Методи і засоби захисту інформації в ІСУЗЕД

Під безпекою ІСУЗЕД розуміють її здатність протидіяти спробам нанести збитки власникам та користувачам системи при появі різноманітних збурюючих (навмисних і ненавмисних) впливів на неї.

Загроза безпеки ІСУЗЕД – потенційні дії або події, які можуть прямо чи опосередковано привести до руйнування, спотворення чи несанкціонованого використання ресурсів ІС, включаючи інформацію, що зберігається, передається або обробляється, а також програмні та апаратні засоби.

Основні джерела загроз безпеки ІСУЗЕД поділяються на:

1. Випадкові - виникають через помилки в діяльності персоналу, збої обладнання або стихійні лиха (близько 70%).

2. Навмисні - виникають через задумані заборонені дії людей, спрямовані на несанкціонований доступ до інформації, що зберігається в ІС (близько 30%).

Канали розповсюдження загроз безпеки ІСУЗЕД:

1. Зовнішній канал (12%) – безпосередня діяльність недобросовісних конкурентів або злочинних елементів, дії яких можуть бути спрямовані на:

- одержання інформації за допомогою підслуховуючих пристроїв;

- викрадення, копіювання, пошкодження або знищення документів та інших носіїв інформації, що містять комерційну таємницю;

- одержання інформації у процесі її проходження через комунікаційні мережі;

- підкуп, шантаж співробітників підприємства з метою одержання інформації, яка містить комерційну таємницю;

- переманювання провідних спеціалістів на конкуруюче підприємство.

2. Внутрішній канал (88%) – пов'язаний з непорядністю окремих співробітників підприємства, незадоволених платнею або відносинами з керівництвом, або веденням ними службових розмов у невідповідних місцях. Вони можуть видати комерційну таємницю конкурентам або знищити важливу інформацію.

Види загроз безпеки ІСУЗЕД:

1. Загроза конфіденційності - перехоплення інформації.

2. Загроза цілісності - викривлення або руйнування інформації.

3. Загроза доступності - блокування доступу до інформації.

Способи реалізації загроз безпеки ІСУЗЕД:

1. Пасивний спосіб - без порушення функціонування ІС (наприклад, несанкціоноване використання ресурсів).

2. Активний спосіб - з порушенням функціонування ІС шляхом впливу на її програмні, технічні, інформаційні ресурси.

Захист інформації – сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації або автоматизованої системи та осіб, які користуються інформацією.

Методи захисту інформації в ІСУЗЕД:

1. Організаційні методи – регулювання доступу до всіх ресурсів ІС (технічних, програмних, елементів баз даних).

2. Законодавчі методи – розробка нормативних актів, якими регламентуються правила використання та обробки інформації обмеженого доступу і встановлюється міра відповідальності за їх порушення.

3. Фізичні методи – створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до захищеної інформації: охорона, сигналізація, створення екранованих приміщень для захисту від витікання інформації по каналам випромінювання, перевірка апаратури, що поставляється, на відповідність її специфікаціям та відсутність апаратних „жучків".

4. Програмні методи – використання програм криптографічного перетворення (шифрування) та програм захисту юридичної значимості документів (цифровий підпис).