- •1.1 Информационная безопасность. Основные определения
- •1.2 Классификация угроз безопасности информации
- •Виды угроз информационным объектам
- •2 Методы и средства обеспечения информационной безопасности
- •2.1 Методы обеспечения информационной безопасности
- •Правовые, законодательные и организационные методы защиты информации в ас
- •2.1.1. Правовое регулирование в области безопасности информации
- •2.1.2. Законодательные методы защиты информации
- •2.1.3 Общая характеристика организационных методов защиты информации в кс
- •2.2 Классификация средств защиты информации
2 Методы и средства обеспечения информационной безопасности
2.1 Методы обеспечения информационной безопасности
Методы обеспечения информационной безопасности весьма разнообразны. Проблема обеспечения информационной безопасности — комплексная, защищать приходится сложные системы, и сами защитные средства тоже сложны, поэтому нам понадобятся все введенные понятия. Начнем с понятия грани. Фактически три грани уже были введены: это доступность, целостность и конфиденциальность. Их можно рассматривать относительно независимо, и считается, что если все они обеспечены, то обеспечена и ИБ в целом (то есть субъектам информационных отношений не будет нанесен неприемлемый ущерб). Таким образом, мы структурировали нашу цель. Теперь нужно структурировать средства ее достижения. Введем следующие грани:
• правовые и законодательные меры обеспечения информационной безопасности;
• организационные (меры безопасности, ориентированные на людей);
• программно-технические меры.(идентификация и аутентификация; • управление доступом;• протоколирование и аудит;• шифрование;• контроль целостности;• экранирование;• анализ защищенности;• обеспечение отказоустойчивости;• обеспечение безопасного восстановления;• туннелирование;•).
Комплексная система защиты информации создается на объектах для блокирования (парирования) всех возможных или, по крайней мере, наиболее вероятных угроз безопасности информации. Для парирования той или иной угрозы используется определенная совокупность методов и средств защиты. Некоторые из них защищают информацию от нескольких угроз одновременно.
Среди методов защиты имеются и универсальные методы, которые являются базовыми при построении любой системы защиты. Это, прежде всего, правовые методы защиты информации, которые служат основой легитимного построения и использования системы защиты любого назначения.
Организационные методы защиты информации, как правило, используются для парирования нескольких угроз. Кроме того, организационные методы используются в любой системе защиты без исключений. Организационные мероприятия по защите включают в себя совокупность действий по подбору и проверке персонала, участвующего в подготовке и эксплуатации программ и информации, строгое регламентирование процесса разработки и функционирования ИС. Организационные мероприятия по защите включают в себя совокупность действий по подбору и проверке персонала, участвующего в подготовке и эксплуатации программ и информации, строгое регламентирование процесса разработки и функционирования ИС.
Правовые, законодательные и организационные методы защиты информации в ас
2.1.1. Правовое регулирование в области безопасности информации
Государство должно обеспечить в стране защиту информации, как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано:
1) выработать государственную политику безопасности в области информационных технологий;
2) законодательно определить правовой статус компьютерных систем, информации, систем защиты информации, владельцев и пользователей информации и т. д.;
3) создать иерархическую структуру государственных органов, вырабатывающих и проводящих в жизнь политику безопасности информационных технологий;
4) создать систему стандартизации, лицензирования и сертификации в области защиты информации;
5) обеспечить приоритетное развитие отечественных защищенных информационных технологий;
6) повышать уровень образования граждан в области информационных технологий;
7) установить ответственность граждан за нарушения законодательства в области информационных технологий.
На основании правовых документов ведомства (министерства, объединения, корпорации и т. п.) разрабатывают нормативные документы (приказы, директивы, руководства, инструкции и др.), регламентирующие порядок использования и защиты информации в подведомственных организациях.
Важной составляющей правового регулирования в области информационных технологий является установление ответственности граждан за противоправные действия при работе с АС. Преступления, совершенные с использованием КС или причинившие ущерб владельцам компьютерных систем, получили название компьютерных преступлений. В Уголовном кодексе определена уголовная ответственность за преступления в сфере компьютерной информации.