный» обладатель обязан защищать информацию в рамках своей системы. Таким образом, указание второго субъекта защиты в норме закона представляется излишним. Действующее законодательство устанавливает ряд требований к обладателям информации и к их подразделениям защиты информации. Так, согласно ст. 27 Федерального закона «О государственной тайне», доступ предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны осуществ
دانلود کتاب Инженерно-техническая защита информации