Системы защиты информации. Общие направления обеспечения безопасности информации.
Для защиты информации создаются системы защиты информации. Система защиты информации это организованная совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
Р и с. Задачи и цели систем безопасности
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
· непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
· плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
· целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
· конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
· активной. Защищать информацию необходимо с достаточной степенью настойчивости;
· надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
· универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
· комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита – это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.
Для обеспечения выполнения многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:
· охватывать весь технологический комплекс информационной деятельности;
· быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
· быть открытой для изменения и дополнения мер обеспечения безопасности информации;
· быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
· быть простой для технического обслуживания и удобной для эксплуатации пользователями;
· быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
· быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.
В системах безопасности информации должны:
· четко определены полномочия и права пользователей на доступ к определенным видам информации;
· предоставляться пользователю минимальные полномочия, необходимых ему для выполнения порученной работы;
· сводиться к минимуму числа общих для нескольких пользователей средств защиты;
· учитываться случаи и попытки несанкционированного доступа к конфиденциальной информации;
· обеспечиваться оценки степени конфиденциальности информации;
· обеспечиваться контроль целостности средств защиты и немедленное реагирование на их выход из строя.
Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого она может иметь:
· правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;
· организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими;
· аппаратное обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности собственно средств защиты информации;
· информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
· программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
· математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
· лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
· нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации.
Р и с. Направления обеспечения безопасности
Правовая защита – это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;
Организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям;
Инженерно-техническая защита – это использование различных технических средств, препятствующих нанесению ущерба.
Дата добавления: 2015-10-06; просмотров: 1876;