Организационная защита информации
Тема лекции№3. Задачи, методы и средства обеспечения информационной безопасности
Вопросы лекции:
3.1. Цели и задачи обеспечения информационной безопасности
3.2. Структура государственных органов рф, обеспечивающих иб
3.3. Подразделения, участвующие в обеспечении иб организации
Цели и задачи обеспечения информационной безопасности
Система защиты информации – совокупность взаимосвязанных средств, методов и мероприятий, направленных на предотвращение уничтожения, искажения, несанкционированного получения конфиденциальных сведений.
Классификация задач защиты информации может быть представлена следующей схемой.
Цели обеспечения защиты информации
Классы задач защиты информации
Р
ис.
1. Классификация задач обеспечения
информационной безопасности
Рассмотрим подробнее каждый класс задач в зависимости от их целенаправленности1.
Обеспечение защиты системы от обнаружения
Скрытие сведений о средствах, комплексах, объектах и системах обработки информации. Организационная сторона этих задач связана с недопущением разглашения конфиденциальных сведений сотрудниками и утечки их по агентурным каналам. Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них (технические задачи скрытия должны решаться, например, для подвижных объектов).
Дезинформация заключается в распространении заведомо ложных сведений относительно истинного назначения каких-либо объектов, изделий, государственной деятельности, положения дел на предприятии и т.п. Дезинформация проводится путем имитации или искажения признаков и свойств отдельных элементов объектов защиты, создания ложных объектов и т.п. Примером технической дезинформации может служить передача, обработка, хранение в АСОИ ложной информации.
Легендирование задача близкая к дезинформации, когда назначение и направленность работ на объекте полностью не скрывают, а маскируют их действительное предназначение.
Обеспечение защиты содержания информации
Введение избыточности элементов системы предполагает введение в состав элементов системы обработки информации организационной, программно-аппаратной, информационной и временной избыточности.
Организационная избыточность осуществляется за счет введения дополнительной численности персонала, его дополнительного обучения для работы с конфиденциальной информацией, а также выбора мест размещения комплексов обработки конфиденциальной информации.
Программно-аппаратная избыточность предполагает наличие дополнительных программных и аппаратных средств, обеспечивающих информационную защиту на всех фазах хранения, передачи и обработки информации в АСОИ.
Информационная избыточность создается за счет использования дублирующих массивов и баз данных.
Временная избыточность предполагает выделение дополнительного времени для проведения обработки конфиденциальной информации.
Резервирование элементов системы в отличие от введения избыточности предполагает не введение дополнительных элементов, обеспечивающих защиту, а перевод части элементов системы в резерв, с целью их использования в тех или иных критических ситуациях.
Регулирование доступа к элементам системы и защищаемой информации предусматривает разграничение доступа к средствам, комплексам и системам обработки информации (на территорию, в помещение, к техническим средствам, к программам, базам данных и т.п.) и предполагает реализацию идентификации, проверки подлинности и контроля доступа, а также регистрацию субъектов и учет носителей информации.
Кроме того, к данному классу относятся задачи по установлению контролируемых зон вокруг средств обработки конфиденциальной информации, за пределами которых становится невозможным выделение и регистрация с помощью технических средств злоумышленников сигналов, содержащих конфиденциальные сведения. Например, сигналов, возникающих из-за побочных электромагнитных излучений или наводок в проводах, выходящих за пределы контролируемой зоны.
Регулирование использования элементов системы и защищаемой информации предполагает предъявление пользователями некоторых полномочий при доступе к тем или иным операциям (или процедурам). Для решения данного класса задач применительно к конфиденциальной информации могут использоваться такие операции, как дробление (расчленение информации на части с таким условием, что получение сведений об одной части не дает возможности восстановить всю картину в целом) и ранжирование (разграничение доступа к информации в зависимости от степени ее секретности).
Маскировка информации это, в первую очередь скрытие факта передачи информации (например, с помощью методов стеганографии). Во-вторых, это использование как криптографических методов защиты данных, так и не криптографических (например, кодовое зашумление).
Регистрация сведений предполагает фиксацию всех сведений о фактах и событиях в процессе функционирования средств обработки конфиденциальной информации (например, специальные программные средства, регистрирующие попытки НСД и др.).
