Тема 8 методы защиты информации (экзамен)

Проблема создания системы защиты информации включает в себя две взаимно дополняющие задачи.

1. Разработка системы защиты информация (ее синтез).

2. Оценка разработанной системы защиты информации. Вторая задача решается путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты информации комплексу требований к таким системам. Такая задача в настоящее время решается почти исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.

Быстрый рост и развитие IT-технологий несомненно будет способствовать росту количества разнообразных угроз и уязвимостей. В этих условиях подбор необходимых методов защиты и соответствующих им средств является наиглавнейшей задачей для создания комплексной системы защиты информации охраняемого объекта.

Основные методы ЗИ:

1. Препятствие – метод создания преграды на пути злоумышленника к защищаемой ИС и информации, хранящейся в ней. Подобного рода барьеры создаются для уменьшения (исключения) возможности вхождения злоумышленника в охраняемую зону, а также исключения возможности несанкционированных доступа в нее транспортах средств. Применяемые средства для реализации данного метода защиты – аппаратные и программно-аппаратные (антивирусы)

2.Управление доступом – метод ЗИ регулированием использования всех ресурсов компьютерной ИС (элементов баз данных, программных и технических средств).

Управление доступом позволяет пользователям авторизоваться с целью получения доступа к необходимым ресурсам. Оно подразумевает такие функций ЗИ как:

• идентификация пользователей, персонала и ресурсов системы (присвоение личного идентификатора объекту);

• аутентификация объекта или субъекта (т. е. проверку подлинности по предъявленному ими идентификатору);

• проверка полномочий (проверка соответствия запрашиваемых ресурсов и процедур установленным в ИС эталонным параметрам);

• разрешение и создание условий работы в соответствии с установленным регламентом;

• протоколирование обращений к защищаемым ресурсам;

• реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках НСД к средствам ИС.

Управление доступом обеспечивается аппаратными, программными и программно-аппаратными средствами.

3. Маскировка – метод защиты информации путем ее сокрытия. Этот метод защиты широко применяется как при обработке информации (скрывают сам факт ее обработки, возможности доступа злоумышленника к процессу обработки и к самой информации), так и при хранении информации. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным. Маскировка в основном обеспечивается программными и программно-аппаратными средствами. (Примерами маскировки может служить криптографическое закрытие информации или применение для этих целей стеганографических средств).

Стеганография представляет собой сокрытие хранимой или передаваемой информации в такой форме, когда сам факт наличия (передачи) информации не очевиден, например, сокрытие данных в звуковых или графических файлах, входящих в состав операционной системы.

4. Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Применяются организационные, законодательные, программные средства ЗИ. е: Установление строгих правил и процедур для сотрудников, которые работают с конфиденциальной информацией. Эти правила помогают минимизировать риск несанкционированного доступа.

Так, для пользователей вводят регламент на время работы в ИС, возможность доступа к конкретному компьютеру, и далее – к сайтам, программам, документам, используемым устройствам хранения информации и т.п., а для программ, обрабатывающих конфиденциальную информацию – интервалы времени их использования, идентификаторы авторизованных пользователей и конкретные разрешенные процедуры и т. п.

5. Принуждение – метод защиты, включающий угрозу административной, материальной или даже уголовной ответственности за несоблюдение регламентированных норм обращения с конфиденциальными данными

6. Побуждение – такой метод защиты, который регулирует соблюдение пользователями и персоналом ИС сложившихся моральных и этических норм и правил (как регламентированных, так и неписаных) при работе с защищаемой информацией. Формирование у персонала моральных и этических норм, которые стимулируют ответственное отношение к защите информации.

Данный метод является одним из основных методов управления персоналом, и направлен, в том числе, на поддержание комфортного социально-психологического климата в коллективе. Средства защиты применяются морально-этические.