Комплексный подход к защите информации

В широком смысле понятие «защита информации» учитывает защиту всей информационной сферы на разных уровнях. Поэтому с этой точки зрения:

Защита информации – это комплекс мер, направленных на обеспечение информационной безопасности на разных уровнях: государства, ведомства, корпорации или отдельного пользователя.

 

Однако в узком смысле понятие «защита информации» применяется к конкретным информационным ресурсам, например, государственным, ведомственным, корпоративным или к информации отдельного пользователя.

Согласно ГОСТ 50922-2006 «Основные термины и определения» [4]:

Защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

 

Защищённой считают информацию, не претерпевшую несанкционированных изменений в процессе передачи, хранения и сохранения, не изменившую такие свойства, как достоверность, полнота и целостность данных.

Поэтому в целях защиты информации важнейшими являются следующие аспекты информационной безопасности (европейские критерии):

условия доступа (возможность получить некоторую требуемую информационную услугу);

целостность(непротиворечивость информации, ее защищённость от разрушения и несанкционированного изменения);

конфиденциальность (защита от несанкционированного прочтения).

Доступность информации [ресурсов информационной системы] - это состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно[4].

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определен­ной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [4].

Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право[4].

 

По мнению большинства специалистов, наибольший ущерб информации и информационным системам наносят неправомерные действия сотрудников и компьютерные вирусы. Первые относятся к компетенции администрации и службы безопасности организации. Вторые представляют широко распространённое явление, в той или иной степени отражающееся практически на всех пользователях компьютеров, особенно работающих в сетях и с нелицензионным программным обеспечением.

Защита информации – это понятие системное, комплексное, состоящее из множества различных направлений или рубежей обороны (защиты) информационных ресурсов.

Главная цель защиты информации – это обеспечение информационной безопасности на государственном или корпоративном, или ведомственном, или личном уровне. А информационную безопасность, то есть состояние защищенности интересов кого-то (или чего-то) в информационной сфере невозможно качественно обеспечить, затыкая бреши в защите только с одной стороны.

Например, защищая свои информационные ресурсы только от виртуальных угроз из компьютерных сетей, от вирусов и т.д., невозможно уберечь информацию от сбоев в аппаратном или программном обеспечении, неправильных действий пользователей, от физического уничтожения носителя с информацией (например, молотком), от потери информации во время пожара, затопления или деятельности насекомых, животных.

Следовательно,

защита информации – это комплекс технических, программных, правовых, организационных, криптографических, математических, экономических и др. методов и средств обеспечения информационной безопасности.

 

Согласно ГОСТ 50922-2006 «Основные термины и определения» [4]все виды защиты информации делятся на четыре направления:

· Правовая;

· Техническая;

· Криптографическая;

· Физическая.

 

Защита информации в Федеральном законе «Об информации, информационных технологиях и защите информации» [3]представляет собой принятие правовых, организационных и технических мер, направленных на:

· обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

· соблюдение конфиденциальности информации ограниченного доступа;

· реализацию права на доступ к информации.

 

То есть речь идет о вышеуказанных понятиях доступности, целостности и конфиденциальности, а все методы защиты информации делятся на:

· правовые

· организационные

· технические.

 

Однако в Доктрине информационной безопасности РФ [2] методы обеспечения информационной безопасности классифицируются по-другому. Все направления защиты информации разделяются на:

· правовые,

· организационно – технические,

· экономические.

Согласно ГОСТ 50922-2006 «Основные термины и определения» [4]:

правовая защита информации: защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

 

К правовым методам обеспечения информационной безопасности Российской Федерации относится [2]

разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.

Основными организационно - техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются [2]:

· лицензирование деятельности организаций в области защиты информации;

· аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;

· сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;

· введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

· создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

· контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;

 

Организационные (административные) методы защиты информации базируются на:

1) определении ответственного за информационную безопасность, в функции которого входит управление рисками, координация и контроль деятельности в области информационной безопасности и стратегическое планирование в организации;

2) обеспечении надёжной и экономичной защиты (средства и методы защиты, программно-технические средства, постоянное администрирование и т.п.) ИР, связанных с ними людей и помещений (зданий).

