Меню
Главная
Авторизация/Регистрация
 
Главная arrow Экономика arrow Основы экономической безопасности

МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ХОЗЯЙСТВУЮЩЕГО СУБЪЕКТА

В соответствии со ст. 16 Федерального закона «Об информации, информационных технологиях и о защите информации» система защиты информации включает правовые, организационные и технические меры, направленные:

  • 1) на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • 2) соблюдение конфиденциальности информации ограниченного доступа;
  • 3) реализацию права на доступ к информации.

Система защиты информации должна обеспечивать не только безопасность непосредственно информации и защиту интересов участников информационных отношений, но и безопасность средств информации, в частности автоматизированной системы обработки данных (АСОД).

Под защищенностью АСОД понимается уровень соответствия реализованных в ней механизмов защиты информации угрозам, которым может быть подвергнута данная информация. К факторам, определяющим защищенность АСОД, относятся:

  • • наличие соответствующего механизма на каждую потенциальную угрозу информации;
  • • прочность механизма защиты или степень его сопротивляемости попыткам их обхода или преодоления;
  • • величина ущерба в случае реализации угрозы.

Мероприятия по защите информации разделяют на пять групп:

правовые (законодательные), организационные (административные), морально-этические, технические, программные.

Правовые (законодательные) инструменты защиты информации — совокупность законодательных актов, регламентирующих правила использования, обработки и передачи информации ограниченного доступа и устанавливающих меры ответственности должностных и юридических лиц за их нарушение. В систему, регламентирующую отношения в информационной сфере, включаются законодательные акты:

  • • об интеллектуальной собственности;
  • • о средствах массовой информации;
  • • о формировании информационных ресурсов и предоставлении информации из них;
  • • о реализации права на поиск, получение и использование информации;
  • • о создании и применении информационных технологий и средств их обеспечения.

Правовое обеспечение защиты информации направлено на достижение следующих целей:

  • • формирование правосознания граждан по обязательному соблюдению норм законодательных актов, регламентирующих защиту информации;
  • • регулирование взаимоотношений субъектов информационной сферы;
  • • определение мер ответственности за нарушение правил защиты информации.

Действие законодательных актов, регламентирующих правила использования, обработки и передачи информации ограниченного доступа, распространяется на все субъекты информационных отношений.

К инструментам государственного регулирования отношений в области защиты информации относятся лицензирование и сертифицирование.

Под лицензированием понимается процедура выдачи на определенный срок специальных разрешений на ведение соответствующих видов деятельности. В области защиты информации обязательному лицензированию подлежат следующие виды деятельности:

  • • разработка и производство шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств;
  • • деятельность по распространению шифровальных (криптографических) средств;
  • • деятельность по техническому обслуживанию шифровальных (криптографических) средств;
  • • предоставление услуг в области шифровальной информации;
  • • деятельность по выявлению элементарных устройств, предназначенных для негласного получения информации в помещениях и технических средствах;
  • • деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
  • • деятельность по технической защите конфиденциальной информации;
  • • разработка, производство, реализация и приобретение в целях

продажи специальных технических средств, предназначенных для

негласного получения информации.

Под сертификацией понимается подтверждение соответствия продукции, процессов производства, эксплуатации, работ, услуг или иных объектов установленным требованиям (технические регламенты, стандарты, условия договора и пр.). Сертификация может носить как обязательный, так и добровольный характер.

Процедуру сертификации осуществляет независимая от изготовителя, продавца, исполнителя и потребителя организация (орган по сертификации), т.е. юридическое лицо, аккредитованное в установленном порядке для выполнения работ по сертификации.

Организационные (административные) инструменты защиты информации включают организационно-технические и организационно-правовые мероприятия, разрабатываемые должностными лицами в целях эффективной реализации правовых, технических инструментов обеспечения информационной безопасности.

Различные формы существования информации предопределяют и необходимость осуществления различных организационно-административных мероприятий. Однако для любых форм информации, относимой к информации ограниченного доступа, в хозяйствующем субъекте должны быть разработаны регламенты, включающие перечень информации, относимой к ограниченному доступу (перечень лиц, получающих и обрабатывающих ее, оборудование, с помощью которого осуществляется ее получение, обработка, хранение и передача, режимы их работы и использования и т.д.).

Организационно-технические и организационно-правовые мероприятия проводятся в течение всего жизненного цикла защищаемой информационной системы: от проектирования технических, программных средств и инженерных сооружений, с помощью которых будут осуществляться все операции с информационной базой, до их уничтожения.

