Классификация способов защиты информации
В рамках системы множество и разнообразие видов защиты информации определяется способами воздействия на дестабилизирующие факторы или порождающие их причины, на элементы ИС, защищаемую информацию и окружающую среду в направлении повышения показателей защищенности информации. Эти способы могут быть классифицированы следующим образом: морально-этические и законодательные, административные и психологические, защитные возможности программных и аппаратных средств.
К морально-этическимсредствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирования программ в настоящее время в основном используются меры воспитательного плана, необходимо внедрять в сознание людей аморальность всяческих покушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.
Законодательныесредства защиты – это законы, постановления Правительства и указы Президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защиту информации, составляющей государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.
Административные меры – это действия, предпринимаемые руководством предприятия или организации для обеспечения информационной безопасности. К таким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предприятием средств безопасности. Представители администрации, которые несут ответственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российскими тестирующими организациями.
Психологические мерыбезопасности могут играть значительную роль в укреплении безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к нарушениям защиты. Рассмотрим,
например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны менять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумышленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удаленных пользователей не исключено, что такой простой психологический прием может сработать.
К физическимсредствам защиты относятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находятся носители информации, от незаконного проникновения и т.д.
Техническиесредства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутентификации и авторизации, аудит, шифрование информации, антивирусную защиту, контроль сетевого графика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сет и, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.
- Введение в защиту информации. Источники, риски и формы атак на информацию Защита компьютерной информации: основные понятия и определения
- Классификация угроз безопасности информации
- Формы атак на объекты информационных систем Формы атак
- Программные закладки
- Модели воздействия программных закладок на компьютеры
- Троянские программы
- Клавиатурные шпионы
- Анализ угроз и каналов утечки информации
- Анализ рисков
- Управление риском
- Политика информационной безопасности Принципы политики безопасности
- Виды политики безопасности
- Модели типовых политик безопасности Модели на основе дискретных компонент
- Модели на основе анализа угроз системе
- Модели конечных состояний
- Классификация способов защиты информации
- Структура системы защиты информации
- Стандарты безопасности Документы Государственной технической комиссии России
- Критерии безопасности компьютерных систем Министерства обороны сша («Оранжевая книга»)
- Европейские критерии безопасности информационных технологий
- Федеральные критерии безопасности информационных технологий
- Общие критерии
- Требования к системам защиты информации Группы требований. Общие и организационные требования
- Конкретные требования к подсистемам защиты информации
- Криптографические модели защиты информации Основные сведения о криптографии. Подсистема криптографической защиты Основные понятия
- Требования к криптографическим системам
- Подсистема криптографической защиты
- Симметричные алгоритмы шифрования Основные классы симметричных криптосистем
- Алгоритмы блочного шифрования: des и гост 28147-89
- Сравнение алгоритмов шифрования des и гост
- 5.3. Асимметричные алгоритмы шифрования
- 5.4. Электронные цифровые подписи