THE BELL

Є ті, хто прочитали цю новину раніше вас.
Підпишіться, щоб отримувати статті свіжими.
Email
ім'я
Прізвище
Як ви хочете читати The Bell
без спаму

Методи захисту інформації в інформаційній сфері. Інформаційна безпека. Засоби забезпечення та контролю цілісності програмних і інформаційних ресурсів

Share
Share
Tweet
Like
Like

Н аучно-технічний прогрес перетворив інформацію в продукт, який можна купити, продати, обміняти. Нерідко вартість даних в кілька разів перевищує ціну всієї технічної системи, яка зберігає і обробляє інформацію.

Якість комерційної інформації забезпечує необхідний економічний ефект для компанії, тому важливо охороняти критично важливі дані від неправомірних дій. Це дозволить компанії успішно конкурувати на ринку.

Визначення інформаційної безпеки

Інформаційна безпека (ІБ) - це стан інформаційної системи, при якому вона найменш сприйнятлива до втручання і нанесення збитку з боку третіх осіб. Безпека даних також має на увазі управління ризиками, які пов'язані з розголошенням інформації або впливом на апаратні і програмні модулі захисту.

Безпека інформації, яка обробляється в організації, - це комплекс дій, спрямованих на вирішення проблеми захисту інформаційного середовища в рамках компанії. При цьому інформація не повинна бути обмежена у використанні і динамічний розвиток для уповноважених осіб.

Вимоги до системи захисту ІБ

Захист інформаційних ресурсів повинна бути:

1. Постійної. Зловмисник в будь-який момент може спробувати обійти модулі захисту даних, які його цікавлять.

2. Цільовий. Інформація повинна захищатися в рамках певної мети, яку ставить організація або власник даних.

3. Плановою. Всі методи захисту повинні відповідати державним стандартам, законам і підзаконним актам, які регулюють питання захисту конфіденційних даних.

4. Активною. Заходи для підтримки роботи та вдосконалення системи захисту повинні проводитися регулярно.

5. Комплексної. Використання тільки окремих модулів захисту або технічних засобів неприпустимо. Необхідно застосовувати всі види захисту в повній мірі, інакше розроблена система буде позбавлена \u200b\u200bсенсу і економічного підґрунтя.

6. Універсальної. Засоби захисту повинні бути обрані відповідно до існуючих в компанії каналами витоку.

7. Надійною. Всі прийоми захисту повинні надійно перекривати можливі шляхи до охоронюваної інформації з боку зловмисника, незалежно від форми представлення даних.

Зазначеним вимогам повинна відповідати і DLP-система. І найкраще оцінювати її можливості на практиці, а не в теорії. Випробувати «СёрчІнформ КІБ» можна безкоштовно протягом 30 днів.

Модель системи безпеки

Інформація вважається захищеною, якщо дотримуються три головних властивості.

перше - цілісність - передбачає забезпечення достовірності і коректного відображення охоронюваних даних, незалежно від того, які системи безпеки і прийоми захисту використовуються в компанії. Обробка даних не повинна порушуватися, а користувачі системи, які працюють з захищеними файлами, не повинні стикатися з несанкціонованою модифікацією або знищенням ресурсів, збоями в роботі програмного забезпечення.

Друге - конфіденційність - означає, що доступ до перегляду та редагування даних надається виключно авторизованим користувачам системи захисту.

третє - доступність - має на увазі, що всі авторизовані користувачі повинні мати доступ до конфіденційної інформації.

Досить порушити одне з властивостей захищеної інформації, щоб використання системи стало безглуздим.

Етапи створення і забезпечення системи захисту інформації

На практиці створення системи захисту інформації здійснюється в три етапи.

На першому етапі розробляється базова модель системи, яка буде функціонувати в компанії. Для цього необхідно проаналізувати всі види даних, які циркулюють в фірмі і які потрібно захистити від посягань з боку третіх осіб. Планом роботи на початковому етапі є чотири питання:

  1. Какіеісточнікі інформації слід захистити?
  2. Яка цельполученія доступу до інформації, що захищається?

Метою може бути ознайомлення, зміна, модифікація або знищення даних. Кожна дія є протиправним, якщо його виконує зловмисник. Ознайомлення не призводить до руйнування структури даних, а модифікація і знищення призводять до часткової або повної втрати інформації.

  1. Що являетсяісточніком конфіденційної інформації?

Джерела в даному випадку це люди і інформаційні ресурси: документи, флеш-носії, публікації, продукція, комп'ютерні системи, засоби забезпечення трудової діяльності.

  1. Способи отримання доступу, і як захиститися від несанкціонованих спроб впливу на систему?

Розрізняють такі способи отримання доступу:

  • Несанкціонований доступ - незаконне використання даних;
  • витік - неконтрольоване поширення інформації за межі корпоративної мережі. Витік виникає через недоліки, слабких сторін технічного каналу системи безпеки;
  • розголошення - наслідок впливу людського фактора. Санкціоновані користувачі можуть розголошувати інформацію, щоб передати конкурентам, або з необережності.

Другий етап включає розробку системи захисту. Це означає реалізувати всі вибрані способи, засоби і напрямки захисту даних.

Система будується відразу по декількох напрямках захисту, на декількох рівнях, які взаємодіють один з одним для забезпечення надійного контролю інформації.

правовий рівень забезпечує відповідність державним стандартам у сфері захисту інформації та включає авторське право, укази, патенти і посадові інструкції. Грамотно вибудувана система захисту не порушує права користувачів і норми обробки даних.

організаційний рівень дозволяє створити регламент роботи користувачів з конфіденційною інформацією, підібрати кадри, організувати роботу з документацією і фізичними носіями даних.

Регламент роботи користувачів з конфіденційною інформацією називають правилами розмежування доступу. Правила встановлюються керівництвом компанії спільно зі службою безпеки і постачальником, який впроваджує систему безпеки. Мета - створити умови доступу до інформаційних ресурсів для кожного користувача, наприклад, право на читання, редагування, передачу конфіденційного документа. Правила розмежування доступу розробляються на організаційному рівні і впроваджуються на етапі робіт з технічної складової системи.

технічний рівень умовно поділяють на фізичний, апаратний, програмний і математичний підрівні.

  • фізичний - створення перешкод навколо об'єкта, що захищається: охоронні системи, зашумлення, зміцнення архітектурних конструкцій;
  • апаратний - установка технічних засобів: спеціальні комп'ютери, системи контролю співробітників, захисту серверів і корпоративних мереж;
  • програмний - установка програмної оболонки системи захисту, впровадження правила розмежування доступу і тестування роботи;
  • математичний - впровадження криптографічних і стенографічних методів захисту даних для безпечної передачі по корпоративній або глобальної мережі.

Третій, завершальний етап - це підтримка працездатності системи, регулярний контроль і управління ризиками. Важливо, щоб модуль захисту відрізнявся гнучкістю і дозволяв адміністратору безпеки швидко удосконалювати систему при виявленні нових потенційних загроз.

Види конфіденційних даних

конфіденційні дані - це інформація, доступ до якої обмежується відповідно до законів держави і нормами, які компанії встановлюються самостійно.

  • особисті конфіденційні дані: персональні дані громадян, право на особисте життя, листування, приховування особистості. Винятком є \u200b\u200bтільки інформація, яка поширюється в ЗМІ.
  • службові конфіденційні дані: інформація, доступ до якої може обмежити тільки держава (органи державної влади).
  • судові конфіденційні дані: таємниця слідства і судочинства.
  • комерційні конфіденційні дані: всі види інформації, яка пов'язана з комерцією (прибутком) і доступ до якої обмежується законом або підприємством (секретні розробки, технології виробництва і т.д.).
  • професійні конфіденційні дані: дані, пов'язані з діяльністю громадян, наприклад, лікарська, нотаріальна або адвокатська таємниця, розголошення якої переслідується по закону.

Загрози конфіденційності інформаційних ресурсів

Загроза - це можливі або дійсні спроби заволодіти захищеними інформаційними ресурсами.

джерелами загрози збереження конфіденційних даних є компанії-конкуренти, зловмисники, органи управління. Мета будь-якої загрози полягає в тому, щоб вплинути на цілісність, повноту і доступність даних.

Загрози бувають внутрішніми або зовнішніми. зовнішні загрози являють собою спроби отримати доступ до даних ззовні і супроводжуються зломом серверів, мереж, акаунтів працівників і зчитуванням інформації з технічних каналів витоку (акустичне зчитування за допомогою жучків, камер, наведення на апаратні засоби, отримання виброакустической інформації з вікон і архітектурних конструкцій).

внутрішні загрози мають на увазі неправомірні дії персоналу, робочого відділу або управління фірми. В результаті користувач системи, який працює з конфіденційною інформацією, може видати інформацію стороннім. На практиці така загроза зустрічається частіше за інших. Працівник може роками «зливати» конкурентам секретні дані. Це легко реалізується, адже дії авторизованого користувача адміністратор безпеки не кваліфікує як загрозу.

Оскільки внутрішні ІБ-загрози пов'язані з людським фактором, відстежувати їх і управляти ними складніше. Попереджати інциденти можна за допомогою розподілу співробітників на групи ризику. З цим завданням впорається - автоматизований модуль для складання психологічних профілів.

Спроба несанкціонованого доступу може відбуватися декількома шляхами:

  • через співробітників, Які можуть передавати конфіденційні дані стороннім, забирати фізичні носії або отримувати доступ до охоронюваної інформації через друковані документи;
  • за допомогою програмного забезпечення зловмисники здійснюють атаки, які спрямовані на крадіжку пар «логін-пароль», перехоплення криптографічних ключів для розшифровки даних, несанкціонованого копіювання інформації.
  • за допомогою апаратних компонентів автоматизованої системи, наприклад, впровадження прослуховуючих пристроїв або застосування апаратних технологій зчитування інформації на відстані (поза контрольованою зоною).


