3 Методы и средства защита информации: основные понятия и определения

 

    Вместе  с развитием способов и методов  преобразования и передачи информации постоянно развиваются и методы обеспечения её безопасности. Современный  этап развития этой проблемы характеризуется  переходом от традиционного её представления  как проблемы защиты информации к  более широкому пониманию – проблеме информационной безопасности, заключающейся  в комплексном её решении по двум основным направлениям.

    К первому можно отнести защиту государственной тайны и конфиденциальных сведений, обеспечивающую главным образом  невозможность несанкционированного доступа к ним. При этом под  конфиденциальными сведениями понимаются сведения ограниченного доступа  общественного характера (коммерческая тайна, партийная тайна и т. д.).

    Ко  второму направлению относится  защита от информации, которая в  последнее время приобретает  международный масштаб и стратегический характер. При этом выделяют три  основных направления защиты от так  называемого информационного оружия (воздействия):

    – на технические системы и средства;

    – общество;

    – психику человека.

    В соответствии с этим подходом уточнены и дополнены множества угроз  информации, функции и классы задач  по защите информации. [C. 134, 4]

    Установление  градаций важности защиты защищаемой информации) называют категорированием защищаемой информации. [C. 44, 3]

    Обеспечение безопасности информации требует сохранения следующих её свойств:

    – целостности;

    – доступности;

    – конфиденциальности.

    Целостность информации заключается в её существовании в неискажённом виде, т. е. неизменном по отношению к её исходному состоянию. Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения.

    Доступность – свойство, характеризующее способность информации обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.

    Конфиденциальность – свойство, указывающее на необходимость введения ограничений на доступ к ней определённого круга пользователей, а также статус, предоставленный данным и определяющий требуемую степень их защиты.  [C. 205,2]

    Деятельность, направленную на обеспечение информационной безопасности, принято называть защитой информации.

    Методы  обеспечения информационной безопасности весьма разнообразны.

    Сервисы сетевой безопасности представляют собой механизмы защиты информации, обрабатываемой в распределённых вычислительных системах и сетях. Инженерно–технические методы ставят своей целью обеспечение защиты информации от утечки по техническим каналам – например, за счёт перехвата электромагнитного излучения или речевой информации. Правовые и организационные методы защиты информации создают нормативную базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности. Теоретические методы обеспечения информационной безопасности, в свою очередь, решают две основных задачи. Первая из них – это формализация разного рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе – а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача – строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации. [C. 244,1]

    Что касается подходов к реализации защитных мероприятий по обеспечению информационной безопасности, то сложилась трёхстадийная  разработка таких мер.

    I стадия – выработка требований  – включает:

• определение состава средств информационной системы
• анализ уязвимых элементов информационной системы
• оценка угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов)
• анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы)

    II стадия – определение способов  защиты – включает ответы на  следующие вопросы:

• какие угрозы должны быть устранены и в какой мере?
• какие ресурсы системы должны быть защищаемы и в какой степени?
• с помощью каких средств должна быть реализована защита?
• какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учётом потенциальных угроз?

    III стадия – определение функций,  процедур и средств безопасности, реализуемых в виде некоторых  механизмов защиты. [C. 156,5]

    Первоочередными мероприятиями по реализации политики обеспечения информационной безопасности государства являются:

• разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности;
• разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;
• принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов, повышение правовой культуры и компьютерной грамотности общества, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения;
• развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности. [C. 176,5]

    Реализация  вышеперечисленных мер, обеспечивающих безопасность информационных ресурсов, существенно повышает эффективность  всего процесса информатизации в  организации, обеспечивая целостность, подлинность и конфиденциальность дорогостоящей деловой информации, циркулирующей в локальных и  глобальной информационных средах. [C. 194,3] 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

    4  Организационно правовые методы защиты информации

 

          Организационно-правовое обеспечение защиты информации представляет совокупность законов и других нормативно-правовых актов, а также организационных решений, которые регламентируют как общие вопросы обеспечения защиты информации, так и организацию, и функционирование защиты конкретных объектов и систем. Правовые аспекты организационно-правового обеспечения защиты информации направлены на достижение следующих целей:

1. формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации;
2. определение мер ответственности за нарушение правил защиты информации;
3. придание юридической силы технико-математическим решениям вопросов организационно-правового обеспечения защиты информации;
4. придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования системы защиты.

