Комплексный подход к защите информации
В широком смысле понятие «защита информации» учитывает защиту всей информационной сферы на разных уровнях. Поэтому с этой точки зрения:
Защита информации – это комплекс мер, направленных на обеспечение информационной безопасности на разных уровнях: государства, ведомства, корпорации или отдельного пользователя.
Однако в узком смысле понятие «защита информации» применяется к конкретным информационным ресурсам, например, государственным, ведомственным, корпоративным или к информации отдельного пользователя.
Согласно ГОСТ 50922-2006 «Основные термины и определения» [4]:
Защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
В целях защиты информации важнейшими являются следующие аспекты информационной безопасности (европейские критерии):
● условия доступа (возможность получить некоторую требуемую информационную услугу);
● целостность(непротиворечивость информации, ее защищённость от разрушения и несанкционированного изменения);
● конфиденциальность (защита от несанкционированного прочтения).
Доступность информации [ресурсов информационной системы] – это состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно[4].
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [4].
Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право[4].
Защита информации – это понятие системное, комплексное, состоящее из множества различных направлений или рубежей обороны (защиты) информационных ресурсов.
защита информации – это комплекс технических, программных, правовых, организационных, криптографических, математических, экономических и др. методов и средств обеспечения информационной безопасности.
Согласно ГОСТ 50922-2006 «Основные термины и определения» [4] все виды защиты информации делятся на четыре направления:
· Правовая;
· Техническая;
· Криптографическая;
· Физическая.
Защита информации в Федеральном законе «Об информации, информационных технологиях и защите информации» [3] представляет собой принятие правовых, организационных и технических мер, направленных на:
· обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
· соблюдение конфиденциальности информации ограниченного доступа;
· реализацию права на доступ к информации.
То есть речь идет о вышеуказанных понятиях доступности, целостности и конфиденциальности, а все методы защиты информации делятся на:
· правовые
· организационные
· технические.
Однако в Доктрине информационной безопасности РФ [2] методы обеспечения информационной безопасности классифицируются по-другому. Все направления защиты информации разделяются на:
· правовые,
· организационно – технические,
· экономические.
Согласно ГОСТ 50922-2006 «Основные термины и определения» [4]:
правовая защита информации: защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.
Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются [2]:
· лицензирование деятельности организаций в области защиты информации;
· аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;
· сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
· введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
· создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
· контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
Организационные (административные) методы защиты информации базируются на:
1) определении ответственного за информационную безопасность, в функции которого входит управление рисками, координация и контроль деятельности в области информационной безопасности и стратегическое планирование в организации;
2) обеспечении надёжной и экономичной защиты (средства и методы защиты, программно-технические средства, постоянное администрирование и т.п.) ИР, связанных с ними людей и помещений (зданий).
Техническая защита информации (ТЗИ) – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
Программные средства защиты, это самый распространенный метод защиты информации в компьютерах и информационных сетях. Наиболее часто они применяются в случаях затруднения использования других методов и средств.
Программные средства защиты информации – комплекс алгоритмов и программ специального назначения и общего обеспечения функционирования компьютеров и информационных сетей, нацеленных на: контроль и разграничение доступа к информации, исключение несанкционированных действий с ней, управление охранными устройствами и т.п.
К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности информационных ресурсов, относятся:
● аутентификация пользователя и установление его идентичности;
● управление доступом к БД;
● поддержание целостности данных;
● протоколирование и аудит;
● защита коммуникаций между клиентом и сервером;
● отражение угроз, специфичных для СУБД и др.
Физическая защита информации[4]– защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.
К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.
Физические мероприятия заключаются в применении человеческих ресурсов, отдельных технических средств и устройств, позволяющих обеспечивать защиту от проникновения злоумышленников на объект, несанкционированного использования, порчи или уничтожения ими материальных и людских ресурсов. Такими человеческими ресурсами являются лица ведомственной или вневедомственной охраны и вахтеры, а также отдельные, назначаемые руководством организации, сотрудники. Они ограничивают, в том числе с помощью соответствующих технических устройств, доступ на объекты нежелательных лиц.
Технические мероприятия физической защиты включают в себя элементы физических мероприятий. Они базируются на применении следующих технических средств и систем:
● охранной и пожарной сигнализации;
● контроля и управления доступом;
● видеонаблюдения и защиты периметров объектов защиты информации;
● контроля состояния окружающей среды и технологического оборудования, систем безопасности, перемещения людей, транспорта и грузов;
● учёта рабочего времени персонала и времени присутствия на объектах различных посетителей.
В качестве технических средств используются решётки на окна, ограждения, металлические двери, турникеты и др. Программно-технические средства включают различные системы ограничения доступа на объект, сигнализации и видеонаблюдения.
Криптографическая защита информации– защита информации с помощью ее криптографического преобразования.
Криптографические методы защиты информации – комплекс (совокупность) алгоритмов и процедур шифрования и кодирования информации для обеспечения преобразования смыслового содержания передаваемой в информационных сетях или хранимых на внешних носителях данных, то есть подразумевают создание специальных секретных ключей пользователей.