Методы и средства делятся на три группы (согласно ст. 16 Закона «Об информации»).

1) Правовые методы обеспечения информационной безопасности .

- Принятие нормативного акта, устанавливающего категории защищаемой информации . Всю информацию защищать не получится, да и смысла нет. Потому необходимо определиться, какие компоненты корпоративной информационной среды не подлежат разглашению, утечке и т.д.

- Издание нормативных и инструкционных материалов по работе с информацией . Т.е. люди должны знать, как надо обращаться с информацией, подлежащей защите. Что имеется в виду? Если юрист отвечает за это, то его задача - определить перечень конфиденциальных сведений - коммерческой тайны . Перечень должен быть предметный или должны быть разработаны правила и критерии, которые относят информацию к секретной. У каждого из методов есть свои достоинства и недостатки. Предметный - гораздо проще для использования, но такой перечень менее гибкий, может также не учитывать изменение определенных обстоятельств. Например, какое-то ноу-хау опубликовали в журналах, а оно может продолжать включаться в список конфиденциальной информации .

Способ с установлением критериев - более гибкий, однако, далеко не всем понятно, особенно если критерии изложены сложным языком. Потому разрабатываются критерии, и назначается ответственный, который, исходя из критериев, определяет конкретный перечень (в оперативном порядке).

2) Организационные средства обеспечения информационной безопасности.

- Определение уровней доступа к информации . Информация может быть общедоступной и ограниченного доступа. Ограниченного доступа информация может также иметь несколько уровней (совершенно секретно, секретно, особой важности). Следовательно, устанавливается уровень и круг лиц. Для каждого из этого круга должны существовать определенные правила поведения, которые также надо разработать (это уже правовая часть).

3) Технические.

Во-первых, технические средства должны обеспечивать защиту материальных носителей информации. Методы защиты материальных носителей включают в себя:

Создание охраняемых помещений.

Установление систем видеонаблюдения.

Помещение материальных носителей информации в специальные хранилища.

Создание системы регистрации лиц, получающих доступ к материальным носителям.

Во-вторых, они должны обеспечивать защиту информации от неправомерного доступа . Сюда включаются:

Приказ ФСБ и ФСТЭК «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования» от 31.08.2010 №416/489 рекомендуется в качестве руководства к деятельности при создании системы защиты информации, хотя официально применяется только для федеральных информационных систем.

В этом документе к информационной системе сформулированы требования :

Сохранность информации.

Беспрепятственный доступ к информационной системе.

Защита информации от действий, не предусмотренных правилами пользования.

Информационные системы, согласно вышеупомянутому приказу, делятся на два класса. В системах первого класса применяются меры защиты информации от повреждения, только те, которые прошли сертификацию ФСБ. Системы первого класса, это такие, в которых нарушение целостности информации может привести к угрозе безопасности РФ. Все остальные системы - это второй класс. Таким образом, разница состоит в угрозах при проникновении и сертификации в ФСБ.

В информационной системе должны быть обеспечены:

Поддержка целостности и доступности информации.

Предупреждение неблагоприятных последствий при нарушении порядка доступа к информации.

Периодическое проведение мероприятий, направленных на предотвращение несанкционированных действий. Например, обновление паролей, смена антивирусов.

Своевременное обнаружение фактов неправомерных действий в отношении информации.

Недопущение воздействия на технические средства.

Возможность оперативного восстановления информации. Т.е. информация, которая была утрачена и модифицирована, не должна существовать в единственном числе.

Запись и хранение сетевого трафика. В приказе предусмотрено, что все запросы пользователей должны регистрироваться в электронном журнале сообщений.

Регистрация действий обслуживающего персонала и пользователей. Т.е. каждое лицо, которое проникает к месту хранения или получает доступ должно быть зарегистрировано.

Использование источников бесперебойного питания. В каждом серьезном предприятии всегда существует источник бесперебойного питания, работающий на солярке или других видах топлива, чтобы в случае перепадов энергии можно было сохранить необходимые файлы.

К техническим средствам защиты относятся:

Криптографическая защита. Например, доступ с использованием ЭЦП.

Средства фильтрации и блокировки сетевого трафика . Речь идет об анти-спаме.

Программные средства для локализации и ликвидации последствий. Например, деление HDD на несколько дисков. Т.е. если происходит проникновение вируса на один диск, то вирус все уничтожит, а если много - то другие он не затронет.

К методам и средствам защиты информации относят правовые, организационно-технические и экономические мероприятия информационной защиты и меры защиты информации (правовая защита информации, техническая защита информации, защита экономической информации и т.д.).

К правовым методам обеспечения информационной безопасности относится разработка нормативных правовых актов, регламентирующих отношения в ин-формационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются:

• внесение изменений и дополнений в законодательство Российс-кой Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствова-ния системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном за-конодательстве, противоречий, связанных с международными согла-шениями, к которым присоединилась Россия, и противоречий между федеральными законодательными актами и законодательными ак-тами субъектов Российской Федерации, а также в целях конкретиза-ции правовых норм, устанавливающих ответственность за правона-рушения в области обеспечения информационной безопасности Рос-сийской Федерации;
• законодательное разграничение полномочий в области обеспе-чения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государ-ственной власти субъектов Российской Федерации, определение це-лей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов Российс-кой Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное исполь-зование, преднамеренное распространение недостоверной информа-ции, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной инфор-мации или информации, содержащей коммерческую тайну;
• уточнение статуса иностранных информационных агентств, СМИ и журналистов, а также инвесторов при привлечении иност-ранных инвестиций для развития информационной инфраструкту-ры России;
• законодательное закрепление приоритета развития нацио-нальных сетей связи и отечественного производства космических спутников связи;
• определение статуса организаций, предоставляющих услуги
  глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятель-ности этих организаций;
• создание правовой базы для формирования в Российской Феде-рации региональных структур обеспечения информационной безопас-ности.

Организационно-техническими методами обеспечения информационной безопасности являются:

• создание и совершенствование системы обеспечения информа-ционной безопасности РФ;
• усиление правоприменительной деятельности федеральных ор-ганов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресе-чение правонарушений в информационной сфере, а также выявле-ние, изобличение и привлечение к ответственности лиц, совершив-ших преступления и другие правонарушения в этой сфере;
• разработка, использование и совершенствование средств защи-ты информации и методов контроля эффективности этих средств, развитие телекоммуникационных систем, повышение надежности специального программного обеспечения;
• создание систем и средств предотвращения несанкционирован-ного доступа к обрабатываемой информации и специальных воздей-ствий, вызывающих разрушение, уничтожение, искажение инфор-мации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
• выявление технических устройств и программ, представляю-щих опасность для нормального функционирования информацион-но-телекоммуникационных систем, предотвращение перехвата ин-формации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль над выполнением специальных требова-ний по защите информации;
• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандарти-зация способов и средств защиты информации;
• совершенствование системы сертификации телекоммуникаци-онного оборудования и программного обеспечения автоматизирован-ных систем обработки информации по требованиям информацион-ной безопасности;
• контроль над действиями персонала в защищенных информа-ционных системах, подготовка кадров в области обеспечения инфор-мационной безопасности Российской Федерации;
• формирование системы мониторинга показателей и характе-ристик информационной безопасности Российской Федерации в наи-более важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности включают в себя:

• разработку программ обеспечения информационной безопасно-сти Российской Федерации и определение порядка их финансирова-ния;
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов за-щиты информации, создание системы страхования информационных рисков физических и юридических лиц.