Апаратна і програмна ІБ

Всі сучасні операційні системи оснащені вбудованими модулями захисту даних на програмному рівні. MAC OS, Windows, Linux, iOS відмінно справляються із завданням шифрування даних на диску і в процесі передачі на інші пристрої. Однак для створення ефективної роботи з конфіденційною інформацією важливо використовувати додаткові модулі захисту.

Призначені для користувача ОС не захищають дані в момент передачі по мережі, а системи захисту дозволяють контролювати інформаційні потоки, які циркулюють по корпоративної мережі, і зберігання даних на северах.

Апаратно-програмний модуль захисту прийнято розділяти на групи, кожна з яких виконує функцію захисту чутливої \u200b\u200bінформації:

  • рівень ідентифікації - це комплексна система розпізнавання користувачів, яка може використовувати стандартну або багаторівневу аутентифікацію, біометрії (розпізнавання особи, сканування відбитка пальця, запис голосу і інші прийоми).
  • рівень шифрування забезпечує обмін ключами між відправником і отримувачем і шифрує / дешифрує всі дані системи.

Правовий захист інформації

Правову основу інформаційної безпеки забезпечує держава. Захист інформації регулюється міжнародними конвенціями, Конституцією, федеральними законами і підзаконними актами.

Держава також визначать міру відповідальності за порушення положень законодавства в сфері ІБ. Наприклад, глава 28 «Злочини у сфері комп'ютерної інформації» в Кримінальному кодексі Російської Федерації, включає три статті:

  • Стаття 272 «Неправомірне доступ до комп'ютерної інформації»;
  • Стаття 273 «Створення, використання і поширення шкідливих комп'ютерних програм»;
  • Стаття 274 «Порушення правил експлуатації засобів зберігання, обробки або передачі комп'ютерної інформації та інформаційно-телекомунікаційних мереж».

Програмно-апаратні засоби захисту від несанкціонованого доступу включають в себе заходи ідентифікації, аутентифікації і управління доступом в інформаційну систему.

Ідентифікація - присвоєння суб'єктам доступу унікальних ідентифікаторів.

Сюди відносять радіочастотні мітки, біометричні технології, магнітні карти, універсальні магнітні ключі, логіни для входу в систему і т.п.

Аутентифікація - перевірка приналежності суб'єкта доступу пред'явленим ідентифікатором і підтвердження його автентичності.

До процедур аутентифікації відносяться паролі, pin-коди, смарт-карти, usb-ключі, цифрові підписи, сеансові ключі і т.п. Процедурна частина коштів ідентифікації і аутентифікації взаємопов'язана і, фактично, являє базову основу всіх програмно-апаратних засобів забезпечення інформаційної безпеки, так як всі інші служби розраховані на обслуговування конкретних суб'єктів, коректно розпізнаних інформаційною системою. У загальному вигляді ідентифікація дозволяє суб'єкту позначити себе для інформаційної системи, а за допомогою аутентифікації інформаційна система підтверджує, що суб'єкт дійсно той, за кого він видає. На основі проходження даної операції проводиться операція з надання доступу в інформаційну систему. Процедури управління доступом дозволяють авторизуватися суб'єктам виконувати дозволені регламентом дії, а інформаційній системі контролювати ці дії на коректність і правильність отриманого результату. Розмежування доступу дозволяє системі закривати від користувачів дані, до яких вони не мають допуску.

Наступним засобом програмно-апаратного захисту виступає протоколювання і аудит інформації.

Протоколювання включає в себе збір, накопичення і збереження інформації про події, діях, результатах, що мали місце під час роботи інформаційної системи, окремих користувачів, процесів і всіх програмно-апаратних засобів, що входять до складу інформаційної системи підприємства.

Оскільки у кожного компонента інформаційної системи існує заздалегідь заданий набір можливих подій відповідно до запрограмованими класифікаторами, то події, дії і результати поділяються на:

  • зовнішні, викликані діями інших компонентів,
  • внутрішні, викликані діями самого компонента,
  • клієнтські, викликані діями користувачів і адміністраторів.
Аудит інформації полягає у проведенні оперативного аналізу в реальному часі або в заданий період.

За результатами аналізу або формується звіт про які мали місце події, або ініціюється автоматична реакція на позаштатну ситуацію.

Реалізація протоколювання і аудиту вирішує наступні завдання:

  • забезпечення підзвітності користувачів і адміністраторів;
  • забезпечення можливості реконструкції послідовності подій;
  • виявлення спроб порушень інформаційної безпеки;
  • надання інформації для виявлення і аналізу проблем.

Найчастіше захист інформації неможлива без застосування криптографічних засобів. Вони використовуються для забезпечення роботи сервісів шифрування, контролю цілісності і аутентифікації, коли кошти аутентифікації зберігаються у користувача в зашифрованому вигляді. Існує два основні методи шифрування: симетричний і асиметричний.

Контроль цілісності дозволяє встановити справжність і ідентичність об'єкта, в якості якого виступає масив даних, окремі порції даних, джерело даних, а також забезпечити неможливість відзначити вчинене в системі дію з масивом інформації. Основу реалізації контролю цілісності складають технології перетворення даних з використанням шифрування і цифрові сертифікати.

Іншим важливим аспектом є використання екранування, технології, яка дозволяє, розмежовуючи доступ суб'єктів до інформаційних ресурсів, контролювати всі інформаційні потоки між інформаційною системою підприємства і зовнішніми об'єктами, масивами даних, суб'єктами і контрсуб'екта. Контроль потоків полягає в їх фільтрації і, в разі необхідності, перетворення інформації, що передається.

Завдання екранування - захист внутрішньої інформації від потенційно ворожих зовнішніх чинників і суб'єктів. Основною формою реалізації екранування виступають міжмережеві екрани або файрволли, різних типів і архітектури.

Оскільки одним з ознак інформаційної безпеки є доступність інформаційних ресурсів, то забезпечення високого рівня доступності є важливим напрямок в реалізації програмно-апаратних заходів. Зокрема, розділяється два напрямки: забезпечення відмовостійкості, тобто нейтралізації відмов системи, здатність працювати при виникненні помилок, і забезпечення безпечного і швидкого відновлення після відмов, тобто обслужіваемость системи.

Основна вимога до інформаційних систем полягає в тому, щоб вони працювали завжди із заданою ефективністю, мінімальним часом недоступності і швидкістю реагування.

Відповідно до цього, доступність інформаційних ресурсів забезпечується за рахунок:

  • застосування структурної архітектури, яка означає, що окремі модулі можуть бути при необхідності відключені або швидко замінені без шкоди іншим елементам інформаційної системи;
  • забезпечення відмовостійкості за рахунок: використання автономних елементів підтримуючої інфраструктури, внесення надмірних потужностей в конфігурацію програмно-апаратних засобів, резервування апаратних засобів, тиражування інформаційних ресурсів усередині системи, резервного копіювання даних і т.п.
  • забезпечення обслужіваемості за рахунок зниження термінів діагностування та усунення відмов і їх наслідків.

Іншим типом засобів забезпечення інформаційної безпеки виступають захищені комунікаційні канали.

Функціонування інформаційних систем неминуче пов'язане з передачею даних, тому для підприємств необхідно також забезпечити захист переданих інформаційних ресурсів, використовуючи захищені комунікаційні канали. Можливість несанкціонованого доступу до даних при передачі трафіку по відкритих каналах комунікації зумовлена \u200b\u200bїх загальнодоступністю. Оскільки "комунікації, протягом всього шляху фізично захистити неможливо, тому краще спочатку виходити з припущення про їх уразливості і відповідно забезпечувати захист". Для цього використовуються технології тунелювання, суть якого полягає в тому, щоб инкапсулировать дані, тобто упакувати або обернути передані пакети даних, включаючи всі службові атрибути, у власні конверти. Відповідно, тунель є захищеним з'єднанням через відкриті канали комунікацій, по якому передаються криптографически захищені пакети даних. Туннелирование застосовується для забезпечення конфіденційності трафіку за рахунок приховування службової інформації та забезпечення конфіденційності і цілісності переданих даних при використанні разом з криптографічними елементами інформаційної системи. Комбінування тунелювання і шифрування дозволяє реалізувати віртуальну приватну мережу. При цьому кінцевими точками тунелів, що реалізують віртуальні приватні мережі, виступають міжмережеві екрани, які обслуговують підключення організацій до зовнішніх мереж.

Міжмережеві екрани як точки реалізації сервісу віртуальних приватних мереж

Таким чином, туннелирование і шифрування виступають додатковими перетвореннями, виконуваними в процесі фільтрації мережевого трафіку поряд з трансляцією адрес. Кінцями тунелів, крім корпоративних міжмережевих екранів, можуть бути персональні і мобільні комп'ютери співробітників, точніше, їх персональні міжмережеві екрани і файрволли. Завдяки такому підходу забезпечується функціонування захищених комунікаційних каналів.

Процедури забезпечення інформаційної безпеки

Процедури забезпечення інформаційної безпеки прийнято розмежовувати на адміністративний та організаційний рівень.

  • До адміністративних процедур відносяться дії загального характеру, що починаються керівництвом організації, для регламентації всіх робіт, дій, операцій в галузі забезпечення і підтримки інформаційної безпеки, що реалізуються за рахунок виділення необхідних ресурсів і контролю результативності вжитих заходів.
  • Організаційний рівень являє собою процедури по забезпеченню інформаційної безпеки, включаючи управління персоналом, фізичний захист, підтримку працездатності програмно-апаратної інфраструктури, оперативне усунення порушень режиму безпеки і планування відновлювальних робіт.

