Направления информационной безопасности

Основные направления защиты сфер информации и информатизации. Защита прав и свободы относительные информации. Субъекты и объекты правовых отношений в получении, поиске и использовании информации. Правонарушения в сфере информации, информатизации.

Направления обеспечения информационной безопасности это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты инфор­мации от внутренних и внешних угроз.

Направления обеспечения безопасности вообще рассматриваются как нормативно- правовые категории, определяющие комплексные меры защиты информации на государственном уровне, на уровне предприятия и организации, на уровне отдельной личности. С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

Правовая защита это специальные законы, дру­ гие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе; Организационная защита это регламентация производственной деятельности и взаимоотноше­ний исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение ка­кого- либо ущерба исполнителям; Инженерно-техническая защита это использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности.

инженерно- техническая защита организационная защита правовая защита

Физические средства защиты это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников. Аппаратные средства защиты - К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации. Программные средства защиты - Системы защиты компьютера от чужого вторжения весьма разнообразны и классифицируются, как: Криптографические средства защиты - как средство защиты (закрытия) информации приобретает все более важное значение в мире коммерческой деятельности.

Так, по характеру угроз защитные действия ориентированы на защиту информации от разглашения, утечки и несанкционированного доступа. По способам действий их можно подразделить на предупреждение, выявление, обнаружение, пресечение и восстановление ущерба или иных убытков. По охвату защитные действия могут быть ориентированы на территорию, здание, помещение, аппаратуру или отдельные элементы аппаратуры. Масштабность защитных мероприятий характеризуется как объектовая, групповая или индивидуальная защита.

По характеру угроз защитные действия ориентированы на защиту информации от: разглашения утечки несанкционированного доступа.

По способам действий предупрежден ие выявление обнаружение пресечение восстановлен ие ущерба

Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами.

В нашей стране такими правилами (актами, нормами) являются Конституция, законы Республики, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур.

Первый блок конституционное законодательство. Второй блок общие законы, кодексы, которые включают нормы по вопросам информатизации и информационной безопасности. Третий блок законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Четвертый блок специальные законы, полностью относящиеся к конкретным сферам отношений отраслям хозяйства, процессам. Пятый блок законодательство субъектов республики, касающееся защиты информации. Шестой блок подзаконные нормативные акты по защите информации. Седьмой блок это правоохранительное законодательство, содержащее нормы об ответственности за правонарушения в сфере информатизации.

На уровне конкретного предприятия, разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся: Положение о сохранении конфиденциальной информации; Перечень сведений, составляющих конфиденциальную информацию; Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию; Положение о специальном делопроизводстве и документообороте; Перечень сведений, разрешенных к опубликованию в открытой печати; Обязательство сотрудника о сохранении конфиденциальной информации; Памятка сотруднику о сохранении коммерческой тайны и др.

Коммерческая тайна Коммерческая тайна не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционирован­ный доступ к которой может нанести ущерб их владельцам. К коммерческой тайне не относятся: охраняемые государством сведения; общеизвестные на законных основаниях сведения; общедоступные сведения, патенты, товарные знаки; сведения о негативной стороне деятельности; учредительные документы и сведения о хозяйственной деятельности. На все эти формы защиты интеллектуальной собственности имеются соответствующие законы закон о патентах, закон об авторском праве, закон о товарных знаках и другие.

Реализация правовых норм и актов, ориентированных на защиту информации на организационном уровне, опирается нате или иные организационно-правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права. Конфиденциальность это форма обращения со сведениями, составляющими коммерческую тайну, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями.

Организационная защита Организационная защита это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

К основным организационным мероприятиям можно отнести: организацию режима и охраны. организацию работы с сотрудниками; организацию работы с документами и документированной информацией; организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации; организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты; организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера. Служба безопасности является самостоятельной организационной единицей предприятия, подчиняющейся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности.

Инженерно-техническая защита На вооружении промышленных шпионов, недобросовестных конкурентов и просто злоумышленников находятся самые разнообразные средства проникновения на объекты противоправных интересов и получения конфиденциальной информации. В этих условиях в интересах обеспечения информационной безопасности необходимы адекватные по ориентации, функциональному назначению и другим характеристикам технические средства защиты охраняемых секретов. Инженерно-техническая защита (ИТЗ) по определению это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Многообразие классификационных характеристик позволяет рассматривать инженерно-технические средства по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны службы безопасности. По функциональному назначению средства инженерно-технической защиты делятся на следующие группы: физические средства; аппаратные средства. программные средства криптографические средства

Физические средства защиты Физические средства защиты это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников. К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа, проноса средств и материалов и других возможных видов преступных действий.

По охвату защитные действия могут быть ориентированы на территорию, здание, помещение, аппаратуру или отдельные элементы аппаратуры

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы: охранные и охранно-пожарные системы; охранное телевидение; охранное освещение; средства физической защиты.

Одним из распространенных средств охраны является охранное телевидение. Привлекательной осо­бенностью охранного телевидения является возможность не только отметить нарушение режима охраны объекта, но и контролировать обстановку вокруг него в динамике ее развития, определять опасность действии, вести скрытое наблюдение и производить ви­ деозапись для последующего анализа правонаруше­ния как с целью анализа, так и для привлечения к ответственности нарушителя.

