Информационная безопасность и средства защиты информации

Важной проблемой человечества является защита информации, которая на различных этапах развития решалась по-разному. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине ХХ в. сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества.

Главная тенденция, характеризующая развитие современных информационных технологий, - рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.

Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много.

Существенными из них являются[10]:

- переход от традиционной «бумажной» технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологий защиты информации;

- объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

- увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличение числа уязвимых мест.

Любое современное предприятие независимо от вида деятельности и формы собственности не в состоянии успешно развиваться и вести хозяйственную деятельность без создания на нем условий для надежного функционирования системы защиты собственной информации.

Отсутствие у многих руководителей предприятий четкого представления по вопросам защиты информации приводит к тому, что им сложно в полной мере оценить необходимость создания надежной системы защиты информации. Трудно бывает определить конкретные действия, необходимые для защиты тех или иных конфиденциальных сведений. Чаще руководители предприятий идут по пути создания охранных служб, полностью игнорируя при этом вопросы информационной безопасности.

Защита информации –деятельность, направленная на сохранение государственной, служебной, коммерческой или личной тайны, а также на сохранение носителей информации любого содержания.

Система защиты информации –комплекс организационных и технических мероприятий по защите информации, проведенных на объекте с применением необходимых технических средств и способов в соответствии с концепцией, целью и замыслом защиты.

Для решения проблемы защиты информации основными средствами защиты информации принято считать:

1. Технические средства –реализуются в виде электрических, электромеханических, электронных устройств. Всю совокупность технических средств принято делить на:

- аппаратные –устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой систем обработки данных (СОД) по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры);

- физические –реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах).

2. Программные средства –программы, специально предназначенные для выполнения функций, связанных с защитой информации.

3. Организационные средства –организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации СОД для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы СОД на всех этапах: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация [24].

4. Законодательные средства – законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

5. Морально-этические средства –всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств в данной стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета, престижа человека или группы лиц.

Использование какого-либо одного из указанных способов защиты не обеспечивает надежного сохранения информации. Нужен комплексный подход к использованию и развитию всех средств и способов защиты информации. В результате были созданы следующие способы защиты информации:

1. Препятствие –физически преграждает злоумышленнику путь к защищаемой информации.

2. Управление доступом – способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных). Управление доступом включает следующие функции защиты:

- идентификацию пользователей,персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта по предъявленному им идентификатору;

- проверку полномочий,соответствие дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту;

- разрешение и создание условий работы в пределах установленного регламента;

- регистрацию обращений к защищаемым ресурсам;

- реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

3. Маскировка –способ защиты информации с СОД путем ее криптографического шифрования. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом ее надежной защиты.

4. Регламентация –комплекс мероприятий, направленных на создание таких условий обработки и хранения информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение СОД (архитектура зданий, оборудование помещений, размещение аппаратуры), организацию и обеспечение работы всего персонала, занятого обработкой информации.

5. Принуждение –пользователи и персонал СОД вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Все рассмотренные средства защиты делятся на:

- формальные –выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека;

- неформальные – такие средства, которые либо определяются целенаправленной деятельностью людей, либо регламентируют эту деятельность