АНАЛИЗ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ВЫБОР МЕТОДА ЕЕ МОДЕРНИЗАЦИИ
2.1 Методы и средства защиты информации в сетях На первом этапе развития концепций обеспечения безопасности данных преимущество отдавалось программным средствам защиты. Но практика показала, что для обеспечения безопасности данных этого недостаточно, и интенсивное развитие получили всевозможные устройства и системы. Постепенно, по мере формирования системного подхода к проблеме обеспечения безопасности данных, возникла необходимость комплексного применения методов защиты и созданных на их основе средств и механизмов защиты. Обычно на предприятиях в зависимости от объема хранимых, передаваемых и обрабатываемых конфиденциальных данных за информационную безопасность отвечают отдельные специалисты или целые отделы. На рисунке 2.1 представлена модель комплексной защиты информации.
Рисунок 2.1 модель комплексной защиты информации
В защите информации четко выделяют два направления: защита конфиденциальности и защита работоспособности. Для выполнения этих задач существуют специальные методы и средства защиты данных, которые подробно представлены на рисунке 2.2.
Рисунок 2.2 - Классификация методов и средств защиты данных
Методы обеспечения безопасности информации в ИС делятся на: − препятствие; − управление доступом; − механизмы шифрования (маскировка); − регламентация; − принуждение; − побуждение; − противодействие атакам вредоносных программ. Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.). Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает: − идентификацию пользователей, персонала и ресурсов системы; − опознание субъекта по предъявленному им идентификатору; − проверку полномочий; − создание условий работы в пределах установленного регламента; − регистрацию обращений к защищаемым ресурсам; − при попытках несанкционированных действий. Механизмы шифрования – криптографическое закрытие информации. Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени. Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм. Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования ИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС. Вся совокупность технических средств подразделяется на аппаратные и физические. Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу. Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений. Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС в стране и в мире. Морально-этические нормы могут быть неписаные либо оформленные в некий свод правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.
|
