Классификация мер обеспечения безопасности компьютерных систем

Опыт применения систем ЗИ (СЗИ) показывает, что эффективной может быть лишь комплексная система защиты информации (КСЗИ), сочетающая следующие меры.

1. Правовые (законодательные).

2. Морально-этические.

3. Физические.

4. Организационные (административные).

5. Аппаратные.

6. Программные.

7. Криптографические.

 

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

К морально-этическим мерам противодействия относятся нормы поведения или этические правила, сложившиеся в обществе или в данном коллективе, соблюдение которых способствует защите информации. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Весьма важным является создание и поддержание на объекте такой моральной атмосферы, в которой нарушение регламентированных правил поведения оценивалось бы большинством сотрудников резко негативно.

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.

Организационные меры — это мероприятия организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

По мнению специалистов, организационные мероприятия играют большую роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

Влияние этих аспектов практически невозможно избежать с помощью технических средств, программно-математических методов и физических мер.

Организационная защита обеспечивает:

• организацию охраны, режима, работу с кадрами, с документами;
• использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

• организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
• организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
• организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
• организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
• организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
• организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

Аппаратно-программные средствапредставляют собой аппаратное и программное обеспечение, специально предназначенное для выполнения функций защиты информации в компьютерных системах. К данному классу средств защиты относятся: антивирусные, криптографические средства, системы разграничения доступа, системы аутентификации, межсетевые экраны, системы обнаружения вторжений и т.п.

К техническим средствам относятся механические, электромеханические, электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации.

Эти средства применяются для решения следующих задач:

— препятствия визуальному наблюдению и дистанционному подслушиванию;

— нейтрализации паразитных электромагнитных излучений и наводок (ПЭМИН);

— обнаружению технических средств подслушивания и магнитной записи, несанкционированно устанавливаемых или проносимых в организацию;

— защиты информации, передаваемой в средствах связи и системах автоматизированной обработки информации.

По своему предназначению аппаратные средства подразделяются на средства выявления и средства защиты от несанкционированного доступа.

К классу защитной спецтехники относится огромное количество аппаратов, устройств и систем, которые условно можно разделить на несколько групп. Например, на такие как:

— приборы обнаружения и нейтрализации подслушивающих и звукозаписывающих устройств;

— средства защиты абонентской телефонной сети;

— средства защиты съема информации из помещений;

— приборы для обнаружения лазерного и видеонаблюдения и др.

.К специфическим средствам защиты информации относятся криптографические методы защиты информации.