 |
Уровни защиты информации: законодательный, административный, процедурный, программно-технический
|
|
|
|
Информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Одним из наиболее эффективных методов обеспечения информационной безопасности являются организационно-технические методы.
Что такое организационно-технические методы обеспечения информационной безопасности? Прежде всего, создание и совершенствование системы обеспечения информационной безопасности, разработка, использование и совершенствование системы защиты информации и методов контроля их эффективности.
Этот этап тесно связан с правовыми методами защиты информации, такими как лицензирование (деятельности в области защиты информации), сертификация средств защиты информации и применение уже сертифицированных, и аттестация объектов информатизации по требованиям безопасности информации.
А так же организационно технические методы связаны с экономическими, включающими в себя разработку программ обеспечения информационной безопасности, определение порядка их финансирования, совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков.
Защита информации всегда является комплексным мероприятием. В совокупности, организационные и технические мероприятия позволяют предотвратить утечку информации по техническим каналам, предотвратить несанкционированный доступ к защищаемым ресурсам, что в свою очередь обеспечивает целостность и доступность информации при ее обработке, передаче и хранении. Так же техническими мероприятиями могут быть выявлены специальные электронные устройства перехвата информации, установленные в технические средства и защищаемое помещение.
|
|
|
Меры по охране конфиденциальности информации, составляющей коммерческую тайну:
· определение перечня информации, составляющей коммерческую тайну;
· ограничение доступа к информации, составляющей коммерческую тайну,
· путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
· учёт лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
· регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
· нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Если говорить об экономической стороне защиты информации, всегда важно одно правило – стоимость системы защиты информации не должна превышать стоимость этой информации. Но это не единственное «но» в этом вопросе.
Нецелесообразно защищать всю информацию, какую можем, и все каналы информации какие только есть. Для этого необходимо определить объект защиты.
Основными объектами защиты являются речевая информация и информация обрабатываемая техническими средствами. Так же информация может быть представлена в виде физических полей, информативных электрических сигналов, носителей на бумажной, магнитной, магнито-оптической и иной основе. В связи с этим защите подлежат средства и системы информатизации, участвующие в обработке защищаемой информации (ОТСС), технические средства и системы, не обрабатывающие непосредственно информацию, но размещенные в помещениях, где она обрабатывается (ВТСС) и защищаемые помещения.
|
|
|
В первом приближении все методы защиты информации можно разделить на три класса:
· законодательные;
· административные;
· технические.
Законодательные методы определяют:
· кто и в какой форме должен иметь доступ к защищаемой информации, и устанавливают ответственность за нарушения установленного порядка. Например, в древнем мире у многих наций были тайные культы, называемые мистериями. К участию в мистериях допускались только посвященные путем особых обрядов лица. Содержание мистерий должно было сохраняться в тайне. А за разглашение секретов мистерий посвященного ждало преследование, вплоть до смерти. Также смертью каралось недозволенное участие в мистериях, даже произошедшее по случайности. В современном мире существуют законы о защите государственной тайны, авторских прав, положения о праве на тайну личной переписки и многие другие. Такие законы описывают, кто и при каких условиях имеет, а кто не имеет право доступа к определенной информации. Однако законодательные методы не способны гарантировать выполнение установленных правил, они лишь декларируют эти правила вместе с мерой ответственности за их нарушение.
Административные методы:
· заключаются в определении процедур доступа к защищаемой информации и строгом их выполнении. Контроль над соблюдением установленного порядка возлагается на специально обученный персонал. Административные методы применялись многие века и диктовались здравым смыслом. Чтобы случайный человек не прочитал важный документ, такой документ нужно держать в охраняемом помещении. Чтобы передать секретное сообщение, его нужно посылать с курьером, который готов ценой собственной жизни защищать доверенную ему тайну. Чтобы из библиотеки не пропадали в неизвестном направлении книги, необходимо вести учет доступа к библиотечным ресурсам. Современные административные методы защиты информации весьма разнообразны. Например, при работе с документами, содержащими государственную тайну, сначала необходимо оформить допуск к секретным документам. При получении документа и возврате его в хранилище в журнал регистрации заносятся соответствующие записи. Работа с документами разрешается только в специально оборудованном и сертифицированном помещений. На любом этапе известно лицо, несущее ответственность за целостность и секретность охраняемого документа. Схожие процедуры доступа к информации существуют и в различных организациях, где они определяются корпоративной политикой безопасности. Например, элементом политики безопасности может являться контроль вноса и выноса с территории организации носителей информации (бумажных, магнитных, оптических и др.). Административные методы защиты зачастую совмещаются с законодательными и могут устанавливать ответственность за попытки нарушения установленных процедур доступа.
