Лекция Методы и средства защиты информации

Название	Лекция Методы и средства защиты информации
Дата	08.11.2021
Размер	0.83 Mb.
Формат файла
Имя файла	metody-i-sredstva-zashchity-informatsii-lektsiya-3.pptx
Тип	Лекция #265823

Лекция 3. Методы и средства защиты информации.

Защита информации

Проблема защиты информации относится к формально не определенным и слабо предсказуемым проблемам.

Отсюда следуют два основных вывода:

надежная защита информации в компьютерной системе не может быть обеспечена только формальными методами;
защита информации в компьютерной системе не может быть абсолютной.

системность целевая (защищенность информации является неотъемлемой часть ее качества;

системность пространственная (взаимосвязанность защиты информации во всех элементах компьютерной системы)

системность временная (непрерывность защиты информации);

системность организационная (единство организации всех работ по защите информации в компьютерной системе и управления ими.

При решении задачи защиты информации в компьютерной системе необходимо применять системно-концептуальный подход.
Обеспечение информационной безопасности компьютерной системы является непрерывным процессом, целенаправленно проводимым на всех этапах ее жизненного цикла с комплексным применением всех имеющихся методов и средств, которые можно подразделить на четыре основные группы:

методы и средства организационно-правовой защиты информации;
методы и средства инженерно-технической защиты информации;
криптографические методы и средства защиты информации;
программно-аппаратные методы и средства защиты информации.

Морально-этические меры. К ним относятся нормы поведения, которые традиционно складываются по мере распространения ИТ в обществе; бывают как неписаные, так и писаные (оформленные в некоторый свод правил или предписаний). Эти нормы часто не являются обязательными, но их несоблюдение ведет обычно к падению авторитета или престижа человека или организации. Данные меры являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей.

Правовые меры. Включают нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Правовые меры защиты являются упреждающими, профилактическими и требуют постоянной разъяснительной работы с пользователями.
Организационные меры. Организационные меры защиты – меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации. Меры физической защиты. Основаны на применении механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации, контроля физической целостности компонентов АС.

Правовое обеспечение защиты информации

На правовом уровне доступ к информационным системам регулируется законодательными и нормативными документами в области информационной безопасности.

Можно выделить четыре уровня правового обеспечения информационной безопасности.

России:

1 уровень

Международные договоры, к которым присоединилась и законы РК

2 уровень

Указы Президента РК и постановления Правительства, письма Высшего Арбитражного Суда

3 уровень

ГОСТы, руководящие документы, нормы, методики, классификаторы, разработанные гос. органами

4 уровень

Локальные нормативные акты, положения, инструкции

Организационная защита информации

К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации компьютерной системы для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться компьютерная система; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности компьютерной системы.

В задачи организационных мероприятий входит:

- обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);

- объединение всех используемых в КС средств в целостный механизм защиты информации.

Методы и средства организационной защиты информации включают в себя комплекс мер для обеспечения целостного механизма защиты информации

Основные мероприятия различных этапов жизненного цикла компьютерной системы

Разработка проектов — анализ возможных угроз и методов их нейтрализации;

Строительство и переоборудование помещений — приобретение сертифицированного оборудования, выбор лицензированных организаций;

Разработка математического, программного, информационного и лингвистического обеспечения — использование сертифицированных программных и инструментальных средств;

Монтаж и наладка оборудования — контроль за работой технического персонала;

Испытания и приемка в эксплуатацию — включение в состав аттестационных комиссий сертифицированных специалистов;

организация пропускного режима, определение технологии автоматизированной обработки документов, организация работы обслуживающего персонала, распределение реквизитов разграничения доступа пользователей к элементам компьютерной системы (паролей, ключей, карт и т.п.), организация ведения протоколов работы компьютерной системы, контроль выполнения требований служебных инструкций и т.п.

подбор и подготовка кадров, организация плановых и предупреждающих проверок средств защиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т. п.

Этап создания компьютерной системы

Этап эксплуатации компьютерной системы

Мероприятия общего характера

Инженерно-технические методы защиты

Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивающие:

защиту территории и помещений компьютерной системы от проникновения нарушителей;
защиту аппаратных средств компьютерной системы и носителей информации от хищения;
предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и противопожарную защиту помещений компьютерной системы;
минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий.

Программно-аппаратная защита

К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств компьютерной системы и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности.

К основным аппаратным средствам защиты информации относятся:

устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и др.
устройства для шифрования информации;
устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).