К организационным мерам также относят сертификацию информационных систем или их элементов, аттестацию объектов и субъектов на выполнение требований обеспечения безопасности и т.д.

Все множество организационно-правовых и организационно-технических мероприятий по созданию и поддержанию функционирования системы защиты информации специалисты разделяют по критерию периодичности их проведения:

  • 1) на разовые, т.е. однократно проводимые;
  • 2) обусловленные ситуацией;
  • 3) периодически проводимые;
  • 4) регулярно или систематически проводимые.

К разовым мероприятиям относятся, например:

  • • разработка технических и методологических основ защиты АСОД;
  • • мероприятия, проводимые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АСОД;
  • • мероприятия, проводимые при разработке и вводе в эксплуатацию технических средств и программного обеспечения;
  • • разработка функциональных обязанностей должностных лиц службы информационной безопасности и т.д.

Периодически проводимые мероприятия:

  • • распределение реквизитов разграничения доступа к информации (пароли, ключи шифрования и т.д.);
  • • пересмотр правил разграничения доступа пользователей к информации;
  • • анализ системных журналов и принятие мер по обнаруженным нарушениям регламентов;
  • • периодическое осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты с привлечением сторонних специалистов;
  • • пересмотр состава и построения системы защиты и т.д.

К условиям, которые требуют проведения мероприятий по защите информации, можно отнести, например, кадровые изменения в составе персонала, участвующего в приеме, передаче, обработке и хранении информации, ремонт и модификацию оборудования и программного обеспечения, используемого в информационной сфере, и т.д. Постоянно проводимые мероприятия:

  • • обеспечение достаточного уровня физической защиты всех компонентов АСОД (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности средств вычислительной техники, носителей информации и т.п.);
  • • непрерывная поддержка функционирования и управления используемыми средствами защиты;
  • • явный и скрытый контроль за работой сотрудников хозяйствующего субъекта, осуществляющего прием, обработку, хранение и передачу информации ограниченного доступа;
  • • контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в эксплуатацию и функционирования АСОД;
  • • анализ состояния и оценка эффективности мер и применяемых средств защиты.

Морально-этические инструменты защиты информации — сложившиеся в обществе или в данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения в обществе или коллективе, ведет к потере престижа и авторитета. Наиболее показательный пример — Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

Морально-этические инструменты защиты информации основаны на моральных и этических нормах, что предполагает создание в рабочих коллективах соответствующей нравственной атмосферы, включая этический кодекс.

Технические инструменты защиты информации включают физические и аппаратные средства защиты, препятствующие проникновению и доступу потенциального нарушителя к компонентам защиты информации.

К техническим средствам передачи, обработки, хранения и отображения информации ограниченного доступа (ТСПИ) относятся технические средства автоматизированных систем управления — средства вычислительной техники, средства изготовления и размножения документов, аппаратура звукоусиления, звукозаписи, звуковоспроизведения и синхронного перевода, системы внутреннего телевидения, системы видеозаписи и воспроизведения видео, системы оперативнокомандной связи, системы внутренней автоматической телефонной связи, включая соединительные линии перечисленного выше оборудования, и т.д. Совокупность средств и систем обработки информации, а также помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, составляет объект ТСПИ.

Кроме технических средств и систем, в процессе обработки информации ограниченного доступа участвуют вспомогательные технические средства и системы (ВТСС): системы и средства городской автоматической телефонной связи; системы и средства передачи данных в системе радиосвязи; системы и средства охранной и пожарной сигнализации; контрольно-измерительная аппаратура; системы и средства кондиционирования; системы и средства проводной радиотрансляционной сети и приема программ радиовещания и телевидения; средства электрической оргтехники; системы и средства электрогазофикации и иные технические средства и системы.

В зону контроля включаются также посторонние проводники: провода, кабели, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции.

Ряд соединительных линий ВТСС, а также посторонних проводников могут выходить за пределы не только объекта ТСПИ, но и контролируемой зоны, под которой понимается пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств. Границей контролируемой зоны могут являться периметр охраняемой территории организации, а также ограждающие конструкции охраняемого здания или части охраняемого здания, если оно размещено на неохраняемой территории. Контролируемые ТСПИ включают:

  • • технические средства и системы, непосредственно обрабатывающие информацию ограниченного доступа, вместе с их соединительными линиями (совокупность проводов и кабелей, прокладываемых между отдельными ТСПИ и их элементами);
  • • вспомогательные технические средства и системы вместе с их соединительными линиями;
  • • посторонние проводники;
  • • систему электропитания объекта;
  • • систему заземления объекта.

