Класифікація засобів забезпечення безпеки АС
За способами реалізації всі заходи забезпечення безпеки АС підрозділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні і технічні ( програмні та апаратурні).
До правових заходів захисту відносяться діючі в країні закони, укази і нормативні акти, які регламентують правила поводження з інформацією, закріплюють права та обов’язки учасників інформаційних відносин в процесі її обробки і використання, а також установлюють відповідальність за порушення цих правил, заважаючи таким чином неправомірному використанню інформації, тобто з’являючись стримуючим фактором для потенційних порушників.
До морально-етичних заходів протидії відносяться норми поведінки, які традиційно склалися або складаються паралельно розповсюдженню ЕОМ в країні або суспільстві. Більшою частиною ці норми не є обов’язковими, як, наприклад, законодавчо затверджені нормативні, однак їх недотримання веде звичайно до падіння авторитету, престижу людини, групи осіб або організації. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми чесності, патріотизму і т.д.), так і писані, тобто оформлені у звід (устав) правил або розпоряджень.
Законодавчі та морально-етичні заходи протидії є універсальними в тому сенсі, що принципово можуть застосовуватися для всіх каналів проникнення і НСД до АС і інформації. В деяких випадках вони є єдиними, як, наприклад, при захисті відкритої інформації від незаконного тиражування або при захисті від зловживань службовим положення при роботі з інформацією.
Організаційні (адміністративні) заходи захисту – це заходи організаційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів з системою таким чином, щоб в найбільшому ступені утруднити або виключити можливість реалізації загроз безпеці.
Очевидно, що в організаційних структурах з низьким рівнем правопорядку, дисципліни і етики ставити питання про захист інформації немає сенсу. Спочатку необхідно вирішити правові та організаційні питання.
Як вважають закордонні фахівці, організаційні заходи складають досить значну частину (більш як 50%) всієї системи захисту. Вони використовуються тоді, коли КС не може безпосередньо контролювати процес обробки інформації. Крім того, в деяких важливих випадках з метою підвищення ефективності захисту дуже корисно іноді технічні заходи та засоби продублювати організаційними. Це, однак, не означає, систему захисту необхідно будувати виключно на їх основі, як це іноді спробує робити керівництво, далеке від технічного прогресу. Крім того, цим заходам притаманні деякі вади:
· низька надійність без відповідної підтримки фізичними, технічними та програмними засобами (людина завжди є схильною до порушень обмежень та правил аби їх можна було б порушити);
· додаткові незручності, які пов’язані з великим об‘ємом рутинної формальної діяльності.
Взагалі, організаційні заходи є ефективними, коли справа торкається саме людини.
Фізичні заходи базуються на застосування всілякого роду механічних, електро- або електронно-механічних пристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонент системи і інформації, а також технічних засобів візуального спостереження, зв’язку та охоронної сигналізації.
Технічні (апаратно-програмні) заходи захисту основані на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з іншими засобами) функції захисту.
Звичайно всі заходи використовують комплексно, причому вони іноді дуже тісно пов’язані один з одним, тобто:
· організаційні заходи забезпечують виконання нормативних актів і будуються з урахування уже існуючих правил поведінки в організації;
· виконання організаційних заходів вимагає створення нормативних документів;
· ефективне використання організаційних заходів досягається обов’язковою підтримкою фізичних та технічних заходів;
· використання технічних засобів захисту вимагає відповідної організаційної підтримки.
В подальшому для означення цілої групи заходів буде використовуватися термін організаційно-технічні заходи.
Дата добавления: 2015-12-22; просмотров: 922;