Классификация способов защиты информации

В рамках системы множество и разнообразие видов защиты информации определяется способами воздей­ствия на дестабилизирующие факторы или порождаю­щие их причины, на элементы ИС, защищаемую ин­формацию и окружающую среду в направлении повышения показателей защищенности информации. Эти способы могут быть классифицированы следую­щим образом: морально-этические и законодательные, административ­ные и психологические, защитные возможности программных и аппаратных средств.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирова­ния программ в настоящее время в основном используются меры воспитатель­ного плана, необходимо внедрять в сознание людей аморальность всяческих по­кушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.

Законодательные средства защиты – это законы, постановления Правительства и указы Президента, нормативные акты и стандарты, которыми регламентируют­ся правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защи­ту информации, составляющей государственную тайну, обеспечение прав потре­бителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

Административные меры – это действия, предпринимаемые руководством пред­приятия или организации для обеспечения информационной безопасности. К та­ким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго опре­деляющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предпри­ятием средств безопасности. Представители администрации, которые несут от­ветственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российски­ми тестирующими организациями.

Психологические меры безопасности могут играть значительную роль в укрепле­нии безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к на­рушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны ме­нять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумыш­ленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удален­ных пользователей не исключено, что такой простой психологический прием мо­жет сработать.

К физическим средствам защиты относятся экранирование помещений для защи­ты от излучения, проверка поставляемой аппаратуры на соответствие ее специ­фикациям и отсутствие аппаратных “жучков”, средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находят­ся носители информации, от незаконного проникновения и т.д.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутен­тификации и авторизации, аудит, шифрование информации, антивирусную за­щиту, контроль сетевого графика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Наши рекомендации