З іншого боку, розмежування адміністративних та організаційних процедур безглуздо, оскільки процедури одного рівня не можуть існувати окремо від іншого рівня, порушуючи тим самим взаємозв'язок захисту фізичного рівня, персональної і організаційної захисту в концепції інформаційної безпеки. На практиці, забезпечуючи інформаційну безпеку організації, які не нехтують адміністративними або організаційними процедурами, тому логічніше розглядати їх як комплексний підхід, оскільки обидва рівня зачіпають фізичний, організаційний і персональний рівні захисту інформації.

Основою комплексних процедур забезпечення інформаційної безпеки виступає політика безпеки.

Політика інформаційної безпеки

Політика інформаційної безпеки в організації - це сукупність документованих рішень, прийнятих керівництвом організації і спрямованих на захист інформації та асоційованих з нею ресурсів.

В організаційно-управлінському плані політика інформаційної безпеки може бути єдиним документом або оформлена у вигляді декількох самостійних документів або наказів, але в будь-якому випадку повинна охоплювати наступні аспекти захисту інформаційної системи організації:

  • захист об'єктів інформаційної системи, інформаційних ресурсів і прямих операцій з ними;
  • захист всіх операцій, пов'язаних з обробкою інформації в системі, включаючи програмні засоби обробки;
  • захист комунікаційних каналів, включаючи провідні, радіоканали, інфрачервоні, апаратні і т.д .;
  • захист апаратного комплексу від побічних електромагнітних випромінювань;
  • управління системою захисту, включаючи обслуговування, модернізацію і адміністративні дії.

Кожен з аспектів повинен бути детально описаний і документально закріплений у внутрішніх документах організації. Внутрішні документи охоплюють три рівні процесу захисту: верхній, середній і нижній.

Документи верхнього рівня політики інформаційної безпеки відображають основний підхід організації до захисту власної інформації та відповідність державним та / або міжнародним стандартам. На практиці в організації існує тільки один документ верхнього рівня, Озаглавлювати "Концепція інформаційної безпеки", "Регламент інформаційної безпеки" і т.п. Формально дані документи не уявляють конфіденційної цінності, їх поширення не обмежується, але можуть випускати в редакції для внутрішнього використання і відкритої публікації.

Документи середнього рівня є суворо конфіденційними і стосуються конкретних аспектів інформаційної безпеки організації: використовуваних засобів захисту інформації, безпеки баз даних, комунікацій, криптографічних засобів та інших інформаційних і економічних процесів організації. Документальне оформлення реалізується у вигляді внутрішніх технічних та організаційних стандартів.

Документи нижнього рівня розділені на два типи: регламенти робіт та інструкції по експлуатації. Регламенти робіт є суворо конфіденційними і призначені тільки осіб, за службовим обов'язком здійснюють роботу з адміністрування окремих сервісів інформаційної безпеки. Інструкції з експлуатації можуть бути, як конфіденційними, так і публічними; вони призначені для персоналу організації і описують порядок роботи з окремими елементами інформаційної системи організації.

Світовий досвід свідчить, що політика інформаційної безпеки завжди документально оформляється тільки у великих компаніях, що мають розвинену інформаційну систему, що пред'являють підвищені вимоги до інформаційної безпеки, середні підприємства найчастіше мають лише частково документально оформлену політику інформаційної безпеки, малі організації в переважній більшості взагалі не дбають про комісій із соціального страхування політики безпеки. Незалежно від формату документального оформлення цілісний або розподілений, базовим аспектом виступає режим безпеки.

Існує два різних підходи, які закладаються в основу політики інформаційної безпеки:

  1. "Дозволено все, що не заборонено".
  2. "Заборонено все, що не дозволено".

Фундаментальним дефектом першого підходу полягає в тому, що на практиці передбачити всі небезпечні випадки і заборонити їх неможливо. Поза всякими сумнівами, слід застосовувати тільки другий підхід.

Організаційною рівень інформаційної безпеки

З точки зору захисту інформації, організаційні процедури забезпечення інформаційної безпеки представляються як "регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, що виключає або суттєво ускладнює неправомірне заволодіння конфіденційною інформацією і прояв внутрішніх і зовнішніх загроз".

Заходи з управління персоналом, спрямовані на організацію роботи з кадрами в цілях забезпечення інформаційної безпеки, включають поділ обов'язків і мінімізацію привілеїв. Розподіл обов'язків наказує такий розподіл компетенцій та зон відповідальності, при якому одна людина не в змозі порушити критично важливий для організації процес. Це знижує ймовірність помилок і зловживань. Мінімізація привілеїв наказує наділення користувачів тільки тим рівнем доступу, який відповідає необхідності виконання ними службових обов'язків. Це зменшує шкоду від випадкових або навмисних некоректних дій.

Фізичний захист означає розробку і прийняття заходів для прямого захисту будівель, в яких розміщуються інформаційні ресурси організації, прилеглих територій, елементів інфраструктури, обчислювальної техніки, носіїв даних і апаратних каналів комунікацій. Сюди відносять фізичне управління доступом, протипожежні заходи, захист підтримуючої інфраструктури, захист від перехоплення даних і захист мобільних систем.

Підтримка працездатності програмно-апаратної інфраструктури полягає в попередженні стохастичних помилок, які загрожують пошкодженням апаратного комплексу, порушенням роботи програм і втратою даних. Основні напрямки в цьому аспекті полягають в забезпеченні підтримки користувачів і програмного забезпечення, конфігураційного управління, резервного копіювання, управління носіями інформації, документування та профілактичні роботи.

Оперативне усунення порушень режиму безпеки переслідує три головні цілі:

  1. Локалізація інциденту і зменшення наноситься шкоди;
  2. Виявлення порушника;
  3. Попередження повторних порушень.

Нарешті, планування відновлювальних робіт дозволяє підготуватися до аварій, зменшити шкоду від них і зберегти здатність до функціонування хоча б у мінімальному обсязі.

Використання програмно-апаратних засобів і захищених комунікаційних каналів має бути реалізовано в організації на основі комплексного підходу до розробки і затвердження всіх адміністративно-організаційних регламентних процедур забезпечення інформаційної безпеки. В іншому випадку, прийняття окремих заходів не гарантує захисту інформації, а найчастіше, навпаки, провокує витоку конфіденційної інформації, втрати критично важливих даних, пошкодження апаратної інфраструктури та порушення роботи програмних компонентів інформаційної системи організації.

Методи забезпечення інформаційної безпеки

Для сучасних підприємств характерна розподілена інформаційна система, яка дозволяє враховувати в роботі розподілені офіси та склади компанії, фінансовий облік і управлінський контроль, інформацію з клієнтської бази, з урахуванням вибірки за показниками і так далі. Таким чином, масив даних досить значний, причому в переважній більшості це інформація, що має пріоритетне значення для компанії в комерційному і економічному плані. Фактично, забезпечення конфіденційності даних, що мають комерційну цінність, становить одну з основних завдань забезпечення інформаційної безпеки в компанії.

Забезпечення інформаційної безпеки на підприємстві має бути регламентовано наступними документами:

  1. Регламент забезпечення інформаційної безпеки. Включає формулювання цілей і завдань забезпечення інформаційної безпеки, перелік внутрішніх регламентів по засобах захисту інформації та положення про адміністрування розподіленої інформаційної системи компанії. Доступ до регламенту обмежений керівництвом організації та керівником відділу автоматизації.
  2. Регламенти технічного забезпечення захисту інформації. Документи є конфіденційними, доступ обмежений співробітниками відділу автоматизації і вищим керівництвом.
  3. Регламент адміністрування розподіленої системи захисту інформації. Доступ до регламенту обмежений співробітниками відділу автоматизації, що відповідають за адміністрування інформаційної системи, і вищим керівництвом.

При цьому даними документами не слід обмежуватися, а опрацювати також нижні рівні. В іншому випадку, якщо у підприємства інших документів, що стосуються забезпечення інформаційної безпеки, не буде, то це буде свідчити про недостатній мірі адміністративного забезпечення захисту інформації, оскільки відсутні документи нижнього рівня, зокрема інструкції з експлуатації окремих елементів інформаційної системи.

Обов'язкові організаційні процедури включають в себе:

  • основні заходи щодо диференціації персоналу за рівнем доступу до інформаційних ресурсів,
  • фізичний захист офісів компанії від прямого проникнення і загроз знищення, втрати або перехоплення даних,
  • підтримання працездатності програмно-апаратної інфраструктури організовано у вигляді автоматизованого резервного копіювання, віддаленої перевірки носіїв інформації, підтримка користувачів і програмного забезпечення здійснюється за запитом.

Сюди також слід віднести регламентовані заходи з реагування та усунення випадків порушень інформаційної безпеки.

На практиці часто спостерігається, що підприємства недостатньо уважно ставляться до цього питання. Всі дії в даному напрямку здійснюються виключно в робочому порядку, що збільшує час усунення випадків порушень і не гарантує попередження повторних порушень інформаційної безпеки. Крім того, повністю відсутня практика планування дій по усуненню наслідків після аварій, витоків інформації, втрати даних і критичних ситуацій. Все це істотно погіршує інформаційну безпеку підприємства.

На рівні програмно-апаратних засобів повинна бути реалізована трирівнева система забезпечення інформаційної безпеки.