В современных информационных технологиях для эффектив-ного использования этих методов широко применяются организационные, физические, программно-технические средства.

Организационные мероприятия предполагают объединение всех составляющих (компонент) безопасности. Во всем мире основную угрозу информации организации представляют ее сотруд-ники, оказывающиеся психически неуравновешенными, обижен-ными или неудовлетворенными характером их работы, заработной платой, взаимоотношениями с коллегами и руководителями.

Американские специалисты утверждают, что до 85% случаев промышленного шпионажа ведется силами сотрудников компании, в которой это происходит. Они отмечают, что более трети финансовых потерь и потерь данных в организациях происходит по вине их собственных сотрудников. Даже сотрудники – авторизованные пользователи – случайно или намерено нарушают политику безопасности. Существует даже некоторая их классификация. Например, «неграмотный» - сотрудник, открывающий любые письма, вложения и ссылки; «инсайдер» - сотрудник, стремящийся, как правило в корыстных целях, поручить и вынести конфиденциальную информацию; «нецелевик» - сотрудник, использующий ресурсы организации в личных целях (веб-серфинг, почта, чаты, мгновенные сообщения, игры, обучение, хранилища и др.). При этом специалисты отмечают, что преднамеренные утечки информации (злой умысел) обычно составляют 1-2% всех инцидентов.

Решение этих проблем относится к компетенции администрации и службы безопасности организации.

Физические мероприятия примыкают к организационным. Они заключаются в применении человеческих ресурсов, специальных технических средств и устройств, обеспечивающих защиту от про-никновения злоумышленников на объект, несанкционированного использования, порчи или уничтожения ими материальных и люд-ских ресурсов. Такими человеческими ресурсами являются лица ведомственной или вневедомственной охраны и вахтеры, отдель-ные, назначаемые руководством организации, сотрудники. Они ограничивают, в том числе с помощью соответствующих техни-ческих устройств, доступ на объекты нежелательных лиц.

Программные средства защиты являются самым распро-страненным методом защиты информации в компьютерах и ин-формационных сетях. Они обычно применяются при затруднении использования некоторых других методов и средств и делятся на основные и вспомогательные.

Основные программные средства защиты информации спо-собствуют противодействию съема, изменения и уничтожения ин-формации по основным возможным каналам воздействия на нее. Для этого они помогают осуществлять: аутентификацию объектов (работников и посетителей организаций), контроль и регулирова-ние работы людей и техники, самоконтроль и защиту, разграниче-ние доступа, уничтожение информации, сигнализацию о несанк-ционированном доступе и несанкционированной информации.

Вспомогательные программы защиты информации обеспечи-вают: уничтожение остаточной информации на магнитных и иных перезаписываемых носителях данных, формирование грифа сек-ретности и категорирование грифованной информации, имитацию работы с несанкционированным пользователем для накопления сведений о его методах, ведение регистрационных журналов, об-щий контроль функционирования подсистемы защиты, проверку системных и программных сбоев и др.

Программные средства защиты информации представляют собой комплекс алгоритмов и программ специального назначения и общего обеспечения функционирования компьютеров и инфор-мационных сетей, нацеленных на: контроль и разграничение до-ступа к информации; исключение несанкционированных действий с ней; управление охранными устройствами и т.п. Они обладают универсальностью, простотой реализации, гибкостью, адаптив-ностью, возможностью настройки системы и др. и применяются для борьбы с компьютерными вирусами Для защиты машин от компьютерных вирусов, профилактики и «лечения» используются программы-антивирусы, а также средства диагностики и профилактики, позволяющие не допустить попада-ния вируса в компьютерную систему, лечить зараженные файлы и диски, обнаруживать и предотвращать подозрительные действия Антивирусные программы оцениваются по точности обнаружении и эффективному устранению вирусов, простоте использовании, стоимости, возможности работать в сети. Наибольшей популярностью пользуются отечественные антивирусные программы DrWeb (Doctor Web ) И. Данилова и AVP (Antiviral Toolkit Pro ) E . Касперского. Они обладают удобным интерфейсом, средствами сканирования программ, проверки системы при загрузке и т.д.

Однако абсолютно надежных программ, гарантирующих об-наружение и уничтожение любого вируса, не существует. Только многоуровневая оборона способна обеспечить наиболее полную защиту от вирусов. Важный элемент защиты от компьютерных вирусов - профилактика. Антивирусные программы применяют одновременно с регулярным резервированием данных и профилактическими мероприятиями. Вместе эти меры позволяют значи-тельно снизить вероятность заражения вирусом.

Основными мерами профилактики вирусов являются:

• применение лицензионного программного обеспечения;
• регулярное использование нескольких постоянно обновляе-мых антивирусных программ для проверки не только собственных носителей информации при переносе на них сторонних файлов, но и любых «чужих» дискет и дисков с любой информацией на них, в том числе и переформатированных;
• применение различных защитных средств при работе на компьютере в любой информационной среде (например, в Интер-нете), проверка на наличие вирусов файлов, полученных по сети;
• периодическое резервное копирование наиболее ценных данных и программ.

Чаще всего источниками заражения являются компьютерные игры, приобретенные «неофициальным» путем, и нелицензион-ное программное обеспечение. Надежной гарантией от вирусов является аккуратность пользователей при выборе программ и установке их на компьютере, а также во время сеансов в Интер-нете.

Информационные ресурсы в электронной форме размещаются стационарно на жестких дисках серверов и компьютеров пользо-вателей и т.п., хранятся на переносимых носителях информации.

Они могут представлять отдельные файлы с различной инфор-мацией, коллекции файлов, программы и базы данных. В зависи-мости от этого к ним применяются различные меры, способству-ющие обеспечению безопасности информационных ресурсов. К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности информа-ционных ресурсов, относят: аутентификацию пользователя и уста-новление его идентичности; управление доступом к базе данных; поддержание целостности данных; протоколирование и аудит; за-щиту коммуникаций между клиентом и сервером; отражение уг-роз, специфичных для СУБД и др.

В целях защиты информации в базах данных важнейшими яв-ляются следующие аспекты информационной безопасности

• доступность - возможность получить некоторую требуемую информационную услугу;
• целостность - непротиворечивость информации, ее защищен-ность от разрушения и несанкционированного изменения;
• конфиденциальность - защита от несанкционированного про-чтения.

