В широком смысле понятие «защита информации» учитывает защиту всей информационной сферы на разных уровнях. Поэтому с этой точки зрения:
Защита информации – это комплекс мер, направленных на обеспечение информационной безопасности на разных уровнях: государства, ведомства, корпорации или отдельного пользователя.
Однако в узком смысле понятие «защита информации» применяется к конкретным информационным ресурсам, например, государственным, ведомственным, корпоративным или к информации отдельного пользователя.
Согласно ГОСТ 50922-2006 «Основные термины и определения» [4]:
Защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защищённой считают информацию, не претерпевшую несанкционированных изменений в процессе передачи, хранения и сохранения, не изменившую такие свойства, как достоверность, полнота и целостность данных.
Поэтому в целях защиты информации важнейшими являются следующие аспекты информационной безопасности (европейские критерии):
● условия доступа (возможность получить некоторую требуемую информационную услугу);
● целостность (непротиворечивость информации, ее защищённость от разрушения и несанкционированного изменения);
● конфиденциальность (защита от несанкционированного прочтения).
Доступность информации [ресурсов информационной системы] - это состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно[4].
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [4].
Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право[4].
По мнению большинства специалистов, наибольший ущерб информации и информационным системам наносят неправомерные действия сотрудников и компьютерные вирусы. Первые относятся к компетенции администрации и службы безопасности организации. Вторые представляют широко распространённое явление, в той или иной степени отражающееся практически на всех пользователях компьютеров, особенно работающих в сетях и с нелицензионным программным обеспечением.
Защита информации – это понятие системное, комплексное, состоящее из множества различных направлений или рубежей обороны (защиты) информационных ресурсов.
Главная цель защиты информации – это обеспечение информационной безопасности на государственном или корпоративном, или ведомственном, или личном уровне. А информационную безопасность, то есть состояние защищенности интересов кого-то (или чего-то) в информационной сфере невозможно качественно обеспечить, затыкая бреши в защите только с одной стороны.
Например, защищая свои информационные ресурсы только от виртуальных угроз из компьютерных сетей, от вирусов и т.д., невозможно уберечь информацию от сбоев в аппаратном или программном обеспечении, неправильных действий пользователей, от физического уничтожения носителя с информацией (например, молотком), от потери информации во время пожара, затопления или деятельности насекомых, животных.
Следовательно,
защита информации – это комплекс технических, программных, правовых, организационных, криптографических, математических, экономических и др. методов и средств обеспечения информационной безопасности.
Согласно ГОСТ 50922-2006 «Основные термины и определения» [4]все виды защиты информации делятся на четыре направления:
· Правовая;
· Техническая;
· Криптографическая;
· Физическая.
Защита информации в Федеральном законе «Об информации, информационных технологиях и защите информации» [3]представляет собой принятие правовых, организационных и технических мер, направленных на:
· обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
· соблюдение конфиденциальности информации ограниченного доступа;
· реализацию права на доступ к информации.
То есть речь идет о вышеуказанных понятиях доступности, целостности и конфиденциальности, а все методы защиты информации делятся на:
· правовые
· организационные
· технические.
Однако в Доктрине информационной безопасности РФ [2] методы обеспечения информационной безопасности классифицируются по-другому. Все направления защиты информации разделяются на:
· правовые,
· организационно – технические,
· экономические.
Согласно ГОСТ 50922-2006 «Основные термины и определения» [4]:
правовая защита информации: з ащита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
К правовым методам обеспечения информационной безопасности Российской Федерации относится [2]
разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.
Основными организационно - техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются [2]:
· лицензирование деятельности организаций в области защиты информации;
· аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;
· сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
· введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
· создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
· контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
Организационные (административные) методы защиты информации базируются на:
1) определении ответственного за информационную безопасность, в функции которого входит управление рисками, координация и контроль деятельности в области информационной безопасности и стратегическое планирование в организации;
2) обеспечении надёжной и экономичной защиты (средства и методы защиты, программно-технические средства, постоянное администрирование и т.п.) ИР, связанных с ними людей и помещений (зданий).
