Тема 1.3 Обеспечение информационной безопасности
1.3.1 Направления обеспечения информационной безопасности
Направления обеспечения информационной безопасности – это нормативно-правовые категории, определяющие комплексные меры защиты информации на государственном уровне, на уровне предприятия и организации, на уровне отдельной личности. С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации (рис. 3.1):
– правовая защита (специальные правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе);
– организационная защита (регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая нанесение ущерба);
– инженерно- техническая защита (использование различных технических средств, препятствующих нанесению ущерба).
Рис. 3.1 Направления обеспечения безопасности
Кроме этого защитные действия, ориентированные на обеспечение информационной безопасности, могут быть охарактеризованы целым рядом параметров, отражающих ориентацию на объекты защиты, характер угроз, направления, способы действий, охват и масштабность (рис. 3.2):
– по ориентации:
– персонал;
– материальные и финансовые ценности;
– информация;
– по характеру угроз:
– разглашение;
– утечка;
– несанкционированный доступ;
– по направлениям:
– правовая
– организационная;
– инженерно-техническая;
– по способам действий:
– предупреждение;
– выявление;
– обнаружение;
– пресечение;
– восстановление;
– по охвату:
– территория;
– здание;
– помещение;
– аппаратура;
– элементы аппаратуры;
– по масштабу
– объектовая;
– групповая;
– индивидуальная.
Рис. 3.2 Характеристики защитных действий
1.3.2 Правовая защита информации
Право – это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).
Правовая защита информации – это специальные правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе.
Правовая защита информации как ресурса признана на международном и государственном уровне (рис._3.3). На международном уровне она определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторскими правами и лицензиями. На государственном уровне правовая защита регулируется государственными актами (конституция, законы, кодексы, указы, постановления) и ведомственными актами (приказы, руководства, положения, инструкции).
Рис. 3.3 Правовая защита информации
1.3.3 Организационная защита информации
Организационная защита информации – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
К основным организационным мероприятиям можно отнести (рис. 3.4):
– организацию режима и охраны, целью которой является исключение возможности тайного проникновения на территорию и в помещения посторонних лиц. Она предусматривает обеспечение удобства контроля прохода и перемещения сотрудников и посетителей, создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа, контроль и соблюдение временного режима труда и пребывания на территории персонала, организацию и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
– организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
– организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
– организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
– организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
– организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей информации.
Рис. 3.4 Организационная защита информации
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Специфической областью организационных мер является организация защиты ЭВМ, информационных систем и сетей.