Эти аспекты являются основополагающими для любого про-граммно-технического обеспечения, предназначенного для созда-ния условий безопасного функционирования данных в компьюте-рах и компьютерных информационных сетях.

Контроль доступа представляет собой процесс защиты дан-ных и программ от их использования объектами, не имеющими на это права.

Одним из наиболее известных способов защиты информации является ее кодирование (шифрование, криптография).

Криптография - это система изменения информации (кодиро-вания, шифрования) с целью ее защиты от несанкционированных воздействий, а также обеспечения достоверности передаваемых данных.

Код характеризуется: длиной - числом знаков, используемых при кодировании, и структурой - порядком расположения символов, обозначающих классификационный признак.

Средством кодирования служит таблица соответствия. Приме-ром такой таблицы для перевода алфавитно-цифровой информа-ции в компьютерные коды является кодовая таблица ASCII .

Для шифрования информации все чаще используют криптогра-фические методы ее защиты.

Криптографические методы защиты информации содержат комплекс (совокупность) алгоритмов и процедур шифрования и кодирования информации, используемых для преобразования смыслового содержания передаваемых в информационных сетях данных. Они подразумевают создание и применение специальных секретных ключей пользователей.

Общие методы криптографии существуют давно. Она счи-тается мощным средством обеспечения конфиденциальности и контроля целостности информации. Пока альтернативы методам криптографии нет. И хотя криптография не спасает от физических воздействий, в остальных случаях она служит надежным средс-твом защиты данных.

Стойкость криптоалгоритма зависит от сложности методов пре-образования. Главным критерием стойкости любого шифра или кода являются имеющиеся вычислительные мощности и время, в течение которого можно их расшифровать. Если это время равня-ется нескольким годам, то стойкость таких алгоритмов является вполне приемлемой и более чем достаточной для большинства организаций и личностей. Если использовать 256- и более раз-рядные ключи, то уровень надежности защиты данных составит десятки и сотни лет работы суперкомпьютера. При этом для ком-мерческого применения достаточно 40-, 44-разрядных ключей.

Для кодирования ЭИР, с целью удовлетворения требованиям обес-печения безопасности данных от несанкционированных воздействий на них, используется электронная цифровая подпись (ЭЦП).

Цифровая подпись для сообщения представляет последова-тельность символов, зависящих от самого сообщения и от неко-торого секретного, известного только подписывающему субъекту, ключа. Она должна легко проверяться и позволять решать три следующие задачи:

• осуществлять аутентификацию источника сообщения,
• устанавливать целостность сообщения,
• обеспечивать невозможность отказа от факта подписи конк-ретного сообщения.

Первый отечественный стандарт ЭЦП появился в 1994 году. Вопросами использования ЭЦП в России занимается Федераль-ное агентство по информационным технологиям (ФАИТ).

Существующий в мире опыт свидетельствует, что строить сис-темы безопасности из отдельных продуктов неэффективно. Поэ-тому отмечается общая потребность в комплексных решениях ин-формационной безопасности и их сопровождения. При этом специалисты отмечают, что наиболее эффективные меры защиты кроются не в технических средствах, а в применении различных организационных и административных мер, регламентов, инс-трукций и в обучении персонала.

Технические мероприятия базируются на применении сле-дующих средств и систем: охранной и пожарной сигнализации; контроля и управления доступом; видеонаблюдения и защиты периметров объектов; защиты информации; контроля состояния окружающей среды и технологического оборудования, систем безопасности, перемещения людей, транспорта и грузов; учета рабочего времени персонала и времени присутствия на объектах различных посетителей.

Для комплексного обеспечения безопасности объекты обору-дуются системами связи, диспетчеризации, оповещения, контроля и управления доступом; охранными, пожарными, телевизионными и инженерными устройствами и системами; охранной, пожарной сигнализацией, противопожарной автоматикой и др.

Биометрические методы защиты информации. Понятие «биометрия» определяет раздел биологии, занимаю-щийся количественными биологическими экспериментами с при-влечением методов математической статистики.

Биометрия представляет собой совокупность автоматизирован-ных методов и средств идентификации человека, основанных на его физиологических или поведенческих характеристик. Биометрическая идентификация позволяет идентифицировать индивида по присущим ему специфическим биометрическим признакам, то есть его статическими (отпечаткам пальца, роговице глаза, генетическому коду, запаху и др.) и динамическими (голосу, почерку, поведению и др.) характеристиками.

Биометрическая идентификация считается одним из наиболее надежных способов. Уникальные биологические, физиологические и поведенческие характеристики, индивидуальные для каждого человека, называют биологическим кодом человека.

Первые биометрические системы использовали рисунок (отпе-чаток) пальца. Примерно одну тысячу лет до н.э. в Китае и Вави-лоне знали об уникальности отпечатков пальцев. Их ставили под юридическими документами. Однако дактилоскопию стали приме-нять в Англии с 1897 года, а в США - с 1903 года.

Считыватели обеспечивают считывание идентификационного кода и передачу его в контроллер. Они преобразуют уникальный код пользователя в код стандартного формата, передаваемый контроллеру для принятия управленческого решения. Считыва-тели бывают контактные и бесконтактные. Они могут фиксиро-вать время прохода или открывания дверей и др. К ним относят устройства: дактилоскопии (по отпечаткам пальцев); идентифи-кации глаз человека (идентификация рисунка радужной оболоч-ки глаза или сканирование глазного дна); фотоидентификации (сравнение создаваемых ими цветных фотографий (банк данных) с изображением лица индивида на экране компьютера); иденти-фикации по форме руки, генетическому коду, запаху, голосу, по-черку, поведению и др.

В различных странах (в том числе в России) включают биомет-рические признаки в загранпаспорта и другие идентифицирую-щие личности документы. Преимущество биологических систем идентификации, по сравнению с традиционными (например, PI №-кодовыми, доступом по паролю), заключается в идентификации не внешних предметов, принадлежащих человеку, а самого челове-ка. Анализируемые характеристики человека невозможно утерять, передать, забыть и крайне сложно подделать. Они практически не подвержены износу и не требуют замены или восстановления.

С помощью биометрических систем осуществляются:

• ограничение доступа к информации и обеспечение персо-нальной ответственности за ее сохранность;
• обеспечение допуска сертифицированных специалистов;
• предотвращение проникновения злоумышленников на охра-няемые территории и в помещения вследствие подделки и (или) кражи документов (карт, паролей);
• организация учета доступа и посещаемости сотрудников, а также решается ряд других проблем.

Самой популярной считается аутентификация по отпечаткам пальцев, которые, в отличие от пароля, нельзя забыть, потерять, и заменить. Однако в целях повышения надежности аутентификации и защиты ценной информации лучше использовать комбинацию биометрических признаков. Удачным считается одновременное использование двухфакторной аутентификации пользователя, включающее оптический сканер отпечатков пальцев и картридер для смарт-карты, в которой в защищенном виде хранятся те же отпечатки пальцев.