Мінімальні критерії забезпечення інформаційної безпеки:

1. Модуль управління доступом:

  • реалізований закритий вхід в інформаційну систему, неможливо зайти в систему поза верифікованих робочих місць;
  • для співробітників реалізований доступ з обмеженим функціоналом з мобільних персональних комп'ютерів;
  • авторизація здійснюється за який формується адміністраторами логінів і паролів.

2. Модуль шифрування і контролю цілісності:

  • використовується асиметричний метод шифрування даних, що передаються;
  • масиви критично важливих даних зберігаються в базах даних в зашифрованому вигляді, що не дозволяє отримати до них доступ навіть за умови злому інформаційної системи компанії;
  • контроль цілісності забезпечується простий цифровим підписом всіх інформаційних ресурсів, що зберігаються, обробляються або передаються всередині інформаційної системи.

3. Модуль екранування:

  • реалізована система фільтрів в міжмережевих екранах, що дозволяє контролювати всі інформаційні потоки по каналах комунікації;
  • зовнішні з'єднання з глобальними інформаційними ресурсами і публічними каналами зв'язку можуть здійснюватися тільки через обмежений набір верифікованих робочих станцій, що мають обмежене з'єднання з корпоративною інформаційною системою;
  • захищений доступ з робочих місць співробітників для виконання ними службових обов'язків реалізований через дворівневу систему проксі-серверів.

Нарешті, за допомогою технологій тунелювання на підприємстві повинна бути реалізована віртуальна приватна мережа відповідно до типової моделлю побудови для забезпечення захищених комунікаційних каналів між різними відділеннями компанії, партнерами і клієнтами компанії.

Незважаючи на те, що комунікації безпосередньо здійснюються по мережах з потенційно низьким рівнем довіри, технології тунелювання завдяки використанню засобів криптографії дозволяють забезпечити надійний захист всіх переданих даних.

висновки

Основна мета всіх вжитих заходів в області забезпечення інформаційної безпеки полягає в захисті інтересів підприємства, так чи інакше пов'язаних з інформаційними ресурсами, які в неї є. Хоча інтереси підприємств не обмежені конкретною областю, всі вони концентруються навколо доступності, цілісності і конфіденційності інформації.

Проблема забезпечення інформаційної безпеки пояснюється двома основними причинами.

  1. Накопичені підприємством інформаційні ресурси представляють цінність.
  2. Критична залежність від інформаційних технологій обумовлює їх широке застосування.

З огляду на широке різноманіття існуючих загроз для інформаційної безпеки, таких як руйнування важливої \u200b\u200bінформації, несанкціоноване використання конфіденційних даних, перерви в роботі підприємства внаслідок порушень роботи інформаційної системи, можна зробити висновок, що все це об'єктивно призводить до великих матеріальних втрат.

У забезпеченні інформаційної безпеки значну роль відіграють програмно-апаратні засоби, спрямовані на контроль комп'ютерних сутностей, тобто обладнання, програмних елементів, даних, утворюючи останній і найбільш пріоритетний кордон інформаційної безпеки. Передача даних також повинна бути безпечною в контексті збереження їх конфіденційності, цілісності та доступності. Тому в сучасних умовах для забезпечення захищених комунікаційних каналів застосовуються технології тунелювання в комбінації з криптографічними засобами.

література

  1. Галатенко В.А. Стандарти інформаційної безпеки. - М .: Інтернет-університет інформаційних технологій, 2006.
  2. Партика Т.Л., Попов І.І. Інформаційна безпека. - М .: Форум, 2012.

З оздатель кібернетики Норберт Вінер вважав, що інформація має унікальні характеристики і її не можна віднести ні до енергії, ні до матерії. Особливий статус інформації як явища породив безліч визначень.

У словнику стандарту ISO / IEC 2382 до: 2015 «Інформаційні технології» наводиться таке трактування:

Інформація (в області обробки інформації) - будь-які дані, представлені в електронній формі, написані на папері, висловлені на нараді або знаходяться на будь-якому іншому носії, які використовуються фінансовою установою для прийняття рішень, переміщення грошових коштів, встановлення ставок, надання позичок, обробки операцій і т.п., включаючи компоненти програмного забезпечення системи обробки.

Для розробки концепції забезпечення інформаційної безпеки (ІБ) під інформацією розуміють відомості, які доступні для збору, зберігання, обробки (редагування, перетворення), використання і передачі різними способами, в тому числі в комп'ютерних мережах та інших інформаційних системах.

Такі відомості мають високу цінність і можуть стати об'єктами посягань з боку третіх осіб. Прагнення захистити інформацію від загроз лежить в основі створення систем інформаційної безпеки.

Правова основа

У грудні 2017 року Росії прийнята Доктрини інформаційної безпеки. У документ ІБ визначена як стан захищеності національних інтересів в інформаційній сфері. Під національними інтересами в даному випадку розуміється сукупність інтересів суспільства, особистості і держави, кожна група інтересів необхідна для стабільного функціонування соціуму.

Доктрина - концептуальний документ. Правовідносини, пов'язані із забезпеченням інформаційної безпеки, регулюються федеральними законами «Про державну таємницю», «Про інформацію», «Про захист персональних даних» та іншими. На базі основних нормативних актів розробляються постанови уряду і відомчі нормативні акти, присвячені окремим питанням захисту інформації.

Визначення інформаційної безпеки

Перш ніж розробляти стратегію інформаційної безпеки, необхідно прийняти базове визначення самого поняття, яке дозволить застосовувати певний набір способів і методів захисту.

Практики галузі пропонують розуміти під інформаційною безпекою стабільний стан захищеності інформації, її носіїв та інфраструктури, яка забезпечує цілісність і стійкість процесів, пов'язаних з інформацією, до навмисним або ненавмисним впливів природного і штучного характеру. Впливу класифікуються у вигляді погроз ІБ, які можуть завдати шкоди суб'єктам інформаційних відносин.

Таким чином, під захистом інформації буде розумітися комплекс правових, адміністративних, організаційних і технічних заходів, спрямованих на запобігання реальних або передбачуваних ІБ-загроз, а також на усунення наслідків інцидентів. Безперервність процесу захисту інформації повинна гарантувати боротьбу з погрозами на всіх етапах інформаційного циклу: в процесі збору, зберігання, обробки, використання і передачі інформації.

Інформаційна безпека в цьому розумінні стає однією з характеристик працездатності системи. У кожен момент часу система повинна володіти вимірюваним рівнем захищеності, і забезпечення безпеки системи має бути безперервним процесом, які здійснюється на всіх часових відрізках в період життя системи.

В інфографіку використані дані власного «СёрчІнформ».

В теорії інформаційної безпеки під суб'єктами ІБ розуміють власників і користувачів інформації, причому користувачів не тільки на постійній основі (співробітники), але і користувачів, які звертаються до баз даних в одиничних випадках, наприклад, державні органи, що запитують інформацію. У ряді випадків, наприклад, в банківських ІБ-стандартах до власників інформації зараховують акціонерів - юридичних осіб, яким належать певні дані.

Підтримуюча інфраструктура, з точки зору основ ІБ, включає комп'ютери, мережі, телекомунікаційне обладнання, приміщення, системи життєзабезпечення, персонал. При аналізі безпеки необхідно вивчити всі елементи систем, особливу увагу приділивши персоналу як носія більшості внутрішніх загроз.

Для управління інформаційною безпекою та оцінки збитку використовують характеристику прийнятності, таким чином, збиток визначається як прийнятний або неприйнятний. Кожній компанії корисно затвердити власні критерії допустимості шкоди в грошовій формі або, наприклад, у вигляді допустимого шкоди репутації. У державних установах можуть бути прийняті інші характеристики, наприклад, вплив на процес управління або відображення ступеня шкоди для життя і здоров'я громадян. Критерії суттєвості, важливості і цінності інформації можуть змінюватися в ході життєвого циклу інформаційного масиву, тому повинні своєчасно переглядатися.

Інформаційною загрозою у вузькому сенсі визнається об'єктивна можливість впливати на об'єкт захисту, яке може привести до витоку, розкрадання, розголошення або поширенню інформації. У більш широкому розумінні до ІБ-загрозам будуть ставитися спрямовані впливу інформаційного характеру, мета яких - нанести шкоди державі, організації, особистості. До таких загроз відноситься, наприклад, дифамація, навмисне введення в оману, некоректна реклама.

Три основні питання ІБ-концепції для будь-якої організації

    Що захищати?

    Які види загроз превалюють: зовнішні або внутрішні?

    Як захищати, якими методами і засобами?

система ІБ

Система інформаційної безпеки для компанії - юридичної особи включає три групи основних понять: цілісність, доступність і конфіденційність. Під кожним ховаються концепції з безліччю характеристик.

під цілісністю розуміється стійкість баз даних, інших інформаційних масивів до випадкового або навмисного руйнування, внесення несанкціонованих змін. Поняття цілісності може розглядатися як:

  • статичне, Що виражається в незмінності, автентичності інформаційних об'єктів тих об'єктів, які створювалися за конкретним технічним завданням і містять обсяги інформації, необхідні користувачам для основної діяльності, в потрібній комплектації і послідовності;
  • динамічне, Що має на увазі коректне виконання складних дій або транзакцій, що не заподіює шкоди схоронності інформації.

Для контролю динамічної цілісності використовують спеціальні технічні засоби, які аналізують потік інформації, наприклад, фінансові, і виявляють випадки крадіжки, дублювання, перенаправлення, зміни порядку повідомлень. Цілісність як основну характеристику потрібно тоді, коли на основі надходить або наявною інформацією приймаються рішення про вчинення дій. Порушення порядку розташування команд або послідовності дій може завдати великої шкоди в разі опису технологічних процесів, програмних кодів і в інших аналогічних ситуаціях.

