21) Методы и сзд или и. Классификация.
На организацию и функционирование механизма защиты принципиальное значение оказывает формальная неопределенность проблемы защиты: несанкционированное использование информации связано главным образом, со злоумышленными действиями, которые в общем случае являются неформальными.
Следовательно, надежная и регулярная защита данных в современных ИВС и АСОД не могут быть обеспечены чисто формальными средствами. Она не может быть абсолютной.
В результате на практике проблемы защиты информации оказываются значительно более широкими и сложными в плане решаемых задач и не сводятся к простому разграничению доступов в БД и шифрованию данных.
Классификация методов защиты данных:
1 Управление.
2. Препятствия
3. Маскировка.
4. Регламентация.
5. Побуждение
6. Принуждение.
УПРАВЛЕНИЕ – представляет собой регулирование использования всех ресурсов системы в рамках установленного технологического цикла обработки и передачи данных, где в качестве ресурсов рассматриваются комплекс технических средств (КТС) , ОС, прикладные программы, БД и др. элементы данных.
ПРЕПЯТСТВИЯ – это образования или структура, преграждающие физически нарушителю путь к защищаемым данным.
МАСКИРОВКА – представляет собой метод защиты данных путем их криптографического закрытия.
РЕГЛАМЕНТАЦИЯ – это метод защиты который заключается в разработке и реализации в процессе функционирования ИВС комплексов мероприятия, создающих такие условия технологического цикла обработки данных, при которых минимизируется риск НСД к данным.
Регламентация охватывает: 1) структурное построение ИВС; 2) технологию обработки данных; 3) организацию работы пользователей и персонала ВС-мы.
ПОБУЖДЕНИЕ- это создание такой обстановки и таких условий, при которых правила обращения с защищенными данными регулируются моральными и нравственными нормами.
ПРИНУЖДЕНИЕ – включает угрозу материальной, административной и уголовной ответственности за нарушение правил обращения защищенными данными.
Вывод: На основе данных методов строятся средства защиты информации.
Классификация средств защиты данных:
Средства защиты данных делятся на 2 группы:
1. неформальные средства защиты (НФСЗ)
2. формальные средства защиты (ФСЗ)
К НФСЗ относятся:
*организационные средства защиты
*законодательные
* морально-этические
К ФСЗ относятся:
*физические средства защиты
*аппаратные
*программные
*криптографические
В свою очередь физические средства защиты и аппаратные средства защиты объединяются – это технические средства защиты.
Криптографические средства защиты строятся на базе аппаратных средств защиты и программных средств защиты.
22) Организационные сзи в современных вс и асод.
Относятся организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИВС и АСОД, построенных на их основе
23) Организационные мероприятия зи и их хар-ки в соврем вс и асод.
Охватывают все структурные элементы ИВС и системы защиты на всех этапах их жизненного цикла:
1) строительство помещений, в которых будет размещаться данная система.
2) проектирование системы
3) монтаж и наладка оборудования
4) испытание и проверка при вводе в опытную эксплуатацию
5) эксплуатация (модернизация, перестройка)
6) демонтаж-вывод сис-мы из эксплуатации
При этом организованные мероприятия играют двоякую роль в механизме защиты:
1. с одной стороны, позволяют частично или полностью перекрывать значительную часть каналов утечки информации.
2. С другой стороны обеспечивает объединение всех используемых в ИВС средств в целостный механизм защиты.
Организационные меры базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов с максимальной эффективностью.
Организационные мероприятия включают следующие принципы организации работ, которые способствуют обеспечению безопасности данных:
1. минимизация данных, доступная персоналу, т.е. каждый сотрудник должен знать только те детали технологического процесса обеспечения безопасности, которые необходимы ему для выполнения своих обязанностей.
2 минимизация связей персонала
Организация технологического цикла сбора, обработки и передачи данных по мере возможности должно исключать или минимизировать контакты обслуживающего персонала.
3. минимизация доступных данных
Требует ограничения количества данных, которые могут быть доступны персоналу и пользователям
4.дублирование контроля.
Контроль важнейших операция нельзя поручать одному сотруднику.
Организованные мероприятия включают:
I. ограничение физического доступа к объектам ИВС и АСОД, построенных на их базе, и реализацию режимных мер
II. ограничение возможности перехвата информации в следствии существования физических полей.
III ограничение доступа к информационным ресурсам и другим элементам АСОД путем криптографического закрытия каналов передачи данных, путем выявления и уничтожения программ закладок (специальные программы, которые как правило, являются резидентом: они ведут статистику: что запускалось, когда запускалось, когда; отслеживают нажатые клавиши; отслеживают работу пользователя; выполняют функцию как шпионы; работают скрытно)
IV создание твердых копий важных с точки зрения внедрения вирусных программ или просто вирусов (в масштабах лаборатории, отдела…)
V Законодательные меры позволяют сдерживать потенциальных преступников (злоумышленников), причем под ЗАКОНОДАТЕЛЬНЫМИ МЕРАМИ понимаются законодательные акты, которыми регламентируются правила использования данных ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
VI Морально-этические нормы защиты – это всевозможные нормы, которые традиционно сложились по мере развития информатизации общества. Данные нормы не являются обязательными. Однако их несоблюдение ведет к потере престижа отдельного человека, авторитета и престижа группы лиц, и даже целых организаций. Морально-этические нормы могут быть неписанными:
-общепринятые нормы честности;
-оформление в качестве свода правил и предписаний кодекса.
По содержанию все множество организационных мероприятий делится на следующие группы:
1. мероприятия, осуществляемые при создании ИВС и АСОД на их базе.
1.1. учет требований защиты при разработке общего проекта системы и ее структурных элементов.
1.2. при строительстве или переоборудовании помещений.
1.3. при разработке математического, программного, информационного, а также лингвистического обеспечения системы.
1.4. при монтаже и наладке оборудования
1.5. при испытаниях и приемке системы.
2. мериприятия, осуществляемые в процессе эксплуатации системы:
2.1. организация пропускного режима
2.2. организация технологии автоматизированной обработки информации.
2.3. организация работы в сменах информационно-вычислительном центре (ИВЦ)
2.4. распределение реквизитов разграничения доступа (шифры, пароли…)
2.5. организация ведения протоколов
2.6. контроль выполнения требования служебных инструкций.
3 мероприятий общего характера.
3.1. учет требований защиты при подборе и подготовке кадров.
3.2. организация плановых и превентивных провозок механизмов защиты (превентивные - предваряющие, упреждающие поверки)
3.3. планирование всех мероприятий по защите информации
- обучение персонала
- проведение занятий с привлечением ведущих специалистов / организаций страны.
- участие в семинарах по проблемах безопасности информации.