К новым биометрическим технологиям следует отнести трех-мерную идентификацию личности, использующую трехмерные сканеры идентификации личности с параллаксным методом ре-гистрации образов объектов и телевизионные системы регис-трации изображений со сверхбольшим угловым полем зрения. Предполагается, что подобные системы будут применяться для идентификации личностей, трехмерные образы которых войдут в состав удостоверений личности и других документов. Сканирова-ние с помощью миллиметровых волн - быстрый метод, позволя-ющий за две-четыре секунды сформировать трехмерное топогра-фическое изображение, которое можно поворачивать на экране монитора для досмотра предметов, находящихся в одежде и на теле человека. С этой же целью используют и рентгеновские ап-параты. Дополнительным преимуществом миллиметровых волн в сравнении с рентгеном является отсутствие радиации - этот вид просвечивания безвреден, а создаваемое им изображение гене-рируется энергией, отраженной от тела человека. Энергия, излу-чаемая миллиметровыми волнами, в 10 000 раз слабее излучения от сотового телефона.

Защита информации в информационных компьютерных сетях осуществляется с помощью специальных программных, техничес-ких и программно-технических средств. С целью защиты сетей и контроля доступа в них используют:

• фильтры пакетов, запрещающие установление соединений,
  пересекающих границы защищаемой сети;
• фильтрующие маршрутизаторы, реализующие алгоритмы
  анализа адресов отправления и назначения пакетов в сети;
• шлюзы прикладных программ, проверяющие права доступа к
  программам.

В качестве устройства, препятствующего получению злоумыш-ленником доступа к информации, используют Firewalls (рус. «огненная стена» или «защитный барьер» - брандмауэр). Такое устройство располагают между внутренней локальной сетью организации и Интернетом. Оно ограничивает трафик, пресекает по-пытки несанкционированного доступа к внутренним ресурсам орга-низации. Это внешняя защита. Современные брандмауэры могут «отсекать» от пользователей корпоративных сетей незаконную и нежелательную для них корреспонденцию, передаваемую по электронной почте. При этом ограничивается возможность получении избыточной информации и так называемого «мусора» (спама).

Считается, что спам появился в 1978 г., а значительный его рост наблюдается в 2003 г. Сложно сказать, какой почты приходит больше: полезной или бестолковой. Выпускается много ПО, предназначенного для борьбы с ним, но единого эффективного средства пока нет.

Техническим устройством, способным эффективно осущест-влять защиту в компьютерных сетях, является маршрутизатор. Он осуществляет фильтрацию пакетов передаваемых данных. В результате появляется возможность запретить доступ некоторым пользователям к определенному «хосту», программно осущест-влять детальный контроль адресов отправителей и получателей. Также можно ограничить доступ всем или определенным катего-риям пользователей к различным серверам, например ведущим распространение противоправной или антисоциальной информа-ции (пропаганда секса, насилия и т.п.).

Защита может осуществляться не только в глобальной сети или локальной сети организации, но и отдельных компьютеров. Для этой цели создаются специальные программно-аппаратные комп-лексы.

Защита информации вызывает необходимость системного под-хода, т.е. здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безо-пасности - организационные, физические и программно-техни-ческие - рассматривались как единый комплекс взаимосвязанных взаимодополняющих и взаимодействующих мер. Один из основных принципов системного подхода к защите информации - принцип «разумной достаточности», суть которого: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защи-ты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.

Библиографическое описание:

Нестеров А.К. Обеспечение информационной безопасности [Электронный ресурс] // Энциклопедия сайт

Одновременно с развитием информационных технологий и повышением значимости информационных ресурсов для организаций, растет и количество угроз их информационной безопасности, а также возможный ущерб от ее нарушений. Возникает объективная необходимость обеспечения информационной безопасности предприятия. В связи с этим, прогресс возможен только в условиях целенаправленного предупреждения угроз информационной безопасности.

Средства обеспечения информационной безопасности

Обеспечение информационной безопасности осуществляется с помощью двух типов средств:

• программно-аппаратные средства
• защищенные коммуникационные каналы

Программно-аппаратные средства обеспечения информационной безопасности в современных условиях развития информационных технологий наиболее распространены в работе отечественных и зарубежных организаций. Подробно рассмотрим основные программнно-аппаратные средства защиты информации.

Программно-аппаратные средства защиты от несанкционированного доступа включают в себя меры идентификации, аутентификации и управления доступом в информационную систему.

Идентификация – присвоение субъектам доступа уникальных идентификаторов.

Сюда относят радиочастотные метки, биометрические технологии, магнитные карты, универсальные магнитные ключи, логины для входа в систему и т.п.

Аутентификация – проверка принадлежности субъекта доступа предъявленному идентификатору и подтверждение его подлинности.

К процедурам аутентификации относятся пароли, pin-коды, смарт-карты, usb-ключи, цифровые подписи, сеансовые ключи и т.п. Процедурная часть средств идентификации и аутентификации взаимосвязана и, фактически, представляет базовую основу всех программно-аппаратных средств обеспечения информационной безопасности, так как все остальные службы рассчитаны на обслуживание конкретных субъектов, корректно распознанных информационной системой. В общем виде идентификация позволяет субъекту обозначить себя для информационной системы, а с помощью аутентификации информационная система подтверждает, что субъект действительно тот, за кого он выдает. На основе прохождения данной операции производится операция по предоставлению доступа в информационную систему. Процедуры управления доступом позволяют авторизовавшимся субъектам выполнять дозволенные регламентом действия, а информационной системе контролировать эти действия на корректность и правильность полученного результата. Разграничение доступа позволяет системе закрывать от пользователей данные, к которым они не имеют допуска.

Следующим средством программно-аппаратной защиты выступает протоколирование и аудит информации.

Протоколирование включает в себя сбор, накопление и сохранение информации о событиях, действиях, результатах, имевших место во время работы информационной системы, отдельных пользователей, процессов и всех программно-аппаратных средств, входящих в состав информационной системы предприятия.

Поскольку у каждого компонента информационной системы существует заранее заданный набор возможных событий в соответствии с запрограммированными классификаторами, то события, действия и результаты разделяются на:

• внешние, вызванные действиями других компонентов,
• внутренние, вызванные действиями самого компонента,
• клиентские, вызванные действиями пользователей и администраторов.

Аудит информации заключается в проведении оперативного анализа в реальном времени или в заданный период.

По результатам анализа либо формируется отчет об имевших место событиях, либо инициируется автоматическая реакция на внештатную ситуацию.

Реализация протоколирования и аудита решает следующие задачи:

• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем.

Зачастую защита информации невозможна без применения криптографических средств. Они используются для обеспечения работы сервисов шифрования, контроля целостности и аутентификации, когда средства аутентификации хранятся у пользователя в зашифрованном виде. Существует два основных метода шифрования: симметричный и асимметричный.