|
|
|
Технические методы защиты информации:
· в отличие от законодательных и административных, призваны максимально избавиться от человеческого фактора. Действительно, соблюдение законодательных мер обуславливается только добропорядочностью и страхом перед наказанием. За соблюдением административных мер следят люди, которых можно обмануть, подкупить или запугать. Таким образом, можно избежать точного исполнения установленных правил. А в случае применения технических средств зашиты перед потенциальным противником ставится некоторая техническая (математическая, физическая) задача, которую ему необходимо решить для получения доступа к информации. В то же время легитимному пользователю должен быть доступен более простой путь, позволяющий работать с предоставленной в его распоряжение информацией без решения сложных задач. К техническим методам защиты можно отнести как замок на сундуке, в котором хранятся книги, так и носители информации, самоуничтожающиеся при попытке неправомерного использования. Правда, такие носители гораздо чаще встречаются в приключенческих фильмах, чем в реальности.
|
|
|
Технические способы защиты информации начали разрабатываться очень давно.
Так, например, еще в V—IV вв. до н. э. в Греции применялись шифрующие устройства. По описанию древнегреческого историка Плутарха, шифрующее устройство состояло из двух палок одинаковой толщины, называемых сциталами, которые находились у двух абонентов, желающих обмениваться секретными сообщениями. На сциталу по спирали наматывалась без зазоров узкая полоска папируса, и в таком состоянии наносились записи. Потом полоску папируса снимали и отправляли другому абоненту, который наматывал ее на свою сциталу и получал возможность прочесть сообщение. Элементом, обеспечивающим секретность в таком шифрующем устройстве, являлся диаметр сциталы.
Вместе с техническими методами защиты разрабатывались и методы обхода (взлома) зашиты. Так древнегреческий философ Аристотель предложил использовать длинный конус, на который наматывалась лента с зашифрованным сообщением. В каком-то месте начинали просматриваться куски сообщения, что позволяло определить диаметр сциталы и расшифровать все сообщение.
Методы, не имеющие математического обоснования стойкости, проще всего рассматривать как "черный ящик" — некоторое устройство, которому на вход подаются данные, а на выходе снимается результат. Процессы, происходящие внутри "черного ящика", предполагаются неизвестными и неподвластными ни пользователю, ни потенциальному противнику. Собственно, стойкость таких методов основывается именно на предположении, что "ящик" никогда не будет вскрыт и его внутреннее устройство не будет проанализировано. Однако в реальной жизни случается всякое, и иногда или возникает ситуация, при которой раскрывается устройство "черного ящика",или упорному исследователю удается разгадать алгоритмы, определяющие функционирование зашиты, без вскрытия самого "ящика". При этом стойкость системы защиты становится равна нулю. Методы защиты, функционирующие по принципу "черного ящика", называют Security Through Obscurity (безопасность через неясность, незнание).
Особенность методов защиты информации, имеющих математическое обоснование стойкости, заключается в том, что их надежность оценивается, исходя из предположения открытости внутренней структуры. То есть предполагается, что потенциальному противнику известны в деталях все алгоритмы и протоколы, использующиеся для обеспечения защиты. И, тем не менее, противник должен быть не б состоянии обойти средства защиты, т. к. для этого ему надо решить некоторую математическую проблему, которая на момент разработки защиты не имела эффективного решения. Однако существует вероятность того, что через некоторое время будет разработан эффективный алгоритм решения математической проблемы, лежащей в основе метода защиты, а это неминуемо приведет к снижению ее стойкости. Большинство методов, имеющих математическое обоснование стойкости, относятся к методам криптографии. И именно криптографические методы в основном позволяют эффективно решать задачи информационной безопасности.
|
|
|
