Методы и средства обеспечения безопасности информации в ИС схематически представлены на рисунке 1.

Рисунок 1 - Методы и средства обеспечения безопасности информации

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ.

Механизмы шифрования — криптографическое закрытие информации.

Противодействие атакам вредоносных программ

Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе

Законодательные средства защиты определяются законодательными актами страны

Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются.

Обеспечение информационной безопасности: правовое, организационно-экономическое, программно-техническое обеспечение защиты информационной безопасности

Программно-техническая подсистема защиты автоматизированных информационных систем, какой бы совершенной она ни была, в полном объеме не решает задач комплексной защиты объектов информационной безопасности. Используемые данной подсистемой физические, аппаратные, программные, криптографические и иные логические и технические средства и методы защиты выполняются без участия человека по заранее предусмотренной процедуре. Для обеспечения комплексного подхода к проблеме программно-техническое обеспечение защиты объектов информационной безопасности должно быть дополнено соответствующим правовым обеспечением.

Уголовно-правовая защита от компьютерных преступлений

принятие законодательных актов по уголовно-правовому регулированию этих отношений. Впервые были приняты такие законы в середине 70-х годов в отдельных штатах США.

За правонарушения при работе с документированной информацией органы государственной власти, организации и должностные лица несут ответственность в соответствии с действующим законодательством.

Организационно-экономическое обеспечение информационной безопасности

Организационно-экономические методы защиты информации предусматривают формирование и обеспечение функционирования следующих механизмов защиты:

- стандартизации методов и средств защиты информации;

- сертификации компьютерных систем и сетей по требованиям информационной безопасности;

- лицензирования деятельности в сфере защиты информации;

- страхования информационных рисков, связанных с функционированием компьютерных систем и сетей;

- контроля за действием персонала в защищенных информационных системах.

Организационные методы защиты информации делятся на организационно-административные и организационно-технические методы защиты.

Организационно-административные методы защиты информации

Они регламентируют процессы создания и эксплуатации автоматизированных информационных систем, а также взаимодействие пользователей и систем таким образом, что несанкционированный доступ к информации становится либо невозможным, либо существенно затрудняется. Организационные методы зашиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем.

Программно-техническое обеспечение защиты информационной безопасности

Программно-техническая подсистема комплексной защиты объектов информационной безопасности включает: физические, аппаратные, программные, аппаратно-программные, криптографические методы и средства защиты информации. Остановимся на краткой характеристике методов и средств данной подсистемы защиты с учетом эволюции моделей информационных систем и тенденций развития технологии обеспечения безопасности в компьютерных сетях.

Защита информации в корпоративных сетях информационных систем управления

Создание системы защиты информации в корпоративной сети ИС порождает целый комплекс проблем. В комплексе корпоративная система защиты информации должна решать следующие задачи:

1) обеспечение конфиденциальности информации;

2) защита от искажения;

3) сегментирование (разделение на части) и обеспечение индивидуальности политики безопасности для различных сегментов системы;

4) аутентификация пользователей — процесс достоверной идентификации отождествления пользователя, процесса или устройства логических и физических объектов сети для различных уровней сетевого управления;

5) протоколирование событий, дистанционный аудит, защита, регистрационных протоколов и др.

Построение системы информационной безопасности сети основывается на семиуровневой модели декомпозиции системного управления OSI/ISO. Семь уровней сетевого управления включают: физический, канальный, сетевой, транспортный, сеансовый, представительский, прикладной уровни.

На физическом уровне, представляющем среду распространений данных (кабель, оптоволокно, радиоканал, каналообразующее оборудование), применяют обычно средства шифрования или сокрытия, сигнала. Они малоприменимы в коммерческих открытых сетях, так как есть более надежное шифрование.

На канальном уровне, ответственном за организацию взаимодействия двух смежных узлов (двухточечные звенья), могут быть использованы средства шифрования и достоверной идентификации пользователя. Однако использование и тех и других средств на этом уровне может оказаться избыточным. Необязательно производить (пере-) шифрование на каждом двухточечном звене между двумя узлами.

Сетевой уровень решает задачи распространения и маршрутизации пакетов информации по сети в целом. Этот уровень критичен в отношении реализации средств криптозащиты. Понятие пакета существует на этом уровне. На более высоких уровнях есть понятие сообщения. Сообщение может содержать контекст или формироваться на прикладном уровне, защита которого затруднена с точки зрения управления сетью. Сетевой уровень может быть базовым для реализации средств защиты этого и нижележащих уровней управления. К ним относятся: транспортный (управляет передачей информации), сеансовый (обеспечивает синхронизацию диалога), уровень представлений (определяет единый способ представления информации, понятный пользователям и компьютерам), прикладной (обеспечивает разные формы взаимодействия прикладных процессов).

Таким образом, архитектурную концепцию системы защиты информации в сетях можно представить в виде трех слоев: средства защиты сетевого уровня, middleware-системы и средства защиты, предлагаемые прикладными системами.

Этапы разработки систем защиты

При первоначальной разработке и реализации системы защиты ИС обычно выделяют три стадии.

Первая стадия — выработка требований

На второй стадии — определение способов защиты — принимаются решения

Третья стадия — построение системы информационной безопасности

Процесс организации защиты информации по методу Opsec проводится регулярно и каждый раз поэтапно.

Первый этап (анализ объекта защиты) состоит в определении того, что нужно защищать.

Второй этап предусматривает выявление угроз:

На третьем этапе проводится анализ эффективности принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.).

На четвертом этапе определяются необходимые меры защиты. На основании проведенных на первых трех этапах аналитических исследований вырабатываются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.

На пятом этапе руководителями фирмы (организации) рассматриваются представленные предложения по всем необходимым мерам «безопасности и расчеты их стоимости и эффективности.

Шестой этап состоит в реализации принятых дополнительных мер безопасности с учетом установленных приоритетов.

Седьмой этап предполагает контроль и доведение до персонала фирмы реализуемых мер безопасности.