Контроль целостности позволяет установить подлинность и идентичность объекта, в качестве которого выступает массив данных, отдельные порции данных, источник данных, а также обеспечить невозможность отметить совершенное в системе действие с массивом информации. Основу реализации контроля целостности составляют технологии преобразования данных с использованием шифрования и цифровые сертификаты.

Другим важным аспектом является использование экранирования, технологии, которая позволяет, разграничивая доступ субъектов к информационным ресурсам, контролировать все информационные потоки между информационной системой предприятия и внешними объектами, массивами данных, субъектами и контрсубъектами. Контроль потоков заключается в их фильтрации и, в случае необходимости, преобразования передаваемой информации.

Задача экранирования – защита внутренней информации от потенциально враждебных внешних факторов и субъектов. Основной формой реализации экранирования выступают межсетевые экраны или файрволлы, различных типов и архитектуры.

Поскольку одним из признаков информационной безопасности является доступность информационных ресурсов, то обеспечение высокого уровня доступности является важным направление в реализации программно-аппаратных мер. В частности, разделяется два направления: обеспечение отказоустойчивости, т.е. нейтрализации отказов системы, способность работать при возникновении ошибок, и обеспечение безопасного и быстрого восстановления после отказов, т.е. обслуживаемость системы.

Основное требование к информационным системам заключается в том, чтобы они работали всегда с заданной эффективностью, минимальным временем недоступности и скоростью реагирования.

В соответствии с этим, доступность информационных ресурсов обеспечивается за счет:

• применения структурной архитектуры, которая означает, что отдельные модули могут быть при необходимости отключены или быстро заменены без ущерба другим элементам информационной системы;
• обеспечения отказоустойчивости за счет: использования автономных элементов поддерживающей инфраструктуры, внесения избыточных мощностей в конфигурацию программно-аппаратных средств, резервирования аппаратных средств, тиражирования информационных ресурсов внутри системы, резервного копирования данных и т.п.
• обеспечения обслуживаемости за счет снижения сроков диагностирования и устранения отказов и их последствий.

Другим типом средств обеспечения информационной безопасности выступают защищенные коммуникационные каналы.

Функционирование информационных систем неизбежно связано с передачей данных, поэтому для предприятий необходимо также обеспечить защиту передаваемых информационных ресурсов, используя защищенные коммуникационные каналы. Возможность несанкционированного доступа к данным при передаче трафика по открытым каналам коммуникации обусловлена их общедоступностью. Поскольку "коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об их уязвимости и соответственно обеспечивать защиту" . Для этого используются технологии туннелирования, суть которого состоит в том, чтобы инкапсулировать данные, т.е. упаковать или обернуть передаваемые пакеты данных, включая все служебные атрибуты, в собственные конверты. Соответственно, туннель является защищенным соединением через открытые каналы коммуникаций, по которому передаются криптографически защищенные пакеты данных. Туннелирование применяется для обеспечения конфиденциальности трафика за счет сокрытия служебной информации и обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими элементами информационной системы. Комбинирование туннелирования и шифрования позволяет реализовать виртуальную частную сеть. При этом конечными точками туннелей, реализующих виртуальные частные сети, выступают межсетевые экраны, обслуживающие подключение организаций к внешним сетям.

Межсетевые экраны как точки реализации сервиса виртуальных частных сетей

Таким образом, туннелирование и шифрование выступают дополнительными преобразованиями, выполняемыми в процессе фильтрации сетевого трафика наряду с трансляцией адресов. Концами туннелей, помимо корпоративных межсетевых экранов, могут быть персональные и мобильные компьютеры сотрудников, точнее, их персональные межсетевые экраны и файрволлы. Благодаря такому подходу обеспечивается функционирование защищенных коммуникационных каналов.

Процедуры обеспечения информационной безопасности

Процедуры обеспечения информационной безопасности принято разграничивать на административный и организационный уровень.

• К административным процедурам относятся действия общего характера, предпринимаемые руководством организации, для регламентации всех работ, действий, операций в области обеспечения и поддержания информационной безопасности, реализуемых за счет выделения необходимых ресурсов и контроля результативности предпринимаемых мер.
• Организационный уровень представляет собой процедуры по обеспечению информационной безопасности, включая управление персоналом, физическую защиту, поддержание работоспособности программно-аппаратной инфраструктуры, оперативное устранение нарушений режима безопасности и планирование восстановительных работ.

С другой стороны, разграничение административных и организационных процедур бессмысленно, поскольку процедуры одного уровня не могут существовать отдельно от другого уровня, нарушая тем самым взаимосвязь защиты физического уровня, персональной и организационной защиты в концепции информационной безопасности. На практике, обеспечивая информационную безопасность организации, не пренебрегают административными или организационными процедурами, поэтому логичнее рассматривать их как комплексный подход, поскольку оба уровня затрагивают физический, организационный и персональный уровни защиты информации.

Основой комплексных процедур обеспечения информационной безопасности выступает политика безопасности.

Политика информационной безопасности

Политика информационной безопасности в организации – это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

В организационно-управленческом плане политика информационной безопасности может являться единым документом или оформлена в виде нескольких самостоятельных документов или приказов, но в любом случае должна охватывать следующие аспекты защиты информационной системы организации:

• защита объектов информационной системы, информационных ресурсов и прямых операций с ними;
• защита всех операций, связанных с обработкой информации в системе, включая программные средства обработки;
• защита коммуникационных каналов, включая проводные, радиоканалы, инфракрасные, аппаратные и т.д.;
• защита аппаратного комплекса от побочных электромагнитных излучений;
• управление системой защиты, включая обслуживание, модернизацию и администраторские действия.

Каждый из аспектов должен быть подробно описан и документально закреплен во внутренних документах организации. Внутренние документы охватывают три уровня процесса защиты: верхний, средний и нижний.

Документы верхнего уровня политики информационной безопасности отражают основной подход организации к защите собственной информации и соответствие государственным и/или международным стандартам. На практике в организации существует только один документ верхнего уровня, озаглавливаемый "Концепция информационной безопасности", "Регламент информационной безопасности" и т.п. Формально данные документы не представляют конфиденциальной ценности, их распространение не ограничивается, но могут выпускать в редакции для внутреннего использования и открытой публикации.

Документы среднего уровня являются строго конфиденциальными и касаются конкретных аспектов информационной безопасности организации: используемых средств защиты информации, безопасности баз данных, коммуникаций, криптографических средств и других информационных и экономических процессов организации. Документальное оформление реализуется в виде внутренних технических и организационных стандартов.

Документы нижнего уровня разделены на два типа: регламенты работ и инструкции по эксплуатации. Регламенты работ являются строго конфиденциальными и предназначены только лиц, по долгу службы осуществляющих работу по администрированию отдельных сервисов информационной безопасности. Инструкции по эксплуатации могут быть, как конфиденциальными, так и публичными; они предназначены для персонала организации и описывают порядок работы с отдельными элементами информационной системы организации.