    В современной юриспруденции организационный  и правовой подходы не объединяют. Однако, вопреки сложившимся традициям, не следует ограничиваться рассмотрением  вопросов правовой защиты информации в рамках правовых аспектов комплексной  защиты информации. [C. 105,2]

    4.1 Правовые меры методы защиты информации

          К правовым мерам следует отнести нормы законодательства, касающиеся вопросов обеспечения безопасности информации. Информационные отношения достигли такой ступени развития, на которой оказалось возможным сформировать самостоятельную отрасль законодательства, регулирующую информационные отношения. В эту отрасль, которая целиком посвящена вопросам информационного законодательства, включаются:

• законодательство об интеллектуальной собственности;
• законодательство о средствах массовой информации;
• законодательство о формировании информационных ресурсов и предоставлении информации из них;
• законодательство о реализации права на поиск, получение и использование информации;

    законодательство  о создании и применении информационных технологий и средств их обеспечения. [C. 106,2]

          В отрасли права, акты которых включают информационно-правовые нормы, входят конституционное право, административное право, гражданское право, уголовное право, предпринимательское право.

    В соответствии с действующим законодательством  информационные правоотношения – это  отношения, возникающие при:

• формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;
• создании и использовании информационных технологий и средств их обеспечения;
• защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

          В соответствии с определением, изложенным в Законе Российской Федерации «О государственной тайне», к средствам защиты информации относятся «технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты, информации».

          Неформальные средства делятся на организационные, законодательные и морально-этические. [C. 108,2]

    4.2 Организационные методы защиты информации

          Организационные средства – специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач по защите информации, осуществляемые в виде целенаправленной деятельности людей.

            Организационные мероприятия играют большую роль в создании надежного механизма защиты информации. Причины, по которым организационные мероприятия играют повышенную роль в механизме защиты, заключается в том, что возможности несанкционированного использования информации в значительной мере обуславливаются нетехническими аспектами: злоумышленными действиями, нерадивостью или небрежностью пользователей или персонала систем обработки данных. Влияние этих аспектов практически невозможно избежать или локализовать с помощью выше рассмотренных аппаратных и программных средств и физических мер защиты. Для этого необходима совокупность организационных, организационно-технических и организационно-правовых мероприятий, которая исключала бы возможность возникновения опасности утечки информации подобным образом.

            Основными мероприятиями являются следующие:

• Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров.
• Мероприятия, осуществляемые при подборе и подготовки персонала вычислительного центра (проверка принимаемых на работу, создание условий, при которых персонал не хотел бы лишиться работы, ознакомление с мерами ответственности за нарушение правил защиты).
• Организация надежного пропускного режима.
• Контроль внесения изменений в математическое и программное обеспечение.
• Ознакомление всех сотрудников с принципами защиты информации и принципами работы средств хранения и обработки информации. Представляя себе хотя бы на качественном уровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.
• Чёткая классификация всей информации по степени её закрытости и введение правил обращения с документами ограниченного распространения.
• Обязать сотрудников исполнять требования по защите информации, подкрепив это соответствующими организационными и дисциплинарными мерами.
• Заставить всех сотрудников изучить современные средства защиты информации и сдать по ним зачёт.
• Иметь в штате специалиста, профессионально разбирающегося в проблемах защиты информации.
• Не использовать в работе программное обеспечение, в отношении которого не имеется чёткой уверенности, что оно не совершает несанкционированных действий с обрабатываемой информацией, таких, например, как самовольное создание копий, сбор информации о компьютере, отсылка по Интернету сведений изготовителю программного обеспечения. Особенно подобным поведением «грешат» программные продукты фирмы «Microsoft».
• Поставив себя на место вероятного противника (конкурента), подумать, что он мог бы предпринять для получения несанкционированного доступа к вашей информации. Продумать ответные меры защиты.
• Приобрести сертифицированные средства защиты информации.
• Запретить сотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новое программное обеспечение. При получении любых исполняемых файлов по электронной почте стирать их, не разбираясь.