Основные методы и средства защиты информации Основы организации

Основные методы и средства защиты информации. Основы организации работ по защите информации ограниченного распространения. Лекция 4.

Основные методы Препятствие — метод физического преграждения пути злоумышленнику к информации, которая защищена от посторонних лиц. Управление доступом — метод защиты информации, с помощью которого для защиты используются все ресурсы самой системы (программные и технические средства). Маскировка — метод защиты информации в каналах телеком муникаций путем криптографического закрытия. Регламентация — метод, создающий такие условия автома тизированной обработки, хранения и передачи защищаемой ин формации, при которых возможности несанкционированного доступа к ней сводятся к минимуму. Принуждение — метод, при котором пользователи и персонал вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, адми нистративной или уголовной ответственности. Побуждение — метод, с помощью которого пользователь и персонал системы не нарушают установленных правил за счет со блюдения сложившихся моральных и этических норм.

Основные методы К базовым методам системной защиты информации также принято относить также программно-технические, правовые и организационно- экономические методы обеспечения информационной безопасности.

Базовые методы системной защиты информации Программно-технические Предотвращение утечки обрабатываемой информации путем исключения несанкционированного доступа к ней. Выявление внедренных программных или аппаратных устройств. Исключение перехвата информации техническими средствами. Применение криптографических средств защиты при передаче информации по каналам связи. Предотвращение специального воздействия, которое вызывает разрушение, уничтожение, искажение информации или сбои в работе средств информатизации Правовые Комплекс нормативных правовых актов. Организационно- экономические Стандартизация способов и средств защиты информации. Сертификация компьютерных систем и сетей и средств их зашиты. Лицензирование деятельности в сфере защиты информации. Страхование информационных рисков, связанных с функционированием компьютерных систем и сетей. Контроль за действием персонала в защищенных информационных системах. Организационное обеспечение функционирования систем защиты информации.

Формальные средства защиты информации. Методы обеспечения безопасности осуществляются с помощью формальных и неформальных средств защиты. Формальные средства выполняют чисто защитные функции по заранее строго установленным формальным процедурам и без непосредственного участия человека. К ним относятся: физические (автономные устройства, замки, решетки и т. д. ); аппаратные (электрические, электромеханические и электронные устройства, в частности схемы контроля информации по четности, защиты полей памяти по ключу и др. ); программные (программное обеспечение, предназначенное для выполнения функции защиты информации).

Неформальные средства защиты информации. Неформальные средства защиты определяют целенаправленную деятельность людей либо ее непосредственно или косвенно регламентируют. К ним относятся: организационные средства защиты информации (организа ционно технические и организационно правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации); законодательные средства защиты информации (определя ются законодательными актами той страны, где они функционируют, регламентируют правила использования, обработки и передачи информации ограниченного доступа и устанавливают меры ответственности за нарушение этих правил); морально этические средства защиты нормы (традиционно сложившиеся по мере внедрения вычислительной техники и средств связи).

Основные методы и средства защиты информации. Основным правовым актом в Республике Беларусь, регулирующим информационные общественные отношения, является Закон Республики Беларусь «Об информатизации» . Сферой действия данного закона являются отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации. Действие этого Закона распространяется на отношения, возникающие в связи с созданием и использованием документирован ной информации.

Определение. Документированная информация (документ) — это зафик сированная на материальном носителе (бумаге, дискете, магнитной ленте, фотопленке, в памяти ЭВМ и др. ) информация с реквизитами, позволяющими ее идентифицировать. Документ, содержащий информацию, обработанную информационной системой, приобретает юридическую силу после его удостоверения должностным лицом в установленном порядке или электронной подписью (ст. 11 Закона Республики Беларусь «Об информатизации» ). Юридическая сила электронной подписи признается при наличии в информационных системах и сетях программно технических средств, обеспечиваю щих идентификацию подписи и имеющих сертификат соответствия или удостоверения о признании сертификата, выданного в нацио нальной системе сертификации Республики Беларусь (ст. 11 Зако на Республики Беларусь «Об информатизации» ).

Основные методы и средства защиты информации. Информационные технологии, комплексы программно-технических средств, информационные системы и сети подлежат сертификации в порядке, установленном законодательством Республи ки Беларусь. Технические и программные средства по защите информационных ресурсов подлежат обязательной сертификации в национальной системе сертификации Республики Беларусь органом сер тификации.

Основные методы и средства защиты информации. В соответствии со ст. 22 настоящего Закона целями защиты информации являются: предотвращение утечки, хищения, утраты, искажения, подделки, несанкционированных действий по уничтожению, мо дификации, копированию, блокированию документированной информации и иных форм незаконного вмешательства в инфор мационные системы; сохранение полноты, точности, целостности документиро ванной информации, возможности управления процессом обработ ки и использования в соответствии с условиями, установленны ми собственником этой информации или уполномоченным лицом; обеспечение прав физических и юридических лиц на сохра нение конфиденциальности несанкционированной информации о них, накапливаемой в информационных системах; защита прав субъектов в сфере информатизации; сохранение секретности и конфиденциальности документи рованной информации.

