Методологические подходы к защите информации. Их сущность и обоснование

2) сопряженность  средств защиты с другими средствами  объекта обработки информации (ООИ);

3) сложность  средства защиты и практического  его использования;

4) тип средства  защиты, указывающий на принципы  работы их элементов;

5) стоимость  приобретения, установки и эксплуатации.

  В зависимости от цели и места применения, выполняемых функций и физической реализуемости технические средства можно условно разделить на физические и аппаратные: 

А)Физические средства – механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

• внешняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся за пределами основных средств объекта (физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений);

• внутренняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации (ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий);

• опознавание – специфическая группа средств, предназначенная для опознавания людей и идентификации технических средств по различным индивидуальным характеристикам (организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения). 

Б)Аппаратные средства – различные электронные, электронно-механические и тому подобные устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач по защите информации. Например, для защиты от утечки по техническим каналам используются генераторы шума.

• нейтрализация технических каналов утечки информации (ТКУИ) выполняет функцию защиты информации от ее утечки по техническим каналам;

• поиск закладных устройств – защита от использования злоумышленником закладных устройств съема информации;

• маскировка сигнала, содержащего конфиденциальную информацию, – защита информации от обнаружения ее носителей (стенографические методы) и защита содержания информации от раскрытия (криптографические методы).

   Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы). 

2.Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач по защите информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защите от вирусов и др. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

• идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей,

• определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей,

• контроль работы технических средств и пользователей,

• регистрация работы технических средств и пользователей при обработке информации ограниченного использования,

• уничтожения информации в ЗУ после использования,

• сигнализации при несанкционированных действиях,

• вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах. 

Неформальные  средства защиты информации.

Неформальные  средства делятся на организационные, законодательные и морально-этические. 

   Организационные средства – специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач по защите информации, осуществляемые в виде целенаправленной деятельности людей.

   Организационные мероприятия играют большую роль в создании надежного механизма защиты информации. Причины, по которым организационные мероприятия играют повышенную роль в механизме защиты, заключается в том, что возможности несанкционированного использования информации в значительной мере обуславливаются нетехническими аспектами: злоумышленными действиями, нерадивостью или небрежностью пользователей или персонала систем обработки данных.

Основными мероприятиями  являются следующие:

Обязательные

•   Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров.
•   Мероприятия, осуществляемые при подборе и подготовки персонала вычислительного центра (проверка принимаемых на работу, создание условий, при которых персонал не хотел бы лишиться работы, ознакомление с мерами ответственности за нарушение правил защиты).
•   Организация надежного пропускного режима.
•   Ознакомление всех сотрудников с принципами защиты информации и принципами работы средств хранения и обработки информации. Представляя себе хотя бы на качественном уровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.
•   Чёткая классификация всей информации по степени её закрытости и введение правил обращения с документами ограниченного распространения.
•   Обязать сотрудников исполнять требования по защите информации, подкрепив это соответствующими организационными и дисциплинарными мерами.

Желательные

•   Заставить всех сотрудников изучить современные средства защиты информации и сдать по ним зачёт.
•   Иметь в штате специалиста, профессионально разбирающегося в проблемах защиты информации.
•   Не использовать в работе программное обеспечение, в отношении которого не имеется чёткой уверенности, что оно не совершает несанкционированных действий с обрабатываемой информацией, таких, например, как самовольное создание копий, сбор информации о компьютере, отсылка по Интернету сведений изготовителю программного обеспечения.
•   Поставив себя на место вероятного противника (конкурента), подумать, что он мог бы предпринять для получения несанкционированного доступа к вашей информации.  
•   Продумать ответные меры защиты.
•   Приобрести сертифицированные средства защиты информации.
•   Запретить сотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новое программное обеспечение. При получении любых исполняемых файлов по электронной почте стирать их, не разбираясь.

Дополнительные

• Разработать комплексную стратегию защиты информации на вашем предприятии. Лучше поручить такую задачу сторонним специалистам.
• Провести «испытание» имеющихся у вас средств защиты информации, поручив стороннему специалисту испробовать на прочность вашу защиту.

Одно из важнейших  организационных мероприятий –  содержание в вычислительном центре специальной штатной службы защиты информации, численность и состав которой обеспечивали бы создание надежной системы защиты и регулярное ее функционирование. 

   Законодательные средства – существующие в стране или специально издаваемые нормативно-правовые акты, с помощью которых регламентируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функционированию системы, а также устанавливается ответственность за нарушение правил обработки информации, следствием чего может быть нарушение защищенности информации. 

   Морально-этические нормы – сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

   Морально-этические способы защиты информации можно отнести к группе тех методов, которые, исходя из расхожего выражения, что «тайну хранят не замки, а люди», играют очень важную роль в защите информации. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации, или по его вине соперник получает возможность несанкционированного

доступа к носителям защищаемой информации. 
Принципы, силы, средства и условия организационной защиты информации.

  Организационная защита информации — составная часть системы защиты информации, определяющая и вырабатывающая порядок и правила функционирования объектов защиты и деятельности должностных лиц в целях обеспечения защиты информации.

   Организационная защита информации на предприятии — регламентация производственной деятельности и взаимоотношений субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба данному предприятию. 

Организационная защита информации:

• Организация работы с персоналом;
• Организация внутриобъектового и пропускного режимов и охраны;
• Организация работы с носителями сведений;
• Комплексное планирование мероприятий по защите информации;
• Организация аналитической работы и контроля.

 

Основные  принципы организационной  защиты информации:

• принцип комплексного подхода — эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;
• принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководства и персонала предприятия на решение задач защиты информации);
• принцип персональной ответственности — наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.

 

Среди основных условий  организационной  защиты информации можно  выделить следующие:

•   непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению ее эффективности;
•    неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации.

 

При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение  задач по защите конфиденциальной информации на предприятии. 

Основные  методы, силы и средства, используемые для  организации защиты информации.

Один из важнейших  факторов, влияющих на эффективность  системы защиты конфиденциальной информации, — совокупность сил и средств  предприятия, используемых для организации  защиты информации.

Силы  и средства различных предприятий отличаются по структуре, характеру и порядку использования. Предприятия, работающие с конфиденциальной информацией и решающие задачи по ее защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные структурные подразделения и использовать высокоэффективные средства защиты информации. Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу ее небольших объемов, вместо создания подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации. Данные подразделения и должности являются органами защиты информации.