Мировой опыт свидетельствует, что политика информационной безопасности всегда документально оформляется только в крупных компаниях, имеющих развитую информационную систему, предъявляющих повышенные требования к информационной безопасности, средние предприятия чаще всего имеют только частично документально оформленную политику информационной безопасности, малые организации в подавляющем большинстве вообще не заботятся о документальном оформлении политики безопасности. Вне зависимости от формата документального оформления целостный или распределенный, базовым аспектом выступает режим безопасности.

Существует два разных подхода, которые закладываются в основу политики информационной безопасности :

1. "Разрешено все, что не запрещено".
2. "Запрещено все, что не разрешено".

Фундаментальным дефектом первого подхода заключается в том, что на практике предусмотреть все опасные случаи и запретить их невозможно. Вне всяких сомнений, следует применять только второй подход.

Организационной уровень информационной безопасности

С точки зрения защиты информации, организационные процедуры обеспечения информационной безопасности представляются как "регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз" .

Меры по управлению персоналом, направленные на организацию работы с кадрами в целях обеспечения информационной безопасности, включают разделение обязанностей и минимизацию привилегий. Разделение обязанностей предписывает такое распределение компетенций и зон ответственности, при котором один человек не в состоянии нарушить критически важный для организации процесс. Это снижает вероятность ошибок и злоупотреблений. Минимизация привилегий предписывает наделение пользователей только тем уровнем доступа, который соответствует необходимости выполнения ими служебных обязанностей. Это уменьшает ущерб от случайных или умышленных некорректных действий.

Физическая защита означает разработку и принятие мер для прямой защиты зданий, в которых размещаются информационные ресурсы организации, прилегающих территорий, элементов инфраструктуры, вычислительной техники, носителей данных и аппаратных каналов коммуникаций. Сюда относят физическое управление доступом, противопожарные меры, защиту поддерживающей инфраструктуры, защиту от перехвата данных и защиту мобильных систем.

Поддержание работоспособности программно-аппаратной инфраструктуры заключается в предупреждении стохастических ошибок, грозящих повреждением аппаратного комплекса, нарушением работы программ и потерей данных. Основные направления в этом аспекте заключаются в обеспечении поддержки пользователей и программного обеспечения, конфигурационного управления, резервного копирования, управления носителями информации, документирование и профилактические работы.

Оперативное устранение нарушений режима безопасности преследует три главные цели:

1. Локализация инцидента и уменьшение наносимого вреда;
2. Выявление нарушителя;
3. Предупреждение повторных нарушений.

Наконец, планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Использование программно-аппаратных средств и защищенных коммуникационных каналов должно быть реализовано в организации на основе комплексного подхода к разработке и утверждению всех административно-организационных регламентных процедур обеспечения информационной безопасности. В противном случае, принятие отдельных мер не гарантирует защиты информации, а зачастую, наоборот, провоцирует утечки конфиденциальной информации, потери критически важных данных, повреждения аппаратной инфраструктуры и нарушения работы программных компонентов информационной системы организации.

Методы обеспечения информационной безопасности

Для современных предприятий характерна распределенная информационная система, которая позволяет учитывать в работе распределенные офисы и склады компании, финансовый учет и управленческий контроль, информацию из клиентской базы, с учетом выборки по показателям и так далее. Таким образом, массив данных весьма значителен, причем в подавляющем большинстве это информация, имеющая приоритетное значение для компании в коммерческом и экономическом плане. Фактически, обеспечение конфиденциальности данных, имеющих коммерческую ценность, составляет одну из основных задач обеспечения информационной безопасности в компании.

Обеспечение информационной безопасности на предприятии должно быть регламентировано следующими документами:

1. Регламент обеспечения информационной безопасности. Включает формулировку целей и задач обеспечения информационной безопасности, перечень внутренних регламентов по средствам защиты информации и положение об администрировании распределенной информационной системы компании. Доступ к регламенту ограничен руководством организации и руководителем отдела автоматизации.
2. Регламенты технического обеспечения защиты информации. Документы являются конфиденциальными, доступ ограничен сотрудниками отдела автоматизации и вышестоящим руководством.
3. Регламент администрирования распределенной системы защиты информации. Доступ к регламенту ограничен сотрудниками отдела автоматизации, отвечающими за администрирование информационной системы, и вышестоящим руководством.

При этом данными документами не следует ограничиваться, а проработать также нижние уровни. В противном случае, если у предприятия иных документов, касающихся обеспечения информационной безопасности, не будет, то это будет свидетельствовать о недостаточной степени административного обеспечения защиты информации, поскольку отсутствуют документы нижнего уровня, в частности инструкции по эксплуатации отдельных элементов информационной системы.

Обязательные организационные процедуры включают в себя:

• основные меры по дифференциации персонала по уровню доступа к информационным ресурсам,
• физическую защиту офисов компании от прямого проникновения и угроз уничтожения, потери или перехвата данных,
• поддержание работоспособности программно-аппаратной инфраструктуры организовано в виде автоматизированного резервного копирования, удаленной проверки носителей информации, поддержка пользователей и программного обеспечения осуществляется по запросу.

Сюда также следует отнести регламентированные меры по реагированию и устранению случаев нарушений информационной безопасности.

На практике часто наблюдается, что предприятия недостаточно внимательно относятся к этому вопросу. Все действия в данном направлении осуществляются исключительно в рабочем порядке, что увеличивает время устранения случаев нарушений и не гарантирует предупреждения повторных нарушений информационной безопасности. Кроме того, полностью отсутствует практика планирования действий по устранению последствий после аварий, утечек информации, потери данных и критических ситуаций. Все это существенно ухудшает информационную безопасность предприятия.

На уровне программно-аппаратных средств должна быть реализована трехуровневая система обеспечения информационной безопасности.

Минимальные критерии обеспечения информационной безопасности:

1. Модуль управления доступом:

• реализован закрытый вход в информационную систему, невозможно зайти в систему вне верифицированных рабочих мест;
• для сотрудников реализован доступ с ограниченным функционалом с мобильных персональных компьютеров;
• авторизация осуществляется по формируемым администраторами логинам и паролям.

2. Модуль шифрования и контроля целостности:

• используется асимметричный метод шифрования передаваемых данных;
• массивы критически важных данных хранятся в базах данных в зашифрованном виде, что не позволяет получить к ним доступ даже при условии взлома информационной системы компании;
• контроль целостности обеспечивается простой цифровой подписью всех информационных ресурсов, хранящихся, обрабатываемых или передаваемых внутри информационной системы.

3. Модуль экранирования:

• реализована система фильтров в межсетевых экранах, позволяющая контролировать все информационные потоки по каналам коммуникации;
• внешние соединения с глобальными информационными ресурсами и публичными каналами связи могут осуществляться только через ограниченный набор верифицированных рабочих станций, имеющих ограниченное соединение с корпоративной информационной системой;
• защищенный доступ с рабочих мест сотрудников для выполнения ими служебных обязанностей реализован через двухуровневую систему прокси-серверов.