Основы организации работ по защите информации ограниченного распространения Мероприятия по защите служебной информации ограниченного рас пространения рекомендуется проводить поэтапно в следующей последова тельности. Первый этап. На первое место выдвигается вопрос — что необходимо защищать в каждой конкретной организации. Ответом на этот вопрос должен быть детально продуманный, реальный и конкретный перечень сведений, со ставляющих служебную информацию ограниченного распространения в дан ной организации.

Основы организации работ по защите информации ограниченного распространения Второй этап. Необходимо сформулировать цель защиты информации. Целью защиты информации, как правило, должно быть устранение уязвимых мест и обеспечение такого уровня их защиты, который соответствовал бы положениям законодательных актов республики и требованиям нормативных документов по защите. Это означает, что главная цель защиты информации предотвращение ущерба собственнику, владельцу, пользова телю информации в результате возможной утечки информации и/или не санкционированного и непреднамеренного воздействия на нее. В то же время здравый смысл подсказывает, что последствия от реализации угроз безопасности информации в определенных сферах деятельности (например, финансово кредитной сфере, управлении энергетикой, экологиче ски опасными производствами и т. д. ) могут нанести существенный ущерб государству, повлечь за собой серьезные последствия, вплоть до техногенных аварий или катастроф.

Основы организации работ по защите информации ограниченного распространения Третий этап. Необходимо определить конкретные объекты защиты, т. е. те места, где эта информация реально присутствует в той или иной фор ме. К таким объектам в первую очередь следует относить: 1. Средства электронно вычислительной техники (автоматизированные системы различного уровня и назначения, вычислительные сети и центры, автономные стационарные и персональные ЭВМ, средства электронного из готовления и размножения документов) вместе со средствами обеспечения объекта защиты (средствами связи, системами пожарной и охранной сигна лизации, радиотрансляционной сетью и т. п. ) и помещениями, в которых они установлены. Такие объекты принято называть объектами СВТ. Защите на этих объектах подлежит не только обрабатываемая инфор мация, но и используемые при этом алгоритмы и программы. Защита должна обеспечить сохранение конфиденциальности, целостности и доступности об рабатываемой информации. 2. Помещения, предназначенные для обсуждения материалов и вопро сов, относящихся к защищаемой информации. К таким помещениям, как правило, относятся помещения, специально выделенные для проведения со вещаний, а также кабинеты руководителей организаций, их заместителей и специалистов, в которых в обычном рабочем режиме могут обсуждаться те кущие вопросы, содержащие информацию ограниченного распространения.

Основы организации работ по защите информации ограниченного распространения Четвертый этап. Выявление возможных каналов утечки защищаемой информации. При выявлении возможных каналов утечки информации необходимо подходить дифференцировано к каждому конкретному объекту, так каналы утечки информации зависят от условий его расположения и функциони рования. На каждом объекте, как правило, выявляются несколько каналов утечки. Но исходя из условий, которые требуются для обеспечения перехвата информации по тому или иному каналу, потенциальная опасность их считается различной. Например, для объектов СВТ наиболее опасными традиционно считаются несанкционированный доступ к информации, хищение носителей информации и канал побочных электромагнитных излучений и наво док, а для помещений — акустический канал и специальные электронные устройства перехвата речевой информации (закладки).

Основы организации работ по защите информации ограниченного распространения Пятый этап. Необходимо продумать замысел защиты информации. Замысел защиты информации должен раскрывать состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий (системы защиты информации), необходимых для достижения поставленной цели защиты информации. Шестой этап. Разработка мероприятий по защите информации. Мероприятия по защите информации должны включать как организа ционные, так и технические вопросы. Организационные мероприятия должны регламентировать порядок об работки информации и использования средств защиты информации. Приме рами организационных мероприятий являются:

Основы организации работ по защите информации ограниченного распространения При оценке цены риска потерь можно прибегнуть к методу разделения информации по уровню ее важности (ценности). Рекомендуется следующее разделение информации по уровню ее важности: жизненно важная, незаменимая — информация, наличие которой необходимо для функционирования учреждения; важная — информация, которая может быть заменена или восстанов лена, но процесс восстановления очень труден и связан с большими затрата ми; полезная — информация, которую трудно восстановить, но учреждение может эффективно функционировать и без нее; несущественная — информация, которая больше не нужна учрежде нию.

Основы организации работ по защите информации ограниченного распространения Седьмой этап. Контроль. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации должен осуществляться контроль состояния и эффективности защиты информации. Контроль заключается в проверке по действующим методикам выпол нения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер.

Основы организации работ по защите информации ограниченного распространения Защита информации считается эффективной, если принятые меры соответствуют установленным требованиям и нормам. Повседневный контроль за соблюдением установленных правил обработки защищаемой информации должны осуществлять специальные подразделения по защите информации или выделенные сотрудники организации.