2.2. Классификация методов защиты информации. Специфика программных методов
классификация средств защиты информации
аппаратные средства
программные средства
Классы средств защиты информации:
организационные (организационные мероприятия и действия, подбор и обучение кадров)
+: сами по себе эти методы могут перекрыть существенную часть каналов утечки информации;
–: эти методы объединяют все остальные в единое целое;
инженерно-технические:
средства контроля и управления доступом (например, турникетная система);
охранное телевидение(CCTV);
охранно-пожарная сигнализация (ОПС);
средства пожаротушения;
средства обнаружения радиозакладных устройств;
…
криптографические;
программно-аппаратные.
Аппаратные средства– электромеханические и электронные устройства, обладающие признаками:
входят в состав технических средств компьютерной системы;
выполняют отдельные функции ЗИ.
Аппаратные средства:
основные
устройства для считывания идентификационных признаков,
платы шифрования,
замки-блокираторы на рабочих станциях и серверах
…
вспомогательные
средства уничтожения информации на магнитных дисках
сигнализации
…
Программные средства– программное обеспечение в составе компьютерной системы, предназначенное для решения отдельных задач ЗИ.
Программные средства:
основные:
программы идентификации и аутентификации,
разграничение доступа к информационным ресурсам,
программные средства шифрования,
средства защиты ПО от несанкционированного применения и использования,
…
вспомогательные
программы уничтожения остаточной информации,
аудит безопасности (регистрация событий безопасности в системных журналах),
программы имитации работы с нарушителем (отвлечение нарушителя от какой-либо информации),
программы тестирования средств защиты,
программы резервного копирования,
…
Достоинства:
простота тиражирования,
гибкость (настраиваемость, параметризация),
простота использования,
неограниченные возможности для усовершенствования.
Недостатки:
возможность злоумышленного изменения,
потребление ресурсов (снижение эффективности системы),
«пристыкованность» многих средств защиты.
2.3. Правовое обеспечение информационной безопасности
Уровни правового регулирования:
федеральное законодательство РФ:
конституция РФ (ст. 23 – тайна частной собственности);
ГК РФ ст. 139 – служебная и коммерческая тайна;
УК РФ ст. 272 (НСД), 273 (вредоносные программы), 274 (правила эксплуатации);
закон «О государственной тайне» (Министерство Обороны, ФСБ, Гос. тех. комиссия, служба военной разведки + межведомственная комиссия по защите);
«Об информации, информатизации и ЗИ»;
«Об электронной цифровой подписи»;
«О связи»;
«О лицензировании отдельных видов деятельности»;
«Об авторских и смежных правах»;
«О правовой охране программ для ЭВМ;
подзаконные акты:
указы президента РФ («О мерах обеспечения законности в области разработки, производства, реализации и эксплуатации средств шифрования»);
постановления правительства РФ («О сертификации средств защиты информациии»);
письма высшего арбитражного суда РФ;
постановления пленумов верховного суда РФ;
стандарты, руководящие документы, инструкции, методики, утверждения соответствующих органов
Госстандарт, «Средства вычислительной техники защиты от НСД. Общие технические требования», «Стандарты на алгоритмы ЭЦП», «Стандарты на функции хэширования»;
Гос. Тех. Комиссия: «Концепция защиты техники, автоматизированных систем, … от НСД»;
локальные нормативные акты.