Средства обеспечения безопасности информации
Средства обеспечения безопасности – это ресурсы, обеспечивающие безопасность.
Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические. Можно считать, что средства защиты информации реализуют описанные выше методы её защиты, при этом один и тот же метод может применяться в разных средствах защиты. Например, препятствие по доступу к информации может быть поставлено кодовым замком на двери, персоналом охраны, требованием пароля при входе в компьютерную систему и т.п.
К основным средствам защиты, используемым для создания механизма защиты, относятся следующие:
1. Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.
2. Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.
3. Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.
4. Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).
5. Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США.
6. Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Все рассмотренные средства защиты могут быть несколько условно разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).
Меры защиты информации
Меры защиты информации – это конкретные мероприятия по обеспечению безопасности.
Средства защиты информации конкретизируются мерами, мероприятиями, которые нужно и можно проводить, имея в распоряжении те или иные средства деятельности. Можно считать, что меры конкретизируют средства информации и показывают, что можно делать теми или иными средствами.
Опыт защиты информации показывает, что эффективной может быть только комплексная защита. В систему комплексной защиты входят социальные и формальные меры защиты.
Социальные меры требуют целенаправленной деятельности людей на основе законов, государственных, ведомственных нормативных актов, уставов, инструкций и других документов. К социальным мерам защиты относятся законодательные, административные, финансовые и морально-этические меры.
Законодательные меры защиты используют пять общепринятых юридических понятий защиты информации: патент, авторское право, товарный знак, знак обслуживания и коммерческая тайна.
· Авторское право – это раздел гражданского права, регулирующий отношения связанные с созданием и использованием произведений науки, искусства, литературы, компьютерных программ, баз данных и других объектов интеллектуальной собственности. Регулируется национальным правом и международными конвенциями.
· Патент – это документ, удостоверяющий государственное признание технического решения полезным или промышленным образцом, закрепляющий за лицом, которому он выдан, исключительные права на использование этого технического решения. Обладатель патента может выдавать лицензии физическим или юридическим лицам на использование своего технического решения, обычно за определённую плату, например, в виде процента от прибылей предполагаемой коммерческой деятельности.
· Лицензия – это выдаваемое государством разрешение на занятие той или иной деятельностью. Как уже отмечалось, лицензию на использование патента выдаёт его владелец.
· Товарный знак – это обозначение или символ, способное отличать товары одних юридических или физических лиц от однородных товаров других. Государственная защита товарного знака производится только в случае его государственной регистрации.
· Знак обслуживания – это обозначение или символ, способное отличать услуги одних юридических или физических лиц от однородных услуг других. Государственная защита знака обслуживания производится только в случае его государственной регистрации.
· Тайна – это нечто скрываемое от других, секрет, известный не всем. Коммерческая тайна – это тайна, связанная с коммерческой деятельностью. Банковская тайна – это тайна, связанная с банковской деятельностью. Могут быть и другие виды тайн. Государство обеспечивает защиту государственной тайны, описанной нормами законодательства. Коммерческая тайна защищается государством в тех случаях, когда её описание и соответствующие нормы её защиты включены в те или иные договора, заключаемые в пределах норм гражданского права, например, в контракты с физическими или юридическими лицами, коммерческие договора и т.п.
Административные меры защиты включают организацию службы безопасности фирмы, пропускного режима, работы с документами и сотрудниками фирмы. При организации обработки закрытой информации на компьютере целесообразно выполнение следующих мероприятий:
· сокращение до минимума числа компьютеров, обрабатывающих закрытую информацию;
· выделение специальных компьютеров для выхода в компьютерные сети;
· применение жидкокристаллических и газоплазменных дисплеев, имеющих низкий уровень электромагнитных излучений, и безударных принтеров;
· установка клавиатур и ударных принтеров на мягкие прокладки;
· организация электропитания от отдельного блока;
· размещение компьютеров на расстоянии не менее трех метров от средств и линий связи, радио- и телевизионной аппаратуры, охранной и пожарной сигнализации, водопроводных, отопительных и газовых труб.
К финансовым мерам защиты информации относятся:
· благоприятная финансовая политика государства в сфере защиты информации;
· льготное налогообложение фирм, разрабатывающих и поставляющих средства защиты информации;
· страховая защита информации.
Отношения страхования устанавливаются на основе норм законодательства и заключения договоров в пределах норм гражданского права. Страхование – это отношения по защите имущественных интересов физических или юридических лиц при наступлении определённых событий (страховых случаев) за счёт денежных фондов, формируемых из предварительно уплачиваемых этим лицами страховых взносов (страховых премий). Страхование может осуществляться в добровольной или обязательной формах. Принцип страховой защиты следующий – потери не восстанавливаются, а компенсируются, обычно частично, финансовыми средствами.
Морально-этические меры защиты делятся на две группы:
· регламентированные: предписания, инструкции, правила поведения сотрудников по отношению к коммерческой тайне фирмы, несоблюдение которых влечет применение внутрифирменных административных взысканий к сотрудникам;
· нерегламентированные: неписанные нормы честности, порядочности, патриотизма, несоблюдение которых ведет к потере авторитета сотрудника, отдела или всей фирмы.
Формальные меры защиты информации не требуют участия непосредственного человека для своей реализации. Формальные меры включают физические, технические, аппаратные и программные способы их реализации.
Физические средства защиты включают строительные конструкции и механические устройства, препятствующие проникновению нежелательных лиц в закрытые зоны организации, учреждения или фирмы и хищению документов и устройств, средства против подслушивания и подсматривания; средства перекрытия побочных технических каналов утечки информации.
К техническим средствам защиты относятся раз личные электромеханические, электрические, электронные и оптические системы наблюдения, охранной и пожарной сигнализации, системы обнаружения средств разведки конкурентов, средства защиты документов и изделий при их транспортировке.
Аппаратные средства защиты встраиваются в блоки компьютеров или выполняются в виде отдельных устройств, сопрягаемых с аппаратными средствами компьютеров, которые могут решать следующие задачи:
· запрет несанкционированного доступа к ресурсам компьютеров;
· защиту от компьютерных вирусов;
· защиту информации при аварийном отключении электропитания.
Ниже более подробно рассмотрены программные средства и способы защиты компьютерной информации.