Создание всеобщего информационного пространства, массовое применение персональных компьютеров и внедрение компьютерных систем породили необходимость решения комплексной проблемы защиты информации хозяйственной деятельности. Под защитой информации принято понимать использование различных средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения надежности передаваемой, хранимой и обрабатываемой информации.
Защитить информацию — это значит:
— обеспечить физическую целостность информации, то есть не допустить искажений или уничтожения элементов информации;
— не допустить подмены (модификации) элементов информации при сохранении ее целостности;
— не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;
— быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с оговоренными сторонами условиями.
Процессы по нарушению надежности информации можно классифицировать на случайные и злоумышленные (преднамеренные). В первом случае источниками разрушительных, искажающих и иных процессов являются непреднамеренные, ошибочные действия людей, технические сбои и др.; во втором случае — злоумышленные действия людей.
Проблема защиты информации хозяйственной деятельности в системах электронной обработки данных возникла практически одновременно с их созданием.
Важность решения проблемы по обеспечению надежности информации подтверждается затратами на защитные мероприятия. Для расчета затрат, обеспечивающих требуемый уровень защищенности информации, необходимо знать: полный (если это возможно) перечень угроз информации, потенциальную опасность для информации каждой из угроз, размеры затрат, необходимые для нейтрализации каждой из угроз.
Для обеспечения достаточно высокой безопасности данных финансово-хозяйственной деятельности надо найти компромисс между стоимостью защитных мероприятий, неудобствами при использовании мер защиты и важностью защищаемой информации. Только на основе тщательного анализа многочисленных взаимодейст-вующих факторов можно принять более или менее разумное и эффективное решение о сбалансированности меры защиты от конкретных источников опасности.
Под объектом защиты понимается такой структурный компонент системы, в котором находится или может находиться подлежащая защите информация, а под элементом защиты — совокупность данных, которая может содержать подлежащие защите сведения.
В качестве объектов защиты информации в системах обработки данных можно выделить следующие:
— терминалы пользователей (персональные компьютеры, рабочие станции сети);
— терминал администратора сети или групповой абонентский узел;
— узел связи;
— средства отображения информации;
— средства документирования информации;
— машинный зал (компьютерный или дисплейный) и хранилище носителей информации;
— внешние каналы связи и сетевое оборудование;
— накопители и носители информации.
В качестве элементов защиты выступают блоки (порции, массивы, потоки др.) информации в объектах защиты, в частности:
— данные и программы в основной памяти компьютера;
— данные и программы на внешнем машинном носителе (гибком и жестком дисках);
— данные, отображаемые на экране монитора;
— данные, выводимые на принтер при автономном и сетевом использовании ПК;
— пакеты данных, передаваемые по каналам связи;
— данные, размножаемые (тиражируемые) с помощью копировально-множительного оборудования;
— отходы обработки информации в виде бумажных и магнитных носителей;
— журналы назначения паролей и приоритетов зарегистрированным пользователям;
— служебные инструкции по работе с комплексами задач;
— архивы данных и программное обеспечение и др.
Несанкционированное ознакомление с информацией возможно путем непосредственного подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.
Несанкционированное ознакомление с информацией подразделяется на пассивное и активное. В первом случае не происходит нарушения информационных ресурсов, и нарушитель лишь получает возможность раскрывать содержание сообщений, используя это в дальнейшем в своих корыстных целях. Во втором случае нарушитель может выборочно изменить, уничтожить, переупорядочить и перенаправить сообщения, задержать и создать поддельные сообщения и др.
Для обеспечения безопасности информации в личных компьютерах и особенно в офисных системах и компьютерных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации».
Система защиты информации — это совокупность организационных (административных) и технологических мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.
При комплексном подходе различные меры противодействия угрозам объединяются, формируя так называемую архитектуру безопасности систем.
Учитывая важность, масштабность и сложность решения проблемы сохранности и безопасности информации, рекомендуется разрабатывать архитектуру безопасности в несколько этапов:
— анализ возможных угроз;
— разработка системы защиты;
— реализация системы защиты;
— сопровождение системы защиты.
Из всего многообразия угроз и возможных воздействий следует в первую очередь выбрать наиболее вероятные, а также те, которые могут нанести наиболее серьезный ущерб финансово-хозяйственной деятельности предприятия.
Этап разработки системы защиты информации предусматривает использование различных комплексов мер и мероприятий организационно-административного, технического, программно-аппаратного, технологического, правового, морально-этического характера и др.
Организационно-административные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам систем обработки данных, к регламентации деятельности персонала и др. Их цель — в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.
Технические средства защиты призваны создать некоторую физически замкнутую среду вокруг объекта и элементов защиты.
Программные средства и методы защиты активнее и шире других применяются для защиты информации в персональных компьютерах и компьютерных сетях, реализуя такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, событий, пользователей; предотвращение возможных разрушительных воздействий на ресурсы; криптографическая защита информации; идентификация и аутентификация пользователей и процессов и др.
Технологические средства защиты информации — это комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных.
К правовым и морально-этическим мерам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушение; нормы поведения, соблюдение которых способствует защите информации.
В законодательных актах Российской Федерации заложены юридические основы гарантий прав граждан на информацию. Законы направлены на обеспечение защиты собственности в сфере информационных систем и технологий, формирование рынка информационных ресурсов, услуг, систем, технологий, средств их обеспечения.
Автор: Синюкова В.А.