Уничтожение информации рассматривается как процедура по частичному или полному уничтожению элементов конфиденциальной информации не представляющих в дальнейшем ценность, завершивших свой жизненный цикл и пр. Так для АСОИ типичной процедурой является уничтожение остаточной информации в элементах ОЗУ, программных модулях, на отдельных магнитных или бумажных носителях после завершения какой-либо задачи. Для криптографических систем это может быть уничтожение криптографических ключей по истечении установленного протоколом срока использования.
Обеспечение сигнализации состоит в реализации процедуры сбора, генерирования, передачи, отображения и хранения сигналов о состоянии механизмов защиты с целью обеспечения регулярного управления ими, а также объектами и процессами обработки информации. Фактически это обеспечение обратной связи в системе управления.
Оценка системы защиты информации включает широкий круг задач, связанных с оценкой эффективности функционирования механизмов обработки и защиты информации на основе сравнения уровня безопасности информации, достигаемого применением выбранных механизмов, с требуемым уровнем.
Обеспечение реагирования на проявление дестабилизирующих факторов является признаком активности системы защиты информации.
Обеспечение защиты системы от информационного воздействия
Защита от воздействия на технические средства обработки информации направлена на исключение таких воздействий как:
уничтожение информации (например, электронное подавление средств связи);
искажение или модификацию информации (например, с использованием компьютерных вирусов);
внедрение ложной информации в систему (например, изменение программных кодов).
Защита от информационного воздействия на общество включает разработку методов противостояния негативному воздействию, например, средств массовой информации с целью влияния на общественное сознание (пропаганда, реклама и т.д.).
Защита от информационного воздействия на психику рассматривает защиту от т.н. психотропного оружия.
Нетрудно заметить, что классы задач совпадают со способами защиты, которые можно классифицировать подобным образом.
Кроме того, к пассивным способам можно добавить и активнst^
Принуждение – способ защиты, при котором личный состав, работающий с конфиденциальными сведениями, вынужден соблюдать правила и условия обращения с указанными сведениями под угрозой дисциплинарной или административной ответственности.
Побуждение – способ защиты, при котором личный состав, работающий с конфиденциальными сведениями, посредством моральных, этических, психологических, материальных и других мотивов, побуждается к соблюдению всех правил обращения с указанными сведениями.
Нападение – предполагает встречное воздействие на дестабилизирующие факторы и причины их порождающие, с целью недопущения или максимального ослабления их воздействия на защищаемую информацию.
Таким образом, Защита информации - это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее.
Защита информации (ЗИ) подразделяется на:
защиту от утечки,
защиту от несанкционированного воздействия (НСВ),
защиту от непреднамеренного воздействия (непреднамеренные ошибки либо неграмотные действия персонала),
защиту от разглашения,
защиту от несанкционированного доступа
защиту от разведки (технической и агентурной).
Защита от утечки производится созданием препятствия; защита от НСВ – препятствием и нападением; защита от непреднамеренного воздействия – управлением и регламентацией; защита от разглашения – управлением, регламентацией, принуждением, побуждением; защита от несанкционированного доступа – препятствием, управлением, маскировкой, регламентацией; защита от разведки (технической и агентурной) – осуществляется с применением всех указанных способов защиты информации.
Системе защиты информации для достижения цели, то есть заранее намеченного результата защиты, недостаточно владеть всеми представленными способами защиты и иметь в распоряжения необходимые средства защиты. Необходимо грамотное сочетание всех названных способов и средств защиты информации в зависимости от сложившейся обстановки, поставленной задачи и соответствующих ей приоритетов, а также возможностей потенциального конкурента. При этом, для постановки задачи на организацию защиты информации необходимо иметь следующие исходные данные:
Силы и средства ЗИ, имеющиеся в распоряжении.
Способы защиты информации, реализуемые системой защиты.
Сведения о возможностях потенциального конкурента по получению конфиденциальной информации организации.
Порядок принятия решения по управлению силами и средствами защиты информации.
Порядок управления и контроля использования сил и средств ЗИ.
Применение различных способов защиты информации подразумевает использование различных средств, что требует согласованного по целям, масштабу и времени управления ими с учетом условий обстановки, возможностей организации и потенциального противника, а также задач, решаемых организацией.