доступність - це властивість, яке дозволяє здійснювати доступ авторизованих суб'єктів до даних, які представляють для них інтерес, або обмінюватися цими даними. Ключова вимога легітимації або авторизації суб'єктів дає можливість створювати різні рівні доступу. Відмова системи надавати інформацію стає проблемою для будь-якої організації або груп користувачів. Як приклад можна привести недоступність сайтів держпослуг в разі системного збою, що позбавляє безліч користувачів можливості отримати необхідні послуги або відомості.

Конфіденційність означає властивість інформації бути доступною тим користувачам: суб'єктам і процесам, яким допуск дозволений спочатку. Більшість компаній і організацій сприймають конфіденційність як ключовий елемент ІБ, однак на практиці реалізувати її в повній мірі важко. Не всі дані про існуючі каналах витоку відомостей доступні авторам концепцій ІБ, і багато технічні засоби захисту, в тому числі криптографічні, не можна придбати вільно, в ряді випадків оборот обмежений.

Рівні властивості ІБ мають різну цінність для користувачів, звідси - дві крайні категорії при розробці концепцій захисту даних. Для компаній або організацій, пов'язаних з державною таємницею, ключовим параметром стане конфіденційність, для публічних сервісів або освітніх установ найбільш важливий параметр - доступність.

Дайджест інформаційної безпеки

Об'єкти захисту в концепціях ІБ

Різниця в суб'єктах породжує відмінності в об'єктах захисту. Основні групи об'єктів захисту:

  • інформаційні ресурси всіх видів (під ресурсом розуміється матеріальний об'єкт: жорсткий диск, інший носій, документ з даними і реквізитами, які допомагають його ідентифікувати і віднести до певної групи суб'єктів);
  • права громадян, організацій і держави на доступ до інформації, можливість отримати її в рамках закону; доступ може бути обмежений тільки нормативно-правовими актами, є неприпустимою організація будь-яких бар'єрів, що порушують права людини;
  • система створення, використання і поширення даних (системи і технології, архіви, бібліотеки, нормативні документи);
  • система формування суспільної свідомості (ЗМІ, інтернет-ресурси, соціальні інститути, освітні установи).

Кожен об'єкт передбачає особливу систему заходів захисту від загроз ІБ і громадському порядку. Забезпечення інформаційної безпеки в кожному випадку має базуватися на системному підході, що враховує специфіку об'єкта.

Категорії і носії інформації

Російська правова система, правозастосовна практика і сформовані суспільні відносини класифікують інформацію за критеріями доступності. Це дозволяє уточнити істотні параметри, необхідні для забезпечення інформаційної безпеки:

  • інформація, доступ до якої обмежено на підставі вимог законів (державна таємниця, комерційна таємниця, персональні дані);
  • відомості у відкритому доступі;
  • загальнодоступна інформація, яка надається на певних умовах: платна інформація або дані, для користування якими потрібно оформити допуск, наприклад, бібліотечний квиток;
  • небезпечна, шкідлива, неправдива і інші типи інформації, оборот і поширення якої обмежені або вимогами законів, або корпоративними стандартами.

Інформація з першої групи має два режими охорони. Державна таємниця, Відповідно до закону, це захищені державою відомості, вільне розповсюдження яких може завдати шкоди безпеці країни. Це дані в області військової, зовнішньополітичної, розвідувальної, контррозвідувальної та економічної діяльності держави. Власник цієї групи даних - безпосередньо держава. Органи, уповноважені вживати заходів щодо захисту державної таємниці, - Міністерство оборони, Федеральна служба безпеки (ФСБ), Служба зовнішньої розвідки, Федеральної служби з технічного та експортного контролю (ФСТЕК).

Конфіденційна інформація - більш багатоплановий об'єкт регулювання. Перелік відомостей, які можуть становити конфіденційну інформацію, міститься в указі президента №188 «Про затвердження переліку відомостей конфіденційного характеру». Це персональні дані; таємниця слідства і судочинства; службова таємниця; професійна таємниця (лікарська, нотаріальна, адвокатська); комерційна таємниця; відомості про винаходи і про корисні моделі; відомості, що містяться в особових справах засуджених, а також відомості про примусове виконання судових актів.

Персональні дані існує у відкритому і в конфіденційному режимі. Відкрита і доступна всім користувачам частина персональних даних включає ім'я, прізвище, по батькові. Згідно ФЗ-152 «Про персональних даних», суб'єкти персональних даних мають право:

  • на інформаційне самовизначення;
  • на доступ до особистих персональних даних та внесення в них змін;
  • на блокування персональних даних і доступу до них;
  • на оскарження неправомірних дій третіх осіб, здійснених відносно персональних даних;
  • на відшкодування заподіяної шкоди.

Право на закріплено в положеннях про державні органи, федеральними законами, ліцензіями на роботу з персональними даними, які видає Роскомнадзор або ФСТЕК. Компанії, які професійно працюють з персональними даними широкого кола осіб, наприклад, оператори зв'язку, повинні увійти до реєстру, його веде Роскомнадзор.

Окремим об'єктом в теорії і практиці ІБ виступають носії інформації, доступ до яких буває відкритим і закритим. При розробці концепції ІБ способи захисту вибираються в залежності від типу носія. Основні носії інформації:

  • друковані та електронні засоби масової інформації, соціальні мережі, інші ресурси в інтернеті;
  • співробітники організації, у яких є доступ до інформації на підставі своїх дружніх, сімейних, професійних зв'язків;
  • засоби зв'язку, які передають або зберігають інформацію: телефони, АТС, інше телекомунікаційне обладнання;
  • документи всіх типів: особисті, службові, державні;
  • програмне забезпечення як самостійний інформаційний об'єкт, особливо якщо його версія допрацьовувалася спеціально для конкретної компанії;
  • електронні носії інформації, які обробляють дані в автоматичному порядку.

Для цілей розробки концепцій ІБ-захисту засоби захисту інформації прийнято ділити на нормативні (неформальні) і технічні (формальні).

Неформальні засоби захисту - це документи, правила, заходи, формальні - це спеціальні технічні засоби і програмне забезпечення. Розмежування допомагає розподілити зони відповідальності при створенні ІБ-систем: при загальному керівництві захистом адміністративний персонал реалізує нормативні способи, а IT-фахівці, відповідно, технічні.

Основи інформаційної безпеки припускають розмежування повноважень не тільки в частині використання інформації, але і в частині роботи з її охороною. Подібне розмежування повноважень вимагає і декількох рівнів контролю.


Формальні засоби захисту

Широкий діапазон технічних засобів ІБ-захисту включає:

Фізичні засоби захисту. Це механічні, електричні, електронні механізми, які функціонують незалежно від інформаційних систем і створюють перешкоди для доступу до них. Замки, в тому числі електронні, екрани, жалюзі покликані створювати перешкоди для контакту дестабілізуючих факторів з системами. Група доповнюється засобами систем безпеки, наприклад, відеокамерами, відеореєстраторами, датчиками, що виявляють рух або перевищення ступеня електромагнітного випромінювання в зоні розташування технічних засобів зняття інформації, закладних пристроїв.

Апаратні засоби захисту. Це електричні, електронні, оптичні, лазерні та інші пристрої, які вбудовуються в інформаційні та телекомунікаційні системи. Перед впровадженням апаратних засобів в інформаційні системи необхідно упевнитися в сумісності.

програмні засоби - це прості і системні, комплексні програми, призначені для вирішення приватних і комплексних завдань, пов'язаних із забезпеченням ІБ. Прикладом комплексних рішень служать і: перші служать для запобігання витоку, переформатування інформації та перенаправлення інформаційних потоків, другі - забезпечують захист від інцидентів в сфері інформаційної безпеки. Програмні засоби вимогливі до потужності апаратних пристроїв, і при установці необхідно передбачити додаткові резерви.

можна безкоштовно протестувати протягом 30 днів. Перед установкою системи інженери «СёрчІнформ» проведуть технічний аудит в компанії замовника.

До специфічним засобам інформаційної безпеки відносяться різні криптографічні алгоритми, що дозволяють шифрувати інформацію на диску і перенаправляє по зовнішніх каналах зв'язку. Перетворення інформації може відбуватися за допомогою програмних і апаратних методів, які працюють в корпоративних інформаційних системах.

Всі кошти, що гарантують безпеку інформації, повинні використовуватися в сукупності, після попередньої оцінки цінності інформації і порівняння її з вартістю ресурсів, витрачених на охорону. Тому пропозиції щодо використання коштів повинні формулюватися вже на етапі розробки систем, а твердження повинно проводитися на тому рівні управління, який відповідає за затвердження бюджетів.

З метою забезпечення безпеки необхідно проводити моніторинг всіх сучасних розробок, програмних і апаратних засобів захисту, погроз і своєчасно вносити зміни до власних системи захисту від несанкціонованого доступу. Тільки адекватність і оперативність реакції на загрози допоможе домогтися високого рівня конфіденційності в роботі компанії.

У 2018 році вийшов перший реліз. Ця унікальна програма становить психологічні портрети співробітників і розподіляє їх за групами ризику. Такий підхід до забезпечення інформаційної безпеки дозволяє передбачати можливі інциденти і заздалегідь вжити заходів.

Неформальні засоби захисту

Неформальні засоби захисту групуються на нормативні, адміністративні та морально-етичні. На першому рівні захисту знаходяться нормативні засоби, які регламентують інформаційну безпеку як процесу в діяльності організації.