Наконец, с помощью технологий туннелирования на предприятии должна быть реализована виртуальная частная сеть в соответствии с типичной моделью построения для обеспечения защищенных коммуникационных каналов между различными отделениями компании, партнерами и клиентами компании.

Несмотря на то, что коммуникации непосредственно осуществляются по сетям с потенциально низким уровнем доверия, технологии туннелирования благодаря использованию средств криптографии позволяют обеспечить надежную защиту всех передаваемых данных.

Выводы

Основная цель всех предпринимаемых мероприятий в области обеспечения информационной безопасности заключается в защите интересов предприятия, так или иначе связанных с информационными ресурсами, которыми оно располагает. Хотя интересы предприятий не ограничены конкретной областью, все они концентрируются вокруг доступности, целостности и конфиденциальности информации.

Проблема обеспечения информационной безопасности объясняется двумя основными причинами.

1. Накопленные предприятием информационные ресурсы представляют ценность.
2. Критическая зависимость от информационных технологий обуславливает их широкое применение.

Учитывая широкое многообразие существующих угроз для информационной безопасности, таких как разрушение важной информации, несанкционированное использование конфиденциальных данных, перерывы в работе предприятия вследствие нарушений работы информационной системы, можно сделать вывод, что все это объективно приводит к крупным материальным потерям.

В обеспечении информационной безопасности значительную роль играют программно-аппаратные средства, направленные на контроль компьютерных сущностей, т.е. оборудования, программных элементов, данных, образуя последний и наиболее приоритетный рубеж информационной безопасности. Передача данных также должна быть безопасной в контексте сохранения их конфиденциальности, целостности и доступности. Поэтому в современных условиях для обеспечения защищенных коммуникационных каналов применяются технологии туннелирования в комбинации с криптографическими средствами.

Литература

1. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
2. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: Форум, 2012.

Деятельность по обеспечению информационной безопасности осуществляется с помощью различных способов, средств и приемов, которые в совокупности и составляют методы. Метод предусматривает определенную последовательность действий на основании и конкретного плана. Методы могут значительно изменяться и варьироваться в зависимости от типа деятельности, в которой они используются, а также сферы применения.

Важными методами анализа состояния обеспечения информационной безопасности являются методы описания и классификации. Для осуществления эффективной защиты системы управления НБ следует, во-первых, описать, а только потом классифицировать различные виды угроз и опасностей, рисков и вызовов и соответственно сформулировать систему мер по осуществлению управления ими.

В качестве распространенных методов анализа уровня обеспечения информационной безопасности используются методы исследования при действующих связей. С помощью данных методов оказываются причинные связи между общ грозами и опасностями, осуществляется поиск причин, которые стали источником и причиной актуализации тех или иных факторов опасности, а также разрабатываются меры по их нейтрализации. В числе данных методов причинных связей можно назвать следующие: метод сходства, метод различия, метод сочетания сходства и различия, метод сопроводительных изменений, метод остатков.

Выбор методов анализа состояния обеспечения информационной безопасности зависит от конкретного уровня и сферы организации защиты в зависимости от угрозы, задачи по дифференциации как различных уровней угроз, так и различных уровней защиты. Что касается сферы информационной безопасности, то в ней обычно выделяют:

1) физический;

2) программно-технический;

3) управленческий;

4) технологический;

5) уровень пользователя;

6) сетевой;

7) процедурный

На физическом уровне осуществляется организация и физическую защиту информационных ресурсов, информационных технологий, используемых и управленческих технологий.

На программно-техническом уровне осуществляется идентификация и проверка подлинности пользователей, управления доступом, протоколирование и аудит, криптография, экранирование, обеспечение высокой доступности.

На уровне управления осуществляется управление, координация и контроль организационных, технологических и технических мероприятий на всех уровнях со стороны единой системы обеспечения информационной безопасности.

На технологическом уровне осуществляется реализация политики информационной безопасности за счет применения комплекса современных автоматизированных информационных технологий.

На уровне пользователя реализация политики информационной безопасности направлена на уменьшение рефлексивного воздействия на объекты информационной безопасности.

На сетевом уровне данная политика реализуется в формате координации действий компонентов системы управления, которые связаны между собой одной целью.

На процедурном уровне принимаются меры, реализуемые людьми. Среди них можно выделить следующие группы процедурных мероприятий: управление персоналом, физическая защита, поддержание работоспособности, регулирования на нарушения режима безопасности, планирования реанимационных работ.

Выделяют несколько типов методов обеспечения информационной безопасности:

1) одноуровневые методы строятся на основании одного принципа управления информационной безопасностью;

2) многоуровневые методы строятся на основе нескольких принципов управления информационной безопасностью, каждый из которых служит решению собственного задачи. При этом частные технологии не связаны между собой и направлены лишь на конкретные факторы информационных угроз;

3) комплексные методы - многоуровневые технологии, которые объединены в единую систему координирующими функциями на организационном уровне с целью обеспечения информационной безопасности, исходя из анализа совокупности и факторов опасности, которые имеют семантическая связь либо генерируются из единого информационного центра информационного воздействия;

4) интегрированные высокоинтеллектуальные методы - многоуровневые, многокомпонентные технологии, построенные на основе мощных автоматизированных интеллектуальных средств с организационным управлением;

Общие методы обеспечения информационной безопасности активно используются на любой стадии управления угрозами. К таким стадий относятся: принятие решения по определению области и контекста информационной угрозы и состава участников процесса противодействия;

Специфика методов, используемых, значительно зависит от субъекта деятельности, объекта воздействия, а также преследуемых целей. Так, методы деятельности индивида в связи с его ограниченной возможностью по обеспечению информационной безопасности в основном сводятся к источнику угрозы, апеллирование к общественному мнению, а также к государству, должна принимать решительные меры по нейтрализации информационных угроз.

Причем, к сожалению, следует констатировать, что в нашей стране не на достаточном уровне осознают опасность именно в информационной сфере, нет штатных единиц в органах государственного управления информационной, не на достаточном уровне проводится подготовка соответствующих специалистов для системы управления.

Весьма важным является применение аналитических методов познания и исследования состояния общественного сознания в сфере информационной безопасности. Например, осознание важности обеспечения информационной безопасности на уровне индивида, общества и организации мешает распространенный миф о том, что защита информации и криптография одно и то же время такое понимание является результатом использования устаревших подходов к информационной безопасности, когда информационная безопасность только отождествляются с защитой информации путем шифрования.

Важным условием обеспечения информационной безопасности являются не столько секретность, конфиденциальность информации, сколько ее доступность, целостность, защита от различных угроз. Итак, система соответственно в реагировать и гарантировать эффективную деятельность в этом направлений.

