logo
Информационная безопасность / Информационная безопасность2006

Способы и средства защиты информации

  1. Способ препятствия: запрещение проникновения на территорию ИВС, допуска к аппаратуре, к носителям информации и т.п. Средства – физические и аппаратные. Физические – это замки на дверях, решетки на окнах, контрольно-пропускные пункты, охранная сигнализация и т.п. Аппаратные средства защиты – различные электронные устройства, включаемыев состав технических средств ИВС, но выполняющие самостоятельного или в комплексе с другими средствами некоторые функции защиты в терминалах, устройствах группового ввода-вывода данных, ЦП, внешних ЗУ, периферийном оборудовании.

  2. Способ управления: регулирование всех ресурсов системы (технических средств, программ, элементов баз данных) в пределах установленного регламента. Это четкие и однозначные правила работы для пользователей, тех. персонала, тех. средств, программ, элементов баз данных и носителей информации. Средства – аппаратные, программные.

  3. Способ регламентации тесно связан с управлением.

  1. Способ маскирования (кодирования, шифрования) информации заключается в таком преобразовании защищенных данных, чтобы их содержимое было доступно лишь при предъявлении некоторой специфической информации (ключа) и осуществлении обратных преобразований. Такие преобразования называют криптографическим закрытием информации. Эту защиту можно применять как при обработке защищенной информации, так и при ее хранении. При передаче информации по линии связи криптографическое закрытие является единственным способом надежной защиты передаваемых данных. Некоторой силой криптографического закрытия обладают и известные методе сжатия данных. Средства – аппаратные и программные.

Программные средства – это специальные программы, входящие в состав ПО ИВС и способные осуществлять функции защиты. Они универсальны, сравнительно просты в реализации и гибки. Основные группы их функций защиты:

Организационные средства – мероприятия, охватывающие все структурные элементы ИВС на всех этапах ее жизненного цикла: строительство помещения, планирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация, организация пропускного и рабочего режима, контроль технологии обработки защищенной информации, распределение реквизитов разграничения доступа (паролей, уровней полномочий и т.п.), организация ведения и анализа протоколов работы.

К законодательным средствам защиты относятся те законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

  1. Способ принуждения есть такой способ защиты, когда пользователи и персонал ИВС вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Средства – законодательные.

  2. Способ побуждения есть такой способ, когда пользователи и персонал ИВС внутренне, т.е. моральными, этическими, психологическими или другими мотивами стремятся к соблюдению всех правил защиты информации. Средства – морально-этические. К ним относятся всевозможные нормы, которые сложились традиционно или складывались по мере распространения ЭВМ в данной стране ил обществе. Большей частью они неявляются обязательными, как законодательные меры. Несоблюдение морально-этических норм ведет обычно к потере авторитета, престижа человека или группы лиц (организаций) и потере к ним доверия. Морально-этические нормы бывают как неписанные (например, общепринятые нормы честности, патриотизма и т.п.), так и писанные, например, свод, кодекс профессионального поведения членов разных групп, ассоциаций и т.п. Например, кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

Физические, аппаратные и программные средства называют формальными. При этом еще физические и аппаратные средства называют техническими. А средства организационные, законодательные и морально-этические называют неформальными.

На основе имеющегося мирового опыта утвердились следующие общие фундаментальные принципы организации защиты информации:

  1. Системность. В современных ИВС должна быть обеспечена надежная и согласованная защита во всех структурных ее элементах, на всех технологических участках обработки информации и во все время функционирования.

  2. Специализированность. Надежный механизм защиты может быть спроектирован лишь профессиональными специалистами по защите информации и для обеспечения эффективного функционирования механизма защиты в составе ИВС также должен быть специалист по защите информации.

  3. Неформальность – этот принцип утверждает, что не существует инженерной методики проектирования механизмов защиты в традиционном понимании этого термина. Те методики проектирования, которые к настоящему времени разработаны, в основном содержат комплексы требований, правил и содержание этапов, сформулированных на неформальном уровне, т.е. механическое, алгоритмическое их осуществление невозможно. Общее решение проблемы защиты информации – это иллюзия. Цель проектирования системы защиты – как можно дольше затруднить злоумышленнику взломать защиту. Однако утверждается, что выполнение специалистами по защите информации этих требований создает объективные предпосылки для проектирования достаточно надежного механизма защиты.

Требования для механизма защиты (общие):

Конкретизация общих требований применительно к различным компонентам ИВС включает около 200 частных требований.