К организационно-техническим методам относятся также:
· Программные;
· Программно-технические;
· Технические;
· Криптографические
· Физические и другие.
Техническая защита информации ( ТЗИ) [4] - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
Программные средства защиты, это самый распространенный метод защиты информации в компьютерах и информационных сетях. Наиболее часто они применяются в случаях затруднения использования других методов и средств.
Программные средства защиты информации - комплекс алгоритмов и программ специального назначения и общего обеспечения функционирования компьютеров и информационных сетей, нацеленных на: контроль и разграничение доступа к информации, исключение несанкционированных действий с ней, управление охранными устройствами и т.п.
Они обладают универсальностью, простотой реализации, гибкостью, адаптивностью, возможностью настройки системы и др.
Программные средства защиты информации делятся на:
· основные;
· вспомогательные.
Основные программные средства защиты информации способствуют противодействию съёма, изменения и уничтожения информации по основным возможным каналам воздействия на неё. Для этого они помогают осуществлять: аутентификацию объектов (работников и посетителей организаций), контроль и регулирование работы людей и техники, самоконтроль и защиту, разграничение доступа, уничтожение информации, сигнализацию о несанкционированном доступе и несанкционированной информации. Рекомендуется своевременно обновлять (инсталлировать) новые версии ПО.
Вспомогательные программы защиты информации обеспечивают: уничтожение остаточной информации на магнитных и иных перезаписываемых носителях данных, формирование грифа секретности и категорирование грифованной информации, имитацию работы с несанкционированным пользователем для накопления сведений о его работе, ведение регистрационных журналов, общий контроль функционирования подсистемы защиты, проверку системных и программных сбоев и др. Некоторые специализированные программы (например, ForSer TV) позволяют отображать план охраняемого объекта с отражаемыми на нём точками контроля доступа сотрудников и посетителей, местами установки видеокамер, извещателей и датчиков и др.
К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности информационных ресурсов, относятся:
● аутентификация пользователя и установление его идентичности;
● управление доступом к БД;
● поддержание целостности данных;
● протоколирование и аудит;
● защита коммуникаций между клиентом и сервером;
● отражение угроз, специфичных для СУБД и др.
Физическая защита информации [4]- з ащита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.
К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.
Физические мероприятия заключаются в применении человеческих ресурсов, отдельных технических средств и устройств, позволяющих обеспечивать защиту от проникновения злоумышленников на объект, несанкционированного использования, порчи или уничтожения ими материальных и людских ресурсов. Такими человеческими ресурсами являются лица ведомственной или вневедомственной охраны и вахтеры, а также отдельные, назначаемые руководством организации, сотрудники. Они ограничивают, в том числе с помощью соответствующих технических устройств, доступ на объекты нежелательных лиц.
Технические мероприятия физической защиты включают в себя элементы физических мероприятий. Они базируются на применении следующих технических средств и систем:
● охранной и пожарной сигнализации;
● контроля и управления доступом;
● видеонаблюдения и защиты периметров объектов защиты информации;
● контроля состояния окружающей среды и технологического оборудования, систем безопасности, перемещения людей, транспорта и грузов;
● учёта рабочего времени персонала и времени присутствия на объектах различных посетителей.
В качестве технических средств используются решётки на окна, ограждения, металлические двери, турникеты и др. Программно-технические средства включают различные системы ограничения доступа на объект, сигнализации и видеонаблюдения.
Криптографическая защита информации [4] -защита информации с помощью ее криптографического преобразования.
Криптографические методы защиты информации - комплекс (совокупность) алгоритмов и процедур шифрования и кодирования информации для обеспечения преобразования смыслового содержания передаваемой в информационных сетях или хранимых на внешних носителях данных, то есть подразумевают создание специальных секретных ключей пользователей.
Экономические методы [2] обеспечения информационной безопасности Российской Федерации включают в себя:
· разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
· совершенствование системы финансирования работ, связанных с реализацией правовых и организационно - технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