  • Нормативні засоби

У світовій практиці при розробці нормативних засобів орієнтуються на стандарти захисту ІБ, основний - ISO / IEC 27000. Стандарт створювали дві організації:

  • ISO - Міжнародна комісія з стандартизації, яка розробляє і затверджує більшість визнаних на міжнародному рівні методик сертифікації якості процесів виробництва та управління;
  • IEC - Міжнародна енергетична комісія, яка внесла в стандарт своє розуміння систем ІБ, засобів і методів її забезпечення

Актуальна версія ISO / IEC 27000-2016 пропонують готові стандарти і випробувані методики, необхідні для впровадження ІБ. На думку авторів методик, основа інформаційної безпеки полягає в системності і послідовної реалізації всіх етапів від розробки до пост-контролю.

Для отримання сертифіката, який підтверджує відповідність стандартам щодо забезпечення інформаційної безпеки, необхідно впровадити всі рекомендовані методики в повному обсязі. Якщо немає необхідності отримувати сертифікат, в якості бази для розробки власних ІБ-систем допускається прийняти будь-яку з попередніх версій стандарту, починаючи з ISO / IEC 27000-2002, або російських ГОСТів, що мають рекомендаційний характер.

За підсумками вивчення стандарту розробляються два документа, які стосуються безпеки інформації. Основний, але менш формальний - концепція ІБ підприємства, яка визначає заходи і способи впровадження ІБ-системи для інформаційних систем організації. Другий документ, які зобов'язані виконувати всі співробітники компанії, - положення про інформаційну безпеку, що затверджується на рівні ради директорів або виконавчого органу.

Крім положення на рівні компанії повинні бути розроблені переліки відомостей, що становлять комерційну таємницю, додатки до трудових договорів, що закріплює відповідальність за розголошення конфіденційних даних, інші стандарти і методики. Внутрішні норми і правила повинні містити механізми реалізації та заходи відповідальності. Найчастіше заходи носять дисциплінарний характер, і порушник повинен бути готовий до того, що за порушенням режиму комерційної таємниці підуть суттєві санкції аж до звільнення.

  • Організаційних та адміністративних заходів

В рамках адміністративної діяльності щодо захисту ІБ для співробітників служб безпеки відкривається простір для творчості. Це і архітектурно-планувальні рішення, що дозволяють захистити переговорні кімнати і кабінети керівництва від прослуховування, і встановлення різних рівнів доступу до інформації. Важливими організаційними заходами стануть сертифікація діяльності компанії за стандартами ISO / IEC 27000, сертифікація окремих апаратно-програмних комплексів, атестація суб'єктів і об'єктів на відповідність необхідним вимогам безпеки, отримань ліцензій, необхідних для роботи із захищеними масивами інформації.

З точки зору регламентації діяльності персоналу важливим стане оформлення системи запитів на допуск до інтернету, зовнішньої електронній пошті, інших ресурсів. Окремим елементом стане отримання електронного цифрового підпису для посилення безпеки фінансової та іншої інформації, яку передають державним органам по каналах електронної пошти.

  • Морально-етичні заходи

Морально-етичні заходи визначають особисте ставлення людини до конфіденційної інформації або інформації, обмеженої в обороті. Підвищення рівня знань співробітників щодо впливу загроз на діяльність компанії впливає на ступінь свідомості і відповідальності співробітників. Щоб боротися з порушеннями режиму інформації, включаючи, наприклад, передачу паролів, необережне поводження з носіями, поширення конфіденційної інформації в приватних розмовах, потрібно робити упор на особисту свідомість співробітника. Корисним буде встановити показники ефективності персоналу, які будуть залежати від ставлення до кооперативної системи ІБ.

Швидко розвиваються комп'ютерні інформаційні технології вносять помітні зміни в наше життя. Інформація стала товаром, який можна придбати, продати, обміняти. При цьому вартість інформації часто в сотні разів перевершує вартість комп'ютерної системи, в якій вона зберігається.

Від ступеня безпеки інформаційних технологій в даний час залежить благополуччя, а часом і життя багатьох людей. Така плата за ускладнення і повсюдне поширення автоматизованих систем обробки інформації.

під інформаційною безпекою розуміється захищеність інформаційної системи від випадкового або навмисного втручання, що завдає шкоди власникам або користувачам інформації.

На практиці найважливішими є три аспекти інформаційної безпеки:

  • доступність (Можливість за розумний час отримати необхідну інформаційну послугу);
  • цілісність (Актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованого зміни);
  • конфіденційність (Захист від несанкціонованого прочитання).

Порушення доступності, цілісності і конфіденційності інформації можуть бути викликані різними небезпечними впливами на інформаційні комп'ютерні системи.

Основні загрози інформаційній безпеці

Сучасна інформаційна система являє собою складну систему, що складається з великого числа компонентів різного ступеня автономності, які пов'язані між собою і обмінюються даними. Практично кожен компонент може піддатися зовнішньому впливу або вийти з ладу. Компоненти автоматизованої інформаційної системи можна розбити на наступні групи:

  • апаратні засоби - комп'ютери та їх складові частини (процесори, монітори, термінали, периферійні пристрої - дисководи, принтери, контролери, кабелі, лінії зв'язку і т.д.);
  • програмне забезпечення - придбані програми, вихідні, об'єктні, завантажувальні модулі; операційні системи і системні програми (компілятори, компоновщики і ін.), утиліти, діагностичні програми і т.д .;
  • дані - збережені тимчасово і постійно, на магнітних носіях, друковані, архіви, системні журнали і т.д .;
  • персонал - обслуговуючий персонал і користувачі.

Небезпечні впливу на комп'ютерну інформаційну систему можна поділити на випадкові і навмисні. Аналіз досвіду проектування, виготовлення і експлуатації інформаційних систем показує, що інформація піддається різним випадковим впливам на всіх етапах життєвого циклу системи. причинами випадкових впливів при експлуатації можуть бути:

  • аварійні ситуації через стихійних лих і відключень електроживлення;
  • відмови і збої апаратури;
  • помилки в програмному забезпеченні;
  • помилки в роботі персоналу;
  • перешкоди в лініях зв'язку через впливів зовнішнього середовища.

навмисні дії - це цілеспрямовані дії порушника. Як порушника можуть виступати службовець, відвідувач, конкурент, найманець. Дії порушника можуть бути обумовлені різними мотивами:

  • невдоволенням службовця своєю кар'єрою;
  • хабарем;
  • цікавістю;
  • конкурентною боротьбою;
  • прагненням самоствердитися будь-якою ціною.

Можна скласти гіпотетичну модель потенційного порушника:

  • кваліфікація порушника на рівні розробника даної системи;
  • порушником може бути як стороння особа, так і законний користувач системи;
  • порушнику відома інформація про принципи роботи системи;
  • порушник вибирає найбільш слабка ланка в захисті.

Найбільш поширеним і різноманітним видом комп'ютерних порушень є несанкціонований доступ (НСД). НСД використовує будь-яку помилку в системі захисту і можливий при нераціональному виборі засобів захисту, їх некоректної встановлення та налаштування.

Проведемо класифікацію каналів НСД, за якими можна здійснити розкрадання, зміна або знищення інформації:

  • Через людини:
    • розкрадання носіїв інформації;
    • читання інформації з екрану або клавіатури;
    • читання інформації з роздруківки.
  • Через програму:
    • перехоплення паролів;
    • дешифрування зашифрованої інформації;
    • копіювання інформації з носія.
  • Через апаратуру:
    • підключення спеціально розроблених апаратних засобів, що забезпечують доступ до інформації;
    • перехоплення побічних електромагнітних випромінювань від апаратури, ліній зв'язку, мереж електроживлення і т.д.

Варто окремо зупинитися на загрозах, яким можуть піддаватися комп'ютерні мережі. Основна особливість будь-якої комп'ютерної мережі полягає в тому, що її компоненти розподілені в просторі. Зв'язок між вузлами мережі здійснюється фізично за допомогою мережевих ліній і програмно за допомогою механізму повідомлень. При цьому керуючі повідомлення і дані, що пересилаються між вузлами мережі, передаються у вигляді пакетів обміну. Комп'ютерні мережі характерні тим, що проти них роблять так звані віддалені атаки. Порушник може перебувати за тисячі кілометрів від атакується об'єкта, при цьому нападу може піддаватися не тільки конкретний комп'ютер, а й інформація, що передається по мережевим каналам зв'язку.

Забезпечення інформаційної безпеки

Формування режиму інформаційної безпеки - проблема комплексна. Заходу для її рішення можна поділити на п'ять рівнів:

  1. законодавчий (закони, нормативні акти, стандарти і т.п.);
  2. морально-етичний (всілякі норми поведінки, недотримання яких веде до падіння престижу конкретної людини або цілої організації);
  3. адміністративний (дії загального характеру, що починаються керівництвом організації);
  4. фізичний (механічні, електро- і електронно-механічні перешкоди на можливих шляхах проникнення потенційних порушників);
  5. апаратно-програмний (електронні пристрої та спеціальні програми захисту інформації).

Єдина сукупність всіх цих заходів, спрямованих на протидію загрозам безпеці з метою зведення до мінімуму можливості шкоди, утворюють систему захисту.