Другой задачей защиты является обеспечение неизменности информации во время ее хранения или передачи, то есть обеспечение ее целостности. Таким образом конфиденциальность информации, которая обеспечивается с помощью криптографических методов не является главным требованием при проектировании систем защиты информации. Выполнение процедур кодирования и декодирования может замедлить передачу данных и уменьшить доступ к ним из-за того, что пользователь будет лишен возможности своевременного и быстрого доступа к этим данным и информации. Именно поэтому обеспечение конфиденциальности информации должно соответствовать возможности доступа к нее. Таким образом, управление в сфере информационной безопасности должно осуществляться на основе принципа доступности и безопасности. Система обеспечения информационной безопасности в первую очередь должна гарантировать доступность и целостность информации, а ее конфиденциальность в случае необходимости.

Однако не следует питать надежду на создание абсолютной системы информационной безопасности, поскольку, как отмечалось нами выше, мы стоим на той позиции, что угроза и опасность есть атрибутивными компонентами системы информационной безопасности, поэтому их существование и реализация, а также негативные последствия является естественным компонентом системы информационной безопасности. Именно они дают возможность увидеть недостатки в системе управления информационной безопасностью, и одновременно служат импульсом к совершенствованию, т.е. к развитию. Следовательно, важным метод обеспечения информационной безопасности является методом развития.

Основным методом анализа информационных рисков является количественный и качественный анализ, факторный анализ и т.д. Цель качественной оценки рисков - ранжировать информационные угрозы и опасности по различным критериям, система которых позволит сформировать эффективную систему воздействия на них.

Важным методом обеспечения информационной безопасности является также метод критических сценариев. В указанных сценариях анализируются ситуации, когда воображаемый противник парализует систему государственного управления и существенно снижает способность поддерживать государственное управление в пределах оптимальных параметров. Причем анализ событий в мире предоставляет все основания утверждать, что информационные войны становятся органической частью политики национальной безопасности многих развитых стран.

Также можно указать на метод моделирования, с помощью которого можно проводить обучение по информационной безопасности. Положительный опыт этого у США, где на базе одной из известных корпораций постоянно проводятся оперативно-исследовательские обучения, чтобы моделировать различные формы информационных атак в ходе информационной войны.

Среди методов обеспечения информационной безопасности важное значение имеет метод дихотомии. Для противодействия угрозам информационной безопасности принимаются необходимые меры как в направлении предоставления определенного влияния н на источник угрозы, так и в направлении укрепления объекта безопасности. Согласно выделяют две предметные области противодействия. Одна из них образуется совокупностью источников угроз, а другая - совокупность мероприятий по обеспечению грузки информационной безопасности объекта.

Методы воздействия на информацию в форме сообщений можно разделить также на электронные и неэлектронных. Электронные методы воздействия применяются в тех случаях, когда сообщение закрепляются на электромагнитных носителях, которые предназначены для обработки с помощью средств вычислительной техники Они заключаются в уничтожении, искажении, копировании сообщений. Такие действия могут быть совершены только с помощью технического и программного обеспечения неэлектронных методы по своей сути имеют тот же смысл, но реализуются без использования средств вычислительной техники дл я воздействия на сообщение закрепления на других, прежде бумажных, носителях информации.

Методы воздействия на информационную инфраструктуру могут быть разделены на информационные и неинформационные. Информационные методы воздействия ориентированы на нарушения формирования информационно-телекоммуникационных систем, сетей связи, средств автоматизации управления, систем автоматизированной обработки информации, и таким образом, на предупреждение нанесения вреда предметам общественных отношений.

В целом же следует отметить, что выбор целей и методов противодействия конкретным угрозам и опасностям информационной безопасности представляет собой важную проблему и составную часть деятельности по реализации основан них направлений государственной политики информационной безопасности В рамках решения данной проблемы определяются возможные формы соответствующей деятельности органов государственной власти, что требует проведения детального анализу экономического, социального, политического и других слоев общества, государства и личности, возможных последствий выбора тех или иных вариантов осуществления этой деятельности.

Введение

информационный крипточеский оптический

Информация является важнейшим ресурсом человеческого общества. Она выражается в накопленном в течение многих лет многоаспектном информационном потенциале, хранящемся на территории проживания данного общества, то есть на нашей планете. Все возрастающие объемы разнообразной информации (символьной, текстовой, графической и др.) и расширение круга ее пользователей вызывают потребность контролировать ее достоверность, обеспечивать защиту от несанкционированного доступа, искажения, потери и копирования с целью соблюдения государственного и мирового законодательства, а также прав авторов информации.

Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик информационной системы. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).

Информационной системой называют совокупность взаимосвязанных средств, которые осуществляют хранение и обработку информации, также называют информационно-вычислительными системами. В информационную систему данные поступают от источника информации. Эти данные отправляются на хранение либо претерпевают в системе некоторую обработку и затем передаются потребителю.

Под безопасностью информационной системы понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на информационную систему.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком или «компьютерным пиратом» (хакером).

В своих противоправных действиях, направленных на овладение чужими секретами, взломщики стремятся найти такие источники конфиденциальной информации, которые бы давали им наиболее достоверную информацию в максимальных объемах с минимальными затратами на ее получение. С помощью различного рода уловок и множества приемов и средств подбираются пути и подходы к таким источникам. В данном случае под источником информации подразумевается материальный объект, обладающий определенными сведениями, представляющими конкретный интерес для злоумышленников или конкурентов.

В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально-этических мер противодействия и т.д.). Комплексный характер защиты проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для них информацию.

Сегодня можно утверждать, что рождается новая современная технология - технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Реализация этой технологии требует увеличивающихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз информационной системе и информационным технологиям.

Меры информационной безопасности

Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Она включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется

Можно выделить следующие направления мер информационной безопасности.

Правовые

Организационные

Технические

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение

К организационным мерам относят охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра, после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

Методы, средства и условия обеспечения информационной безопасности

Методами обеспечения защиты информации на предприятиях являются:

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.)

Управление доступом - метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

Идентификация пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

Аутентификация (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

Проверка полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

Разрешение и создание условий работы в пределах установленного регламента;

Регистрация (протоколирование) обращений к защищаемым объектам и информации;

Реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированного действия.

Маскировка - метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия.

Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

Принуждение - такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение - такой метод защиты информации, который побуждает пользователей и персонал не нарушать установленных правил за счет сложившихся моральных, этических норм.

Средства защиты информации

Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические средства

Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки.

Для защиты периметра информационной системы создаются:

Системы охранной и пожарной сигнализации;

Системы цифрового видео наблюдения;

Системы контроля и управления доступом (СКУД). Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:

Использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;

Установкой на линиях связи высокочастотных фильтров;

Построение экранированных помещений («капсул»);

Использование экранированного оборудования;

Установка активных систем зашумления;

Создание контролируемых зон.

Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость.