Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии 


Хранилища носителей информации ограниченного доступа.




В качестве объектов защиты информации рассматриваются:

сейф(устройство, предназначенное для хранения ценностей, документов и носителей информации, с площадью основания изнутри не более 2 м2 и устойчивое к взлому. По конструктивному исполнению сейфы подразделяют на простые и модульные.).

хранилище(сооружение, представляющее собой железобетонную оболочку (стены, пол, потолок), предназначенное для хранения ценностей, документов и носителей информации, с площадью основания изнутри более 2 м2, защищенное от взлома и устойчивое к воздействию опасных факторов пожара. Подразделяются на: монолитные; сборные из панелей; комбинированные).

Хранилища и сейфы для хранения носителей ИОД являются одним из рубежей физической защиты, если отвечают определённым требованиям. Минимальные требования должны обеспечить:

- регистрацию несанкционированного проникновения (путем оборудования сигнализацией на вскрытие, приспособлениями для опечатывания и т.п.);

- невозможность выноса хранилища за пределы помещения;

- защиту хранящихся носителей от физического разрушения (при пожаре, других стихийных бедствиях);

- противодействие взлому конструкций и замков хранилища в течение заданного временного промежутка, достаточного для выявления факта несанкционированного воздействия и реакции подразделений охраны и безопасности.

Полные требования к этой категории объектов защиты информации установлены ГОСТ Р 50862-2005. Сейфы, сейфовые комнаты и хранилища. Требования и методы испытаний на устойчивость к взлому и огнестойкость. При соответствии требованиям хранилища носителей ИОД одновременно являются объектами и средствами защиты.

58 Средства и системы обработки информации как объекты защиты информации

Средства и системы обработки информации, как объекты защиты информации, составляют техническую основу ЗОИ, предназначенных для обработки, хранения и передачи ИОД.

В специальных нормативных документах по защите информации ограниченного доступа они определены как «основные технические средства и системы».

Основные технические средства и системы (ОТСС)- технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи информации ограниченного доступа. К ОТСС относятся:

- автоматизированные системы различного уровня и назначения.

- системы связи, приема, обработки и передачи данных.

- системы отображения и размножения.

Автоматизированные системы. Автоматизированная система (АС) -система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. В качестве АС может рассматриваться информационная система и персонал.

В зависимости от условий обработки на конкретном ЗОИ и степени конфиденциальности (секретности) информационных ресурсов обрабатываемы в АС, специальными нормативными (руководящими) документами установлено 9 классов защищённости АС от НСД, на основе которых эти АС аттестуются по требованиям безопасности информации.

Типы объектов информатизации, основанные на типе систем и средств обработки информации (ОТСС) приведены в таблице.

Тип объекта информатизации Характеристика или состав ОТСС
1. Автоматизированные системы (IT- система) Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Создаются на базе СВТ (ОС, СУБД, другого общесистемного программного обеспечения, используемого для обработки ИОД)
2. Системы связи, приема, обработки и передачи данных Средства телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства
Информационно-телекоммуникационные сети (ИТКС)
Другие технические средства обработки речевой, графической, видео, смысловой и буквенно - цифровой информации
3. Системы отображения и размножения Средства отображения (видеопроектор, LCD -экран для общего просмотра и т.п.)
Средства изготовления, тиражирования документов (принтер, ксерокс, плоттер, сканер и т.п.)

 



АС создаются на базе СВТ. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. К ним относят общесистемные программные средства и операционные системы (с учетом архитектуры ЭВМ):

- операционные системы ( семейств Windows, NetWare, UNIX и др.),

- СУБД (Oracle, Microsoft SQL Server, Informix и др.);

- программное обеспечение (электронный документооборот, справочные системы, электронная бухгалтерия и т.п.).

Требования по безопасности информации в СВТ, как объектах защиты информации определены в нормативном документе «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

Руководящим документом установлены семь классов защищённости СВТ. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа конфиденциальности (секретности) обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.

Системы связи, приема, обработки и передачи данных. Системы связи, приема, обработки и передачи данных создаются и функционируют на основе соответствующих средств и сетей. К ним могут быть отнесены:

- средства телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства;

- информационно-телекоммуникационные сети (ИТКС);

- другие технические средства обработки речевой, графической, видео, смысловой и буквенно - цифровой информации.

Аттестуются по требованиям безопасности информации как объекты информатизации. Требования безопасности установлены специальными нормативными документами по защите информации.

Системы отображения и размножения. К системам отображения и размножения, рассматриваемых в качестве ОТСС, относят:

- средства отображения (видеопроектор, LCD -экран для общего просмотра (электронная доска) и т.п.)

- средства изготовления, тиражирования документов (принтер, ксерокс, плоттер, сканер и т.п.).

Аттестуются по требованиям безопасности информации как объекты информатизации. Требования безопасности установлены специальными нормативными документами по защите информации.

Для аттестации указанных трёх типов защищаемых объектов информатизации, также должны быть выполнены требования по безопасности для средств обеспечения объекта информатизации и предотвращению утечки ИОД через эти средства и системы.

59 Средства обеспечения объекта информатизации

Состав средств обеспечения объекта информатизации. Состав средств обеспечения объекта информатизации может быть представлен в виде трёх трупп (таблица 13.2):

- вспомогательные технические средства и системы (ВТСС), устанавливаемые совместно с ОТСС или в помещениях для конфиденциальных переговоров,

- средства инженерных коммуникаций и ограждающие конструкции;

- системы электропитания и заземления.

Таблица13.2 - Средства обеспечения объекта информатизации

Группа средств Средства обеспечения объекта информатизации
ВТСС Различного рода телефонные средства и системы;
Средства и системы передачи данных в системе радиосвязи;
Средства и системы охранной и пожарной сигнализации;
Средства и системы оповещения и сигнализации;
Контрольно-измерительная аппаратура;
Средства и системы кондиционирования;
Средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
Средства электронной оргтехники;
Средства и системы элекгрочасофикации;
Иные технические средства и системы.
Системы электропитания и заземления Системы электропитания
Системы заземления
Ограждающие конструкции и инженерные коммуникации Системы отопления
Канализация
Турникеты
другие

 

Вспомогательные технические средства и системы (ВТСС)-технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых (выделенных) помещениях.

Вспомогательные технические средства и системы. К ВТСС относятся:

- различного рода телефонные средства и системы;

- средства и системы передачи данных в системе радиосвязи;

- средства и системы охранной и пожарной сигнализации;

- средства и системы оповещения и сигнализации;

- контрольно-измерительная аппаратура;

- средства и системы кондиционирования;

- средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);

- средства электронной оргтехники;

- средства и системы электрочасофикации;

- иные технические средства и системы.

Через ВТСС за счёт наводок возможна утечка информации по техническим каналам. Их расположение, использование не должно приводить к появлению каналов утечки ИОД. Их работа на объекте информатизации должна быть строго регламентирована. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка и соответствие мероприятий, требованиям, определённым специальными нормативными документами для ВТСС на защищаемом объекте информатизации.

Системы электропитания и заземления. Системы электропитания и заземления должны соответствовать стандартам и нормативным документам в этой области. Являются потенциальными техническими каналами утечки ИОД, если имеют выход за пределы контролируемой зоны. Требования по предотвращению утечки информации через системы электропитания и заземления за счёт наводок определены в специальных нормативных документах по защите информации. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка и соответствие мероприятий по предотвращению утечки ИОД по каналам образуемым системами электропитания и заземления.

Ограждающие конструкции и инженерные коммуникации. К этой труппе объектов относятся: системы отопления, канализация, турникеты, и другие конструкции и инженерные коммуникации. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка наличия каналов утечки ИОД через указанные элементы, при их наличии и соответствие мероприятий и средств защиты предотвращающих возможность утечки ИОД.

60 Помещения, в которых установлены средства обработки, и помещения для конфиденциальных переговоров как объекты защиты информации

Общая характеристика помещений как объектов защиты информации. Как объекты защиты, объекты информатизации не могут быть охарактеризованы без понятия контролируемой зоны.

Контролируемая зона (КЗ)- это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Границей КЗ могут являться:

- периметр охраняемой территории учреждения (предприятия);

- ограждающие конструкции охраняемого здания или охраняемой части здания (помещения), если оно размещено на неохраняемой территории.

В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.

Помещения, в которых установлены ОТСС, обрабатывающие ИОД, и помещения для конфиденциальных переговоров как объекты защиты характеризуются определёнными параметрами:

- расположением в здании (этаж) - этажность;

- расположением на территории предприятия и (или) здания;

- наличием (количеством) окон, дверей их расположением;

- прохождением систем тепло и водоснабжения, вентиляции и др.

Указанные параметры и периметр контролируемой зоны влияют на необходимый перечень мер, методов и средств, для защиты информации на объекте информатизации.

Помещения (здания) для работы с защищаемой информацией являются одним из рубежей, препятствующих несанкционированному доступу к объектам защиты. Они должны удовлетворять следующим требованиям:

- обеспечивать защиту от проникновения злоумышленника (физическую защиту) на время, необходимое для выявления и пресечения нарушения;

- исключать просмотр и прослушивание;

- обеспечивать сохранность носителей защищаемой информации от хищений с использованием квалифицированных методов взлома;

- обеспечивать безопасность персонала объектов и посетителей от вооруженных нападений;

- соответствовать строительным нормам и правилам, санитарно-гигиеническим нормам, требованиям противопожарной безопасности;

- при проведении работ с информацией обеспечивать ее защиту от утечки по техническим каналам;

- иметь условия для разграничения доступа к проводимым работам.

Помещения, в которых установлены средства обработки защищаемой информации. Помещения, в которых установлены средства обработки защищаемой информации, не являются самостоятельными объектами информатизации и защиты. При аттестации объекта информации по требованиям безопасности информации, помещения в которых установлены ОТСС обрабатывающие ИОД, должны соответствовать требованиям и рекомендациям, установленным специальными нормативными документами, а также стандартам для средств физической защиты (укреплённости) помещений (стандарты определяющие требования к остеклению, дверям, замкам, стойкость к взлому стен, перекрытий, системам охранной и пожарной сигнализации, системам контроля и управления доступом и др.).

Помещения для конфиденциальных переговоров. Помещения для конфиденциальных переговоров относятся к отдельному типу защищаемых объектов информатизации - защищаемым помещениям.

Защищаемые помещения (ЗП)- помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

В помещениях для конфиденциальных переговоров информация не хранится постоянно. В связи с этим их относят к классу «выделенных» защищаемых помещений.

Главной задачей защиты информации в помещениях для конфиденциальных переговоров является защита речевой акустической информации. Помещения должны удовлетворять следующим основным требованиям:

- обеспечивать защиту от проникновения злоумышленника (физическую защиту) на время, необходимое для выявления и пресечения нарушения (предотвращение установки закладочных устройств);

- исключать просмотр и прослушивание ИОД в период конфиденциальных переговоров.

Перечень мероприятий и комплекс средств, для защиты таких помещений зависит от уровня конфиденциальности (секретности) оглашаемой в период переговоров информации. Требования к «выделенным» помещениям, в которых оглашается сведения, составляющие государственную тайну, определены в специальных нормативных документах по защите государственной тайны. Требования к «выделенным» помещениям, в которых оглашается сведения конфиденциального характера, определены в специальных нормативных документах по защите конфиденциальной информации.

Для предотвращения применения со стороны злоумышленников (разведок) закладочных устройств защищаемые помещения подвергают специальным проверкам.

61 Виды защиты информации и сферы их действия

Виды защиты информации. Вид защиты информации характеризуется общими принципами защиты, труппой используемых методов и средств, имеющих самостоятельное значение и обеспечивающих защиту информации или объекта информатизации. Такими видами являются:

- правовая защита информации;

- организационная защита информации;

- техническая защита информации;

- криптографическая защита информации;

- физическая защита информации.

Перечисленные виды защиты являются сложившимися и в рамках каждого вида разработано достаточно большое количество способов и средств защиты.

Правовая защита информации- это защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Сфера действия правовой защиты информации охватывает всю территорию государства. В современных условиях эта сфера расширена международными соглашениями, предусматривающими возможность ответственности за правонарушения (преступления) в сфере компьютерной информации и интеллектуальной собственности, а также международными конвенциями о признании преступлений и привлечении к ответственности злоумышленников нарушающих законодательство других стран на территории России. Поэтому уместно говорить о масштабах правовой защиты в рамках цивилизованных стран вступивших в правоохранительные международные организации. Объектами защиты являются: конфиденциальная информация, информационные ресурсы и информационные системы (программное обеспечение). Правовая защита также рассматривается как обеспечивающий вид защиты в комплексной системе защиты информации на предприятии.

Сфера действия организационной защиты,суть которой в организации деятельности по защите, регламентировании доступа к защищаемым ресурсам и на объекты информатизации,охватывает территорию организации, помещения и персонал. Организационная защита также рассматривается как обеспечивающий вид защиты. Организационная защита направлена на предотвращение утечки ИОД и несанкционированного (неправомерного) доступа к ней по организационным каналам.

Техническая защита информации- защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.Техническую защиту разделяют на инженерно-техническую и программно-аппаратную.

Инженерно-техническая защита направлена на предотвращение утечки конфиденциальной информации по техническим каналам и противодействие техническим средствам разведки. Сфера действия -контролируемая зона или помещение.

Программно-аппаратная защита направлена на защиту информации в СВТ и АС функционирующих на их основе, а также в ИТКС от НСД и НСВ. Она включает способы и средства защиты информации от утечки по инфо - телекоммуникационным и системно -программным каналам. Сфера действия охватывает масштабы от одного отдельного компьютера до вычислительной сети (локальная, корпоративная, глобальная). Для ЛВС, она ограничивается масштабами объекта информатизации или помещения организации. Программно-аппаратная защита информации является основным видом обеспечения безопасности информационных технологий в компьютерных системах.

Криптографическая защита информации -это защита информации с помощью ее криптографического преобразования.Она предназначена для обеспечения передачи конфиденциальной информации в зашифрованном виде по каналам связи, ИТКС, подтверждения подлинности электронных документов и обеспечения их целостности, придания электронным документам юридической силы, защиты парольных систем. Криптографические способы и средства используются как основа для создания защищенных виртуальных сетей.

Сфера действия ограничивается масштабами сети связи или ИТКС. Криптографические средства обеспечивают конфиденциальность сообщений при использовании сети Интернет.

Физическая защита информации- это защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты. К объектам физической защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации. Сфера действия - контролируемая зона, здание или помещение (в т.ч выделенное).

62 Общие способы защиты информации

Способ защиты информации- это порядок и правила применения определенных принципов и средств защиты информации.

Множество и разнообразие возможных способов защиты определяется, прежде всего, множеством различных угроз безопасности информации и уязвимостей, присущих носителям и системам обработки информации. Для противодействия угрозам разработаны и используются на практике различные способы. Они могут быть классифицированы как по видам защиты информации, так и по направлениям. Однако существуют ряд способов, которые могут быть использованы как в рамках какого-либо вида, так и направления защиты - это универсальные или общие способы защиты информации:

1. Препятствиезаключается в создании на пути угрозы некоторого барьера, не позволяющего ей принять опасные размеры. Типичными примерами препятствий является создание физических препятствий на пути злоумышленников и т.п. Для предотвращения НСД в защищаемые помещения и на территорию могут использоваться физические препятствия (турникеты и т.п.). Для предотвращения НСД в АС (СВТ), ИТКС создаются - логические препятствия, представляющие собой системы идентификации и аутентификации (парольные системы) или другие средства.

2. Управлениеесть определение на каждом шаге функционирования объекта таких управляющих воздействий на элементы системы, следствием которых будет решение (или способствование решению) одной или нескольких задач защиты информации. Например, управление доступом в АС включает следующие функции защиты, осуществляемые системой управления доступом:

- идентификацию лиц, претендующих на доступ, персонала и ресурсов системы (присвоение каждому персонального идентификатора - ПИН);

- опознавание (аутентификацию) субъекта или объекта по предъявленному им идентификатору;

- проверку полномочий (проверка соответствия запрашиваемых ресурсов назначенным полномочиям субъекта доступа);

- регистрацию (протоколирование) обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, отказ в запросе) при попытке несанкционированных действий.

3. Маскировка(скрытие защищаемой информации) предполагает такие ее преобразования, вследствие которых она становится недоступной для злоумышленников или доступ к ней существенно затрудняется. К маскировке относятся криптографические методы преобразования информации, скрытие объекта, а также меры по созданию шумовых полей, маскирующих информационные сигналы, экранирование излучающих технических средств обработки информации и т.п.

4. Регламентация,как способ защиты информации, заключается в разработке и реализации в процессе функционирования объекта комплекса мероприятий, создающих такие условия обработки информации, при которых существенно затрудняется проявление и воздействие угроз. К регламентации относится разработка таких правил обращения с конфиденциальной информацией и средствами её обработки, которые позволили бы максимально затруднить получение этой информации злоумышленником.

5. Принуждениеесть такой способ защиты, при котором пользователи и персонал системы вынуждены соблюдать правила и условия обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

6. Побуждениеесть способ защиты информации, при котором пользователи и персонал АС внутренне (т. е. материальными, моральными, этическими, психологическими и другими мотивами) побуждаются к соблюдению всех правил обработки информации.

Рассмотренные способы обеспечения защиты информации являются универсальными, так как могут применяться в рамках различных видов защиты с применением различных средств защиты.

63 Общая классификация средств защиты информации

Средство защиты информации- это техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации. Общая классификация средств защиты информации приведена на рисунке.

 

В общей классификации средств защиты информации выделяют формальные и неформальные классы средств.

К формальнымотносятся такие средства, которые выполняют свои функции по защите информации формально, т. е. преимущественно без участия человека.

К неформальным,относятся средства, основу содержания которых составляет целенаправленная деятельность людей. Общая классификация средств защиты информации.

Формальныесредства разделяют на средства физической защиты, криптографические, технические.

Средство физической защиты информации- это средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.

Средства физической защиты - механические, электрические, электромеханические, электронные, электронно-механические и т. п. устройства (замки) и системы, которые функционируют автономно, создавая различного рода препятствия на пути нарушителей (злоумышленников). К ним относятся также системы контроля и управления доступом (СКУД) в охраняемые зоны, помещения, средства охранной и охранно-пожарной сигнализации, системы видеонаблюдения (в совокупности со службами охраны), специальные укреплённые двери, турникеты и т.п.

Криптографическое средство защиты информации- это средство защиты информации, реализующее алгоритмы криптографического преобразования информации. Реализация может осуществляться с использованием аппаратуры (аппаратные), программ (программные) или с использованием того и другого (программно-аппаратные).

Криптографические средства предназначены для шифрования информации с целью сохранения её конфиденциальности при передаче по сетям связи, информационно-телекоммуникационным сетям, обеспечения целостности, обеспечения подлинности и юридической значимости электронных документов (электронная цифровая подпись), защиты парольных систем в АС.

Технические средства защиты информацииразделяют на инженерно-технические и программно-аппаратные.

Инженерно-технические включают: аппаратные, программно-аппаратные средства, материалы и вещества, предназначенные для защиты информации. Назначение этих средств - защита информации от утечки по техническим каналам и от технических средств разведки.

Программно-аппаратные средства защиты информации разделяются на: аппаратные, программные, программно-аппаратные.

Аппаратные средства- различные электронные устройства, схемно встраиваемые в аппаратуру АС или сопрягаемые с ней специально для решения задач защиты информации от НСД, а также устройства, устанавливаемые на объектах информатизации с целью защиты от утечки по техническим каналам и ПДТР.

Программные средства- специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения АС с целью решения задач защиты информации, в первую очередь защиты от НСД и НСВ.

Программно-аппаратные -аппаратные средства, работающие под управлением или с использованием программ.

Неформальные средства защиты информации. К неформальным, относятся средства, основу содержания которых составляет целенаправленная деятельность людей. К ним относят: правовые, организационные и морально-этические средства.

Правовые (законодательные средства)- нормативные правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности.

Организационные средства- организационно-технические или организационно - правовые мероприятия, специально предусматриваемые в технологии функционирования объекта информатизации (АС), с целью решения задач защиты информации.

Морально-этические средства- сложившиеся в обществе или данном коллективе моральные нормы или этические правила (корпоративная или профессиональная этика), соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

Законодательные средства формируются путем издания соответствующих юридических актов, что является прерогативой соответствующих органов управления. Морально-этические нормы формируются в процессе жизнедеятельности общества.

Средство контроля эффективности защиты информации -это средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации. Основу рассматриваемых средств составляют средства, предназначенные для контроля эффективности защиты информации от утечки по техническим каналам (сканирующие приёмники, устройства для поиска закладочных устройств, сканеры безопасности сети и т.п.).

64 Характеристика способов и средств по видам защиты информации

Правовая защита информации. К правовым способам (мерам) защиты информации относятся разработка законов, нормативных правовых документов органов исполнительной власти обеспечивающих защиту информации на уровне государства, нормативных документов организаций предприятий, учреждений, регламентирующих правила обращения с информацией, закрепляющих права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым, неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

Правовые способы основаны на принципах законности. Основной способ их реализации - регламентация.

В качестве правовых способов (мер) защиты следует рассматривать:

- установление категорий информации ограниченного доступа на уровне законодательства;

- законодательное ограничение прав на доступ к категориям информации ограниченного доступа;

- лицензирование деятельности связанной с защитой информации;

- сертификация средств защиты информации;

- регламентация приобретения и применения определённых средств защиты и средств оценки эффективности защиты информации на объектах информатизации;

- установление правовой ответственности за разглашение различных видов тайны и компьютерные преступления, за нарушение правил защиты информации и т.п.

В качестве правовых средств защиты при реализации этих способов следует выделить:

- конкретные нормы законодательства, устанавливающие права, обязанности, конкретные меры, подлежащие исполнению и правовую ответственность за их неисполнение или нарушение;

- правовые документы, подтверждающие: право на осуществление деятельности по защите информации (лицензии), использование определённых средств обработки информации (лицензии, патенты, товарные знаки), соответствие требованиям законодательства средств обработки, передачи и систем защиты информации (сертификаты на СрЗИ, аттестаты соответствия на объекты информатизации по требованиям безопасности, сертификаты ключей ЭЦП и т.п.);

- локальные нормативные акты организаций закрепляющие правовой статус защищаемой информации, органов защиты информации, и регулирующих обращение с этой информацией.

Морально- этические меры включаютнормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.

Достоинства и недостатки правовых и морально-этических мер защиты. Эти меры определяют (регламентируют) правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение.

Законодательные и морально-этические меры противодействия, являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и НСД к АС и информации. В некоторых случаях они являются единственно применимыми, как, например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.

Их основным недостатком является то, что на реализацию требуется достаточно много времени и сил, поскольку в основном они реализуются через суд.

Организационные способы защиты информации. Организационные (административные) способы - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности информации. Они основаны на принципах управления коллективом и предприятием (службой) и принципах законности. Организационные способы включают:

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;

- мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);

- мероприятия, осуществляемые при подборе и подготовке персонала системы;

- организацию охраны и надежного пропускного режима;

- организацию учета, хранения, использования и уничтожения документов и носителей с информацией;

- распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

- организацию явного и скрытого контроля за работой пользователей;

- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако, это вовсе не означает, что систему защиты необходимо строить исключительно на их основе, как это часто пытаются сделать на практике.

Достоинства организационных мер:

- широкий круг решаемых задач;

- простота реализации;





Рекомендуемые страницы:


Читайте также:



Последнее изменение этой страницы: 2016-05-30; Просмотров: 1558; Нарушение авторского права страницы


lektsia.com 2007 - 2021 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.034 с.) Главная | Обратная связь