Надійна система захисту повинна відповідати наступним принципам:

  • Вартість засобів захисту повинна бути менше, ніж розміри можливого збитку.
  • Кожен користувач повинен мати мінімальний набір привілеїв, необхідний для роботи.
  • Захист тим ефективніша, чим простіше користувачеві з нею працювати.
  • Можливість відключення в екстрених випадках.
  • Фахівці, що мають відношення до системи захисту повинні повністю уявляти собі принципи її функціонування і в разі виникнення скрутних ситуацій адекватно на них реагувати.
  • Під захистом повинна знаходитися вся система обробки інформації.
  • Розробники системи захисту, не повинні бути в числі тих, кого ця система буде контролювати.
  • Система захисту повинна надавати докази коректності своєї роботи.
  • Особи, що займаються забезпеченням інформаційної безпеки, повинні нести особисту відповідальність.
  • Об'єкти захисту доцільно розділяти на групи так, щоб порушення захисту в одній з груп не впливало на безпеку інших.
  • Надійна система захисту повинна бути повністю протестована і узгоджена.
  • Захист стає більш ефективною і гнучкою, якщо вона допускає зміну своїх параметрів з боку адміністратора.
  • Система захисту повинна розроблятися, виходячи з припущення, що користувачі будуть робити серйозні помилки і, взагалі, мають найгірші наміри.
  • Найбільш важливі і критичні рішення повинні прийматися людиною.
  • Існування механізмів захисту повинно бути по можливості приховано від користувачів, робота яких знаходиться під контролем.

Апаратно-програмні засоби захисту інформації

Незважаючи на те, що сучасні ОС для персональних комп'ютерів, такі, як Windows 2000, Windows XP і Windows NT, мають власні підсистеми захисту, актуальність створення додаткових засобів захисту зберігається. Справа в тому, що більшість систем не здатні захистити дані, що знаходяться за їх межами, наприклад при мережевому інформаційному обміні.

Апаратно-програмні засоби захисту інформації можна розбити на п'ять груп:

  1. Системи ідентифікації (розпізнавання) і аутентифікації (перевірки справжності) користувачів.
  2. Системи шифрування дискових даних.
  3. Системи шифрування даних, переданих по мережах.
  4. Системи аутентифікації електронних даних.
  5. Засоби управління криптографічними ключами.

1. Системи ідентифікації і аутентифікації користувачів

Застосовуються для обмеження доступу випадкових і незаконних користувачів до ресурсів комп'ютерної системи. Загальний алгоритм роботи таких систем полягає в тому, щоб отримати від користувача інформацію, що засвідчує його особу, перевірити її справжність і потім надати (або не надати) цього користувачеві можливість роботи з системою.

При побудові цих систем виникає проблема вибору інформації, на основі якої здійснюються процедури ідентифікації і аутентифікації користувача. Можна виділити наступні типи:

  • секретна інформація, якою володіє користувач (пароль, секретний ключ, персональний ідентифікатор і т.п.); користувач повинен запам'ятати цю інформацію або ж для неї можуть бути застосовані спеціальні засоби зберігання;
  • фізіологічні параметри людини (відбитки пальців, малюнок райдужної оболонки ока тощо) або особливості поведінки (особливості роботи на клавіатурі тощо).

Системи, засновані на першому типі інформації, вважаються традиційними. Системи, що використовують другий тип інформації, називають біометричними. Слід зазначити тенденцію випереджаючого розвитку біометричних систем ідентифікації.

2. Системи шифрування дискових даних

Щоб зробити інформацію марною для противника, використовується сукупність методів перетворення даних, звана криптографією [Від грец. kryptos - прихований і grapho - пишу].

Системи шифрування можуть здійснювати криптографічні перетворення даних на рівні файлів або на рівні дисків. До програм першого типу можна віднести архіватори типу ARJ і RAR, які дозволяють використовувати криптографічні методи для захисту архівних файлів. Прикладом систем другого типу може служити програма шифрування Diskreet, що входить до складу популярного програмного пакету Norton Utilities, Best Crypt.

Іншим класифікаційними ознакою систем шифрування дискових даних є спосіб їх функціонування. За способом функціонування системи шифрування дискових даних ділять на два класи:

  • системи "прозорого" шифрування;
  • системи, спеціально викликані для здійснення шифрування.

У системах прозорого шифрування (шифрування "на льоту") криптографічні перетворення здійснюються в режимі реального часу, непомітно для користувача. Наприклад, користувач записує підготовлений в текстовому редакторі документ на об'єкт, що захищається диск, а система захисту в процесі запису виконує його шифрування.

Системи другого класу зазвичай представляють собою утиліти, які необхідно спеціально викликати для виконання шифрування. До них відносяться, наприклад, архіватори з вбудованими засобами пральний захисту.

Більшість систем, що пропонують встановити пароль на документ, що не шифрує інформацію, а тільки забезпечує запит пароля при доступі до документу. До таких систем відноситься MS Office, 1C та багато інших.

3. Системи шифрування даних, переданих по мережах

Розрізняють два основних способи шифрування: канальне шифрування і кінцеве (абонентське) шифрування.

В разі канального шифрування захищається вся інформація, передана по каналу зв'язку, включаючи службову. Цей спосіб шифрування має наступну гідністю - вбудовування процедур шифрування на канальний рівень дозволяє використовувати апаратні засоби, що сприяє підвищенню продуктивності системи. Однак у даного підходу є і суттєві недоліки:

  • шифрування службових даних ускладнює механізм маршрутизації мережевих пакетів і вимагає розшифрування даних в пристроях проміжної комунікації (шлюзах, ретрансляторах і т.п.);
  • шифрування службової інформації може призвести до появи статистичних закономірностей в шифрованих даних, що впливає на надійність захисту і накладає обмеження на використання криптографічних алгоритмів.

Кінцеве (абонентське) шифрування дозволяє забезпечити конфіденційність даних, що передаються між двома абонентами. В цьому випадку захищається тільки зміст повідомлень, вся службова інформація залишається відкритою. Недоліком є \u200b\u200bможливість аналізувати інформацію про структуру обміну повідомленнями, наприклад про відправника та одержувача, про час та умови передачі даних, а також про обсяг переданих даних.

4. Системи аутентифікації електронних даних

При обміні даними по мережах виникає проблема аутентифікації автора документа і самого документа, тобто встановлення дійсності автора і перевірка відсутності змін в отриманому документі. Для аутентифікації даних застосовують код аутентифікації повідомлення (имитовставка) або електронний підпис.

Имитовставка виробляється з відкритих даних за допомогою спеціального перетворення шифрування з використанням секретного ключа і передається по каналу зв'язку в кінці зашифрованих даних. Имитовставка перевіряється одержувачем, що володіє секретним ключем, шляхом повторення процедури, виконаної раніше відправником, над отриманими відкритими даними.

Електронний цифровий підпис є відносно невелика кількість додаткової аутентифицирующей інформації, переданої разом з підписується текстом. Відправник формує цифровий підпис, використовуючи секретний ключ відправника. Одержувач перевіряє підпис, використовуючи відкритий ключ відправника.

Таким чином, для реалізації имитовставки використовуються принципи симетричного шифрування, а для реалізації електронного підпису - асиметричного. Детальніше ці дві системи шифрування будемо вивчати пізніше.

5. Засоби управління криптографічними ключами

Безпека будь-якої криптосистеми визначається використовуваними криптографічними ключами. У разі ненадійного управління ключами зловмисник може заволодіти ключовою інформацією і отримати повний доступ до всієї інформації в системі або мережі.

Розрізняють такі види функцій управління ключами: генерація, зберігання, і розподіл ключів.

способи генерації ключів для симетричних і асиметричних криптосистем різні. Для генерації ключів симетричних криптосистем використовуються апаратні і програмні засоби генерації випадкових чисел. Генерація ключів для асиметричних криптосистем складніша, тому що ключі повинні володіти певними математичними властивостями. Детальніше на цьому питанні зупинимося при вивченні симетричних і асиметричних криптосистем.

функція зберігання передбачає організацію безпечного зберігання, обліку та видалення ключової інформації. Для забезпечення безпечного зберігання ключів застосовують їх шифрування за допомогою альтернативних джерел. Такий підхід призводить до концепції ієрархії ключів. У ієрархію ключів зазвичай входить головний ключ (тобто майстер-ключ), ключ шифрування ключів і ключ шифрування даних. Слід зазначити, що генерація і зберігання майстер-ключа є критичним питанням криптозахисту.

розподіл - найвідповідальніший процес в управлінні ключами. Цей процес повинен гарантувати скритність розподіляються ключів, а також бути оперативним і точним. Між користувачами мережі ключі розподіляють двома способами:

  • за допомогою прямого обміну сеансовими ключами;
  • використовуючи один або кілька центрів розподілу ключів.

