АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Методы и средства обеспечения информационной безопасности

Читайте также:
  1. A. Характеристика нагрузки на организм при работе, которая требует мышечных усилий и энергетического обеспечения
  2. I. Методы выбора инновационной политики
  3. I. Противотуберкулезные средства.
  4. II. Вывод и анализ кинетических уравнений 0-, 1-, 2-ого порядков. Методы определения порядка реакции
  5. II. ГОРМОНАЛЬНЫЕ И АНТИГОРМОНАЛЬНЫЕ СРЕДСТВА.
  6. II. Методы прогнозирования и поиска идей
  7. III. СРЕДСТВА ДЛЯ ЛЕЧЕНИЯ НЕМАТОЗОВ
  8. III. Средства, угнетающие холинергические влияния
  9. IV класс. Средства обработки документов
  10. S:Статистические методы анализа качества разработаны как
  11. V. Кибернетические (или постбиологические) методы достижения бессмертия (искусственная жизнь “в силиконе”)
  12. V. Правила и методы исследований при трансфузии (переливании) консервированной донорской крови и эритроцитсодержащих компонентов

Методы и средства делятся на три группы (согласно ст. 16 Закона «Об информации»).

1) Правовые методы обеспечения информационной безопасности.

- Принятие нормативного акта, устанавливающего категории защищаемой информации. Всю информацию защищать не получится, да и смысла нет. Потому необходимо определиться, какие компоненты корпоративной информационной среды не подлежат разглашению, утечке и т.д.

- Издание нормативных и инструкционных материалов по работе с информацией. Т.е. люди должны знать, как надо обращаться с информацией, подлежащей защите. Что имеется в виду? Если юрист отвечает за это, то его задача – определить перечень конфиденциальных сведений – коммерческой тайны. Перечень должен быть предметный или должны быть разработаны правила и критерии, которые относят информацию к секретной. У каждого из методов есть свои достоинства и недостатки. Предметный – гораздо проще для использования, но такой перечень менее гибкий, может также не учитывать изменение определенных обстоятельств. Например, какое-то ноу-хау опубликовали в журналах, а оно может продолжать включаться в список конфиденциальной информации.

Способ с установлением критериев – более гибкий, однако, далеко не всем понятно, особенно если критерии изложены сложным языком. Потому разрабатываются критерии, и назначается ответственный, который, исходя из критериев, определяет конкретный перечень (в оперативном порядке).

 

2) Организационные средства обеспечения информационной безопасности.

- Определение уровней доступа к информации. Информация может быть общедоступной и ограниченного доступа. Ограниченного доступа информация может также иметь несколько уровней (совершенно секретно, секретно, особой важности). Следовательно, устанавливается уровень и круг лиц. Для каждого из этого круга должны существовать определенные правила поведения, которые также надо разработать (это уже правовая часть).

 

3) Технические.

Во-первых, технические средства должны обеспечивать защиту материальных носителей информации. Методы защиты материальных носителей включают в себя:

- Создание охраняемых помещений.

- Установление систем видеонаблюдения.

- Помещение материальных носителей информации в специальные хранилища.

- Создание системы регистрации лиц, получающих доступ к материальным носителям.

 

Во-вторых, они должны обеспечивать защиту информации от неправомерного доступа. Сюда включаются:

- Криптографическая защита – т.е. установление для доступа к информации определенных паролей.

- Программы-ревизоры и программы-часовые. Это, например, антивирусы, firewalls. Программа-ревизор по истечении определенного периода времени по программе начинает проверять диск на предмет