К организационно-техническим методам относятся также:

· Программные;

· Программно-технические;

· Технические;

· Криптографические

· Физические и другие.

Техническая защита информации (ТЗИ) [4] - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Программные средства защиты, это самый распространенный метод защиты информации в компьютерах и информационных сетях. Наиболее часто они применяются в случаях затруднения использования других методов и средств.

Программные средства защиты информации - комплекс алгоритмов и программ специального назначения и общего обеспечения функционирования компьютеров и информационных сетей, нацеленных на: контроль и разграничение доступа к информации, исключение несанкционированных действий с ней, управление охранными устройствами и т.п.

 

Они обладают универсальностью, простотой реализации, гибкостью, адаптивностью, возможностью настройки системы и др.

Программные средства защиты информации делятся на:

· основные;

· вспомогательные.

Основныепрограммные средства защиты информации способствуют противодействию съёма, изменения и уничтожения информации по основным возможным каналам воздействия на неё. Для этого они помогают осуществлять: аутентификацию объектов (работников и посетителей организаций), контроль и регулирование работы людей и техники, самоконтроль и защиту, разграничение доступа, уничтожение информации, сигнализацию о несанкционированном доступе и несанкционированной информации. Рекомендуется своевременно обновлять (инсталлировать) новые версии ПО.

Вспомогательные программы защиты информации обеспечивают: уничтожение остаточной информации на магнитных и иных перезаписываемых носителях данных, формирование грифа секретности и категорирование грифованной информации, имитацию работы с несанкционированным пользователем для накопления сведений о его работе, ведение регистрационных журналов, общий контроль функционирования подсистемы защиты, проверку системных и программных сбоев и др. Некоторые специализированные программы (например, ForSer TV) позволяют отображать план охраняемого объекта с отражаемыми на нём точками контроля доступа сотрудников и посетителей, местами установки видеокамер, извещателей и датчиков и др.

К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности информационных ресурсов, относятся:

● аутентификация пользователя и установление его идентичности;

● управление доступом к БД;

● поддержание целостности данных;

● протоколирование и аудит;

● защита коммуникаций между клиентом и сервером;

● отражение угроз, специфичных для СУБД и др.

 

Физическая защита информации[4]- защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

Физические мероприятия заключаются в применении человеческих ресурсов, отдельных технических средств и устройств, позволяющих обеспечивать защиту от проникновения злоумышленников на объект, несанкционированного использования, порчи или уничтожения ими материальных и людских ресурсов. Такими человеческими ресурсами являются лица ведомственной или вневедомственной охраны и вахтеры, а также отдельные, назначаемые руководством организации, сотрудники. Они ограничивают, в том числе с помощью соответствующих технических устройств, доступ на объекты нежелательных лиц.

Технические мероприятия физической защиты включают в себя элементы физических мероприятий. Они базируются на применении следующих технических средств и систем:

● охранной и пожарной сигнализации;

● контроля и управления доступом;

● видеонаблюдения и защиты периметров объектов защиты информации;

● контроля состояния окружающей среды и технологического оборудования, систем безопасности, перемещения людей, транспорта и грузов;

● учёта рабочего времени персонала и времени присутствия на объектах различных посетителей.

В качестве технических средств используются решётки на окна, ограждения, металлические двери, турникеты и др. Программно-технические средства включают различные системы ограничения доступа на объект, сигнализации и видеонаблюдения.

 

Криптографическая защита информации[4] -защита информации с помощью ее криптографического преобразования.

Криптографические методы защиты информации - комплекс (совокупность) алгоритмов и процедур шифрования и кодирования информации для обеспечения преобразования смыслового содержания передаваемой в информационных сетях или хранимых на внешних носителях данных, то есть подразумевают создание специальных секретных ключей пользователей.

 

Экономические методы [2] обеспечения информационной безопасности Российской Федерации включают в себя:

· разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;

· совершенствование системы финансирования работ, связанных с реализацией правовых и организационно - технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.