Защита информации в компьютерных системах
Защита информации должна быть основана на системном подходе. Системный подход заключается в том, что все средства, используемые для обеспечения информационной безопасности должны рассматриваться как единый комплекс взаимосвязанных мер. Одним из принципов защиты информации является принцип «разумной достаточности», который заключается в следующем: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты информации, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.
Защиту информации можно условно разделить на защиту:
от потери и разрушения;
от несанкционированного доступа.
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
- Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
- Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
- Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Средства защиты информации (СЗИ)
Средства защиты информации — это совокупность инженерно — технических , электрических , электронных , оптических и других устройств и приспособлений , приборов и технических систем , а также иных вещных элементов , используемых для решения различных задач по защите информации , в том числе предупреждения утечки и обеспечения безопасности защищаемой информации .
В соответствии с приказом ФСТЭК России от 11 февраля 2013 г. № 17 для обеспечения защиты информации, содержащейся в государственных информационных системах, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании»
В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:
- Технические ( аппаратные ) средства . Это различные по типу устройства ( механические , электромеханические , электронные и др .), которые аппаратными средствами решают задачи защиты информации . Они либо препятствуют физическому проникновению , либо , если проникновение все же состоялось , доступу к информации , в том числе с помощью ее маскировки . Первую часть задачи решают замки , решетки на окнах , защитная сигнализация и др . Вторую — генераторы шума , сетевые фильтры , сканирующие радиоприемники и множество других устройств , « перекрывающих » потенциальные каналы утечки информации или позволяющих их обнаружить . Преимущества технических средств связаны с их надежностью , независимостью от субъективных факторов , высокой устойчивостью к модификации . Слабые стороны — недостаточная гибкость , относительно большие объем и масса , высокая стоимость .
- Программные средства включают программы для идентификации пользователей , контроля доступа , шифрования информации , удаления остаточной ( рабочей ) информации типа временных файлов , тестового контроля системы защиты и др . Преимущества программных средств — универсальность , гибкость , надежность , простота установки , способность к модификации и развитию . Недостатки — ограниченная функциональность сети , использование части ресурсов файл — сервера и рабочих станций , высокая чувствительность к случайным или преднамеренным изменениям , возможная зависимость от типов компьютеров ( их аппаратных средств ).
- Смешанные аппаратно — программные средства реализуют те же функции , что аппаратные и программные средства в отдельности , и имеют промежуточные свойства .
- Организационные средства складываются из организационно — технических ( подготовка помещений с компьютерами , прокладка кабельной системы с учетом требований ограничения доступа к ней и др .) и организационно — правовых ( национальные законодательства и правила работы , устанавливаемые руководством конкретного предприятия ). Преимущества организационных средств состоят в том , что они позволяют решать множество разнородных проблем , просты в реализации , быстро реагируют на нежелательные действия в сети , имеют неограниченные возможности модификации и развития . Недостатки — высокая зависимость от субъективных факторов , в том числе от общей организации работы в конкретном подразделении .
По степени распространения и доступности выделяются программные средства , другие средства применяются в тех случаях , когда требуется обеспечить дополнительный уровень защиты информации .
Категории информации по степени конфиденциальности
Информация, используемая в предпринимательской и иной деятельности весьма разнообразна. Вся она представляет различную ценность для организации и ее разглашение может привести к угрозам экономической безопасности различной степени тяжести. Боязнь лишиться таких активов заставляет компании создавать иные формы системы защиты, в том числе и организационную, а главное — правовую.
В связи, с чем информация разделяется на три группы:
- Первая — несекретная (или открытая), которая предназначена для использования как внутри Организации, так и вне нее.
- Вторая — для служебного пользования (ДСП), которая предназначена только для использования внутри Организации. Она подразделяется, в свою очередь, на две подкатегории:
- Доступная для всех сотрудников Организации;
- Доступная для определенных категорий сотрудников Организации, но данная информация может быть передана в полном объеме другому сотруднику для исполнения трудовых обязанностей.
Информация второй и третьей категории является конфиденциальной.
Примерный перечень конфиденциальной информации:
- Информация, составляющая коммерческую тайну — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам;
- Банковская тайна — сведения об операциях, о счетах и вкладах организаций — клиентов банков и корреспондентов;
- Иные виды тайн: адвокатская тайна, нотариальная тайна, тайна переписки и т.д.;
- Информация, имеющая интеллектуальную ценность для предпринимателя — техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п. и деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.
Контрольные вопросы и задания
1. Опишите информационную среду для перечисленных объектов и укажите для нее возможные информационные угрозы:
а) школа;
б) библиотека;
в) ваша семья;
г) супермаркет;
д) кинотеатр;
е) любая другая среда на ваш выбор.2. Используя Интернет, напишите реферат и сделайте доклад по методам и средствам защиты информации для некомпьютерной среды обитания человека.
3. Перечислите наиболее важные факторы и условия, которые следует учесть при разработке методов по защите информации в информационной среде. Проиллюстрируйте ваш ответ на конкретном примере информационной среды, предложенной в п. 1.
Заключение
Меры по обеспечению информационной безопасности на предприятии должны разрабатываться и реализовываться постоянно, независимо от роли IT-инфраструктуры в производственных процессах.
К решению этого вопроса необходимо подходить комплексно и с привлечением сторонних специалистов. Только такой подход позволит предотвратить утечку данных, а не бороться с ее последствиями.