Способ опознавания человеком (вахтер, часовой) не всегда надежен из-за так называемого «человеческого фактора», заключающегося в том, что человек подвержен влиянию многих внешних условий (усталость, плохое самочувствие, эмоциональный стресс, подкуп). В противовес этому находят широкое применение и не технические средства опознавания, такие, например, как идентификационные карты, опознавание по голосу, почерку, пальцам и др. Физические средства являются первой преградой для злоумышленника при реализации им заходовых методов доступа.

Аппаратные средства защиты К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации. По функциональному назначению аппаратные средства могут быть классифицированы на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по своим техническим возможностям средства защиты информации могут быть непрофессионалные и профессиональные комплексы. В качестве примера комплекс для обнаружения и пеленгования радиозакладок, предназначенный для автоматического обнаружения и определения местонахождения радиопередатчиков, радиомикрофонов, телефонных закладок и сетевых радиопередатчиков. Это уже сложный современный поисково- обнаружительный профессиональный комплекс.

Аппаратные средства защиты применяются как в отдельных ПЭВМ, так и на различных уровнях и участках сети: в центральных процессорах ЭВМ, в их оперативных ЗУ (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и т. д. Аппаратные средства защиты информации это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа.

Программные средства защиты Системы защиты компьютера от чужого вторжения весьма разнообразны и классифицируются, как: средства собственной защиты, предусмотренные общим программным обеспечением; средства защиты в составе вычислительной системы; средства защиты с запросом информации; средства активной защиты; средства пассивной защиты и другие.

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности такие: защита информации от несанкционированного доступа; защита информации от копирования; защита программ от копирования; защита программ от вирусов; защита информации от вирусов; программная защита каналов связи.

Парольная защита данных является слабым звеном, так как пароль можно подслушать или подсмотреть, пароль можно перехватить, а то и просто разгадать. Для защиты самого пароля выработаны определен­ные рекомендации, как сделать пароль надежным: пароль должен содержать по крайней мере восемь символов. не используйте в качестве пароля очевидный набор символов, например ваше имя, дату рождения, имена близких. Лучше всего использовать для этих целей неизвестную формулу или цитату; если криптографическая программа позволяет, введите в пароль по крайней мере один пробел, небуквенный символ или прописную букву; не называйте никому ваш пароль, не записывайте его. чаще меняйте пароль; не вводите пароль в процедуру установления диалога или макрокоманду.

В результате анализа установлено общая оценка времени, необходимого для взлома: Длина пароля Длина набора 26 (только буквы) 36 (буквы и цифры) 70(все печатаемые символы) Русские буквы 4Немедленно 3 минуты Немедленно 5 1 минута 48 секунд 9 минут 3 часа 5 минут 650 минут 5 часов 48 минут 10 дней 17 часов 2 часа 53 минуты 722 часов 8 дней 17 часов 2 года 3 дня 26 часов 824 дней 314 дней 17 часов 138 лет 123 дня 12 часов 9 1 год 248 дней 30 лет 9363 года 10 лет

Защита от копирования Средства защиты от копирования предотвращают использование ворованных копий программного обеспечения и являются в настоящее время единственно надежным средством как защищающим авторское право программистов-разработчиков, так и стимулирующим развитие рынка. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом (называемым ключевым) может быть дискета, определенная часть компьютера или специальное устройство, подключаемое к ПЭВМ. Защита от копирования реализуется выполнением ряда функций, являющихся общими для всех систем защиты.

Программная защита информации это система специальных программ, включае­мых в состав программного обеспечения, реализующих функции защиты информации. Криптографические средства защиты Криптография как средство защиты (закрытия) информации приобретает все более важное значение в мире коммерческой деятельности. Криптография вначале применялась главным образом в области военной и дипломатической связи. Теперь она необходима в производственной и коммерческой деятельности. Если учесть, что сегодня по каналам шифрованной связи только у нас в стране передаются сотни миллионов сообщений, телефонных переговоров, огромные объемы компьютерных и телеметрических данных, и все это, что называется, не для чужих глаз и ушей, становится ясным: сохранение тайны этой переписки крайне необходимо.

Что же такое криптография? Она включает в себя несколько разделов современной математики, а также специальные отрасли физики, радиоэлектроники, связи и некоторых других смежных отраслей. Ее задачей является преобразование математическими методами передаваемого по каналам связи секретного сообщения, телефонного разговора или компьютерных данных таким образом, что они становятся совершенно непонятными для посторонних лиц. То есть криптография должна обеспечить такую защиту секретной (или любой другой) информации, что даже в случае ее перехвата посторонними лицами и обработки любыми способами с использованием самых быстродействующих ЭВМ и последних достижений науки и техники, она не должна быть дешифрована в течение нескольких десятков лет. Для такого преобразования информации используются различные шифровальные средства такие, как средства шифрования документов, в том числе и портативного исполнения, средства шифрования речи (телефонных и радиопереговоров), средства шифрования телеграфных сообщений и передачи данных.