Системы защиты информации. Общие направления обеспечения безопасности информации.

Для защиты информации создаются системы защиты информации. Система защиты информации это организованная совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

Р и с. Задачи и цели систем безопасности

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

· непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;

· плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);

· целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;

· конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

· активной. Защищать информацию необходимо с достаточной степенью настойчивости;

· надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;

· универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;

· комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита – это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.

Для обеспечения выполнения многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

· охватывать весь технологический комплекс информационной деятельности;

· быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;

· быть открытой для изменения и дополнения мер обеспечения безопасности информации;

· быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;

· быть простой для технического обслуживания и удобной для эксплуатации пользователями;

· быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;

· быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.

В системах безопасности информации должны:

· четко определены полномочия и права пользователей на доступ к определенным видам информации;

· предоставляться пользователю минимальные полномочия, необходимых ему для выполнения порученной работы;

· сводиться к минимуму числа общих для нескольких пользователей средств защиты;

· учитываться случаи и попытки несанкционированного доступа к конфиденциальной информации;

· обеспечиваться оценки степени конфиденциальности информации;

· обеспечиваться контроль целостности средств защиты и немедленное реагирование на их выход из строя.

Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого она может иметь:

· правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;

· организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими;

· аппаратное обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности собственно средств защиты информации;

· информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;

· программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;

· математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;

· лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;

· нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации.

Р и с. Направления обеспечения безопасности

Правовая защита – это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

Организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям;

Инженерно-техническая защита – это использование различных технических средств, препятствующих нанесению ущерба.