16.2 Методы защиты информации
Информация играет главенствующую роль в обеспечении безопасности всех объектов жизнедеятельности общества. Этим объясняется тот факт, что защита от утечки информации является важнейшим направлением деятельности государства. Вся существующая информация предоставляется на разных физических носителях и в различной форме:
документальной форме;
речевой или акустической форме;
телекоммуникационной форме.
Документальная информация содержится в графическом и буквенно-цифровом виде на бумаге и на магнитных носителях. Ее главной особенностью является то, что она содержит данные, которые нуждаются в защите, в сжатом виде. Речевая информация формируется в процессе ведения переговоров, а также при работе системы звуковоспроизведения или звукоусиления. Носителями данного вида информации могут быть акустические механические колебания, что распространяются во внешнее пространство от источника. Телекоммуникационная информация рождается в технических средствах хранения и обработки данных в процессе передачи по каналам связи. В данном случае носителем информации является электрический ток. А если данные передаются по оптическому каналу и радиоканалу, то носитель – электромагнитные волны.
Основные методы защиты информации в зависимости от объекта.
Главными объектами информации могут быть:
Информационные ресурсы. Данные ресурсы могут содержать сведения, которые относятся к государственной тайне и к конфиденциальным данным.
Средства и системы информатизации (системы и сети, а также информационно-вычислительные комплексы), программные средства (операционные системы, СУБД, а также другие разновидности прикладного и общесистемного программного обеспечения), системы связи и АСУ. То есть сюда относятся те средства и системы, которые обрабатывают только «закрытую» информацию. Подобные системы и средства считаются техническими средствами обработки, приема, передачи и сохранения данных.
Технические средства и системы, которые не относятся к средствам информатизации, но размещаются в помещениях, где обрабатываются секретные данные. Данные технические средства и системы являются вспомогательными.
В зависимости от этого наиболее распространенными методами защиты информации являются:
Препятствие. Это метод защиты информации, который подразумевает физическое ограничение пути к носителям защищаемой информации.
Метод управления доступом. Он подразумевает защиту информационных ресурсов посредством контроля применения каждого из них. К данным методам можно отнести технические и программные средства, а также элементы баз данных.
Маскировка. Это метод защиты информации, который подразумевает ее криптографическое закрытие. При передаче данных по длинным каналам этот метод считается единственно надежным.
Регламентация. Данный метод подразумевает защиту информационных данных, при которой становится минимальной вероятность несанкционированного доступа.
Принуждение. Это метод защиты информации, при котором персонал и пользователи системы обязательно должны соблюдать правила обращения со всеми защищенными сведениями – передача, обработка и использование данных. Если они не выполняют данные условия, то могут подвергаться административной или материальной ответственности.
Побуждение. Сюда относятся такие методы защиты информации, при которых персонал и пользователя побуждают придерживаться установленного порядка, соблюдая этические и моральные нормы (написанные и регламентированные).
К методам защиты информации, которые ограничивают доступ, можно отнести:
Идентификация ресурсов компьютерной сети, их пользователей и персонала (присвоение объектам персонального идентификатора).
Метод опознания или подлинности объекта по тому идентификатору, который был указан при входе в систему.
Контроль полномочий, который подразумевает анализ соответствия времени суток, дня, ресурсов и запрашиваемых процедур согласно установленному регламенту.
Установление регламента для того, чтобы разрешить диапазон рабочего времени.
Регистрация каждого обращения к тем ресурсам, что защищаются.
Реакция ограничения в случае совершения попытки несанкционированного доступа (отказ в запросе или включение сигнализации).
Методы защиты информации очень разнообразны, но их однозначно необходимо использовать во всех сферах повседневной жизни.
Организационные методы защиты информации.
В компетенцию службы безопасности обязательно должна входить разработка комплекса организационных средств защиты информации. Чаще всего компетентные специалисты применяют такие методы информационной защиты:
Разрабатывают внутренние нормативные документы, в которых должны быть установлены правила работы с конфиденциальной информацией и компьютерной техникой.
Проводят периодические проверки персонала и инструктаж касаемо сохранение конфиденциальных данных. Кроме этого должны инициировать подписание дополнительных соглашений к трудовому договору, в которых четко прописана ответственность работника за неправомерное использование или разглашение сведений, которые стали ему известные в процессе осуществления его профессиональной деятельности.
Служба безопасности также должна разграничить зоны ответственности для исключения тех ситуаций, когда наиболее важная информация находится в доступе только одного сотрудника. Кроме вышеперечисленных методов защиты информации компетентные сотрудники должны организовать работу в общих программах документооборота и проследить, чтобы особо важные файлы не хранились вне сетевых дисков.
Внедряют программные комплексы, которые защищают информацию от уничтожения или копирования любым пользователем системы, в том числе топ-менеджером компании.
Составляют планы, которые могут восстановить систему в том случае, если она выйдет из строя.
Технические методы защиты информации.
Основные технические методы защиты информации включают программные и аппаратные средства. К ним можно отнести:
Обеспечение удаленного хранения и резервного копирования наиболее важных информационных данных на регулярной основе.
Резервирование и дублирование всех подсистем, которые содержат важную информацию.
Перераспределение ресурсов сети в том случае, если нарушена работоспособность ее отдельных элементов.
Обеспечение возможности применять резервные системы электрического питания.
Обеспечение безопасности информационных данных и надлежащей защиты в случае возникновения пожара или повреждения компьютерного оборудования водой.
Установка такого программного обеспечения, которое сможет обеспечить надлежащую защиту информационных баз данных в случае несанкционированного доступа.
Достарыңызбен бөлісу: |