Перелік документів

  1. ПРО ДЕРЖАВНУ ТАЄМНИЦЮ. Закон Російської Федерації від 21 липня 1993 року № 5485-1 (в ред. Федерального закону від 6 жовтня 1997 року № 131-ФЗ).
  2. ПРО ІНФОРМАЦІЮ, ІНФОРМАТИЗАЦІЇ ТА ЗАХИСТУ ІНФОРМАЦІЇ. Федеральний закон Російської Федерації від 20 лютого 1995 року № 24-ФЗ. Прийнятий Державною Думою 25 січня 1995 року.
  3. Про правову охорону програм ДЛЯ ЕЛЕКТРОННИХ ОБЧИСЛЮВАЛЬНИХ МАШИН І БАЗ ДАНИХ. Закон Російської Федерації від 23 фентября 1992 року № 3524-1.
  4. ПРО ЕЛЕКТРОННОГО ЦИФРОВОГО ПІДПИСУ. Федеральний закон Російської Федерації від 10 січня 2002 року № 1-ФЗ.
  5. ПРО АВТОРСЬКЕ ПРАВО І СУМІЖНІ ПРАВА. Закон Російської Федерації від 9 липня 1993 року № 5351-1.
  6. Про федеральних органах УРЯДОВОЇ ЗВ'ЯЗКУ ТА ІНФОРМАЦІЇ. Закон Російської Федерації (в ред. Указу Президента РФ від 24.12.1993 № 2288; Федерального закону від 07.11.2000 № 135-ФЗ.
  7. Положення про акредитацію випробувальних лабораторій і органів з сертифікації засобів захисту інформації за вимогами безпеки інформації / Державна технічна комісія при Президенті Російської Федерації.
  8. Інструкція про порядок маркування сертифікатів відповідності, їх копій і сертифікаційних засобів захисту інформації / Державна технічна комісія при Президенті Російської Федерації.
  9. Положення з атестації об'єктів інформатизації за вимогами безпеки інформації / Державна технічна комісія при Президенті Російської Федерації.
  10. Положення про сертифікацію засобів захисту інформації за вимогами безпеки інформації: з доповненнями відповідно до Постанови Уряду Російської Федерації від 26 червня 1995 року № 608 "Про сертифікації засобів захисту інформації" / Державна технічна комісія при Президенті Російської Федерації.
  11. Положення про державний ліцензування діяльності в галузі захисту інформації / Державна технічна комісія при Президенті Російської Федерації.
  12. Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем і вимоги щодо захисту інформації: Керівний документ / Державна технічна комісія при Президенті Російської Федерації.
  13. Концепція захисту засобів обчислювальної техніки і автоматизованих систем від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президенті Російської Федерації.
  14. Засоби обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президенті Російської Федерації.
  15. Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президенті Російської Федерації.
  16. Захист інформації. Спеціальні захисні знаки. Класифікація і загальні вимоги: Керівний документ / Державна технічна комісія при Президенті Російської Федерації.
  17. Захист від несанкціонованого доступу до інформації. Терміни та визначення: Керівний документ / Державна технічна комісія при Президенті Російської Федерації.

Історія виникнення і розвитку інформаційної безпеки

З розвитком засобів інформаційних комунікацій, а отже і можливості нанесення шкоди інформації, яка зберігається і передається з їх допомогою, виникла інформаційна безпека (ІБ).

Основним завданням ІБ до 1816 була захист різного роду інформації, яка має для суб'єкта (організації або конкретної людини) особливе значення.

Впровадження і використання можливостей радіозв'язку виявило необхідність забезпечення захищеності радіозв'язку від перешкод за допомогою застосування завадостійкого кодування і декодування сигналу. Пізніше з'явилися радіолокаційні і гідроакустичні засоби (1935 рік), ІБ яких забезпечувалася через підвищення захищеності радіолокаційних засобів від впливу радіоелектронних перешкод.

Починаючи з 1946 року, з широким використанням в практичній діяльності електронно-обчислювальних машин (ЕОМ), ІБ досягалася, в основному, за допомогою обмеження фізичного доступу до обладнання, яке містило або обробляли захищається інформацію.

З 1965 року розвивалися локальні мережі, інформаційна безпека яких в основному досягалася шляхом адміністрування та управління доступом до мережевих ресурсів.

З початком використання мобільних комунікаційних пристроїв загрози інформаційної безпеки стали набагато серйозніше і складніше. Потрібна була розробка нових методів безпеки, так як для передачі і зберігання інформації широко використовувалися бездротові мережі передачі даних. З'явилися хакери - спільноти людей, метою яких було нанесення шкоди ІБ різного об'єму (від окремих користувачів до цілих країн). З тих пір забезпечення інформаційної безпеки набирає величезної ваги і обов'язковою складовою безпеки країни.

З розвитком глобальних мереж для вирішення завдання інформаційної безпеки повинні вирішуватися через створення макросистеми інформаційної безпеки всього людства. Передача, обробка, зберігання інформації сьогодні відбувається виключно за допомогою інформаційних систем. Глобальні мережі дозволяють вирішувати величезний спектр завдань галузі зв'язку (наприклад, через електронну пошту, мобільні телефони), розваг (MP3, цифрове телебачення, ігри), транспорту (двигуни, навігація), торгівлі (кредитні карти, інтернет-магазини), медицини (обладнання , архіви медичних матеріалів) і т.д.

зауваження 1

Таким чином, завдання інформаційної безпеки полягають у захисті інформації методами виявлення, запобігання і реагування на атаки.

Проблеми інформаційної безпеки

Інформаційна безпека є одним з найважливіших аспектів будь-якого рівня безпеки - національного, галузевого, корпоративного або персонального.

Основна проблема ІБ полягає в тому, що вона є складовою частиною інформаційних технологій.

Технології програмування не дозволяють створювати безпомилкові програми, що не може забезпечити інформаційну безпеку. Тобто існує необхідність створювати надійні системи ІБ з використанням ненадійних програм. Така необхідність вимагає дотримання архітектурних принципів і контролю захищеності при використанні ІС. Також з розвитком інформаційно-комунікаційних технологій, з постійним використанням мереж значно зросла кількість атак. Але це не можна назвати найбільшою проблемою інформаційної безпеки, так як набагато значніше проблеми, пов'язані з постійним виявленням нових уразливих місць в програмному забезпеченні і, як наслідок, появи нових видів атак.

Над знищенням таких вразливих місць трудяться розробники абсолютно всіх різновидів операційних систем, оскільки нові помилки починають активно використовуватися зловмисниками.

зауваження 2

У таких випадках системи ІБ повинні мати кошти протистояння різноманітним атакам. Атаки можуть тривати як частки секунди, так і кілька годин, повільно промацуючи вразливі місця (в такому випадку шкідлива активність практично непомітна). Дії зловмисників можуть бути націлені на порушення як окремо взятих, так і всіх складових ІБ - доступності, цілісності і конфіденційності.

Масштаб наслідків порушення працездатності програмного і технічного забезпечення ІС можна уявити за витратами на рішення «Проблеми-2000». За одними оцінками експертів загальний обсяг світових інвестицій, який був витрачений на підготовку до 2000 року, склав 300 млрд. Доларів, за іншими даними ця сума завищена на порядок.

Методи захисту інформації

Для забезпечення безпеки інформації в ІС використовуються наступні методи:

  • перешкода;
  • управління доступом;
  • методи криптографії;
  • протидія атакам шкідливих програм;
  • регламентація;
  • примус;
  • спонукання.

Розглянемо кожен з них більш детально.

визначення 1

Перешкода - фізичне прегражденіе шляху до інформації, що захищається (до технічного обладнання, носіїв інформації і т.д.).

Управління доступом - методи захисту інформації через регулювання використання ресурсів інформаційних технологій та інформаційної системи. Управління доступом повинно перешкоджати абсолютно всіх можливих шляхах несанкціонованого доступу до інформації, що захищається.

Захист інформації за допомогою управління доступом відбувається через:

  • ідентифікацію користувачів і персоналу (привласнення персонального ідентифікатора);
  • впізнання об'єкта за ідентифікатором;
  • перевірку повноважень доступу до інформації або об'єкту;
  • реєстрацію звернень до інформації;
  • реагування (сигналізація, відключення, затримка робіт, відмова в запиті і т.п.) при спробах несанкціонованих дій.

Криптографічні методи захисту - шифрування інформації. Методи шифрування широко застосовуються при обробці і зберіганні інформації. Особливо надійним даний метод є при передачі інформації по мережі.

Захист від атак шкідливих програм покликаний забезпечити комплекс різних методів організаційного характеру і використання антивірусних програм, результатом чого є зниження ймовірності зараження ІС, визначення фактів інфікування системи; зниження або запобігання наслідків інформаційних заражень, знищення вірусів; подальше відновлення інформації.

визначення 2

Регламентація - обмеження часу роботи, обмежений доступ людей до інформації, обмеження доступу по певним дням, часу доби, годинах і т.п. Створення таких умов роботи з захищається норми і стандарти щодо захисту будуть виконуються в найбільшою мірою.

визначення 3

Примус - метод захисту інформації, при якому користувачі та персонал ІС дотримуються правил роботи з захищається під загрозою відповідальності (матеріальної, адміністративної або кримінальної).

визначення 4

Спонукання - метод, який спонукає (за рахунок дотримання вже сформованих морально-етичних норм) суб'єктів ІС не порушувати встановлені порядки.

Технічні засоби захисту інформації діляться на апаратні і фізичні.

До апаратних засобів відносяться пристрої, які вбудовуються безпосередньо в технічне обладнання ІС або зв'язуються з ним по стандартного інтерфейсу.

До фізичних засобів відносять інженерні пристрої і споруди, які перешкоджають фізичній проникненню на об'єкти захисту і здійснюють захист персоналу, матеріальних, інформаційних та інших цінностей (наприклад, решітки, замки, сейфи, сигналізація і т.п.).

Також широко використовуються програмні засоби, призначені для захисту інформації в ІС. До них відносяться програми Паролювання, антивірусні програми, програми обмеження доступу, програми шифрування (криптографії).

Організаційні засоби забезпечують заходи, які унеможливлюють або ускладнюють розголошення, витік, несанкціонований доступ до інформації на нормативно-правовій основі.

Законодавчі засоби захисту регламентують правила роботи з інформацією і встановлюють порядок відповідальності за їх порушення. Законодавчі засоби захисту визначаються законодавчими актами країни.

Морально-етичні засоби захисту включають норми поведінки, які можуть бути неписаними (наприклад, чесність) або оформленими у вигляді правил і приписів. Як правило, вони не затверджені законодавством, але вважаються обов'язковими для виконання. Прикладом таких правил може бути звід етичних правил спілкування в мережі і т.п.

Share
Share
Tweet
Like
Like

Читайте також

THE BELL

Є ті, хто прочитали цю новину раніше вас.
Підпишіться, щоб отримувати статті свіжими.
Email
ім'я
Прізвище
Як ви хочете читати The Bell
без спаму