Физические средства защиты информации — это совокупность механических, электрических, электромеханических, электронных, электронно-механических устройств и систем, которые функционируют автономно от информационных систем, создавая различного рода препятствия деструктивным факторам.

К физическим средствам защиты относятся: механические преграды, замки, турникеты (заграждения); специальное остекление; сейфы, шкафы; механические и электромеханические замки, в том числе с дистанционным управлением; замки с кодовым набором; датчики различного типа; теле- и фотосистемы наблюдения и регистрации; СВЧ, ультразвуковые, радиолокационные, лазерные, акустические и другие системы; устройства маркировки; устройства с идентификационными картами; устройства идентификации по физическим признакам (биометрические средства защиты); устройства пространственного заземления; системы физического контроля доступа; системы охранного телевидения и охранной сигнализации; системы пожаротушения и оповещения о пожаре и др.

Аппаратные средства — это совокупность механических, электрических, электромеханических, электронных, электронно-механических, оптических, лазерных, радиолокационных устройств и систем, встраиваемых в информационные системы или сопрягаемых с ними специально для обеспечения информационной безопасности.

К аппаратным средствам защиты информации относятся:

  • • регистры хранения реквизитов защиты (паролей, грифов секретности и т.п.);
  • • устройства для измерения индивидуальных характеристик человека (цвета и строения радужной оболочки глаз, овала лица и т.п.);
  • • схемы контроля границ адреса имен для определения законности обращения к соответствующим полям (областям) памяти и отдельным программам;
  • • схемы прерывания передачи информации в линии связи с целью периодического контроля адресов выдачи данных;
  • • экранирование ЭВМ;
  • • установка генераторов помех и др.

Программные инструменты защиты информации — это программное обеспечение, предназначенное для выполнения функций защиты информации.

К программным средствам относятся пакеты программ, отдельные программы или их части, используемые для решения задач защиты информации. Программные средства не требуют специальной аппаратуры, однако приводят к снижению производительности информационных систем, требуют выделения под их нужды определенного объема ресурсов и т.п. По целевому назначению программные средства можно разделить на несколько больших классов (групп):

  • • программы идентификации пользователей;
  • • программы определения прав (полномочий) пользователей (технических устройств);
  • • программы регистрации работы технических средств и пользователей (ведение системного журнала);
  • • программы уничтожения (затирания) информации после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации;
  • • криптографические программы (программы шифрования данных).

Программные средства защиты информации подразделяются на средства, реализуемые в стандартных операционных системах, и средства защиты в специализированных информационных системах. К средствам защиты в стандартных операционных системах относят:

  • • динамическое распределение ресурсов и запрещение пользователям работать с чужими ресурсами;
  • • разграничение доступа пользователей к ресурсам по паролям;
  • • разграничение доступа к информации по ключам защиты;
  • • защита таблицы паролей.

Средства защиты в экономических информационных системах, в том числе банковских системах, позволяют реализовать следующие функции защиты данных:

  • • опознавание по идентифицирующей информации пользователей и элементов информационной системы, разрешение на этой основе работы с информацией на определенном уровне;
  • • ведение многоразмерных таблиц профилей доступа пользователей к данным;
  • • управление доступом по профилям полномочий;
  • • уничтожение временно фиксируемых областей информации при завершении ее обработки;
  • • формирование протоколов обращений к защищаемым данным с идентификацией данных о пользователе и временных характеристик;
  • • программная поддержка работы терминала лица, отвечающего за безопасность информации;
  • • подача сигналов при нарушении правил работы с системой или правил обработки информации;
  • • физическая или программная блокировка возможности работы пользователя при нарушении им определенной последовательности правил или совершении определенных действий;
  • • подготовка отчетов о работе с различными данными — ведение подробных протоколов работы и др.

Криптографические программы специалисты иногда выделяют в самостоятельную группу защиты информации (специфические средства). Они основаны на использовании методов шифрования (кодирования) информации и могут использоваться как для защиты обрабатываемой информации в компонентах системы, так и для защиты информации, передаваемой по каналам связи. Само преобразование информации может осуществляться аппаратными или программными средствами, с помощью механических устройств, вручную и т.д.

 
< Пред   СОДЕРЖАНИЕ     След >
 

Популярные страницы