Лекция 5 . Общие принципы обеспечения защиты информации.

Уровни информационной защиты.

Определяющую роль при выборе моделей и методов информационной защиты играют характеристики субъектов информационных отношений. Тем не менее для всего многообразия форм информационных отношений выделяют следующие уровни защиты:

1. законодательный (законы, нормативные акты, стандарты и т.п.);

2. административный (действия общего характера, предпринимаемые
руководством организации);

3. процедурный (конкретные меры безопасности, имеющие дело с людьми);

4. программно-технический (конкретные технические меры).

Законодательный уровень.

Можно, в свою очередь, выделить два направления развития мер обеспечения информационной безопасности на законодательном уровне. Это меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности, а также меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.

Административный уровень.

Основой мер административного уровня (предпринимаемых руководством организации) является политика безопасности - совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию организации в области информационной безопасности, а также меру внимания и количество ресурсов, которое руководство считает целесообразным выделить.

Процедурный уровень.

К процедурному уровню защиты информации относятся меры безопасности, реализуемые людьми. Среди данных мер выделяются несколько групп, направленных на обеспечение информационной безопасности: управление персоналом; физическая защита; планирование восстановительных работ.

Программно-технический уровень.

Программно-техническая реализация средств информационной защиты является весьма объемной составляющей в области информационной безопасности. В минимальном наборе надежной информационной системы должны быть следующие механизмы защиты информации:

· идентификация и проверка подлинности (аутентификация)
пользователей при входе в систему;

· протоколирование и аудит;

· криптография;

· обеспечение целостности программных и технических средств вычислительной техники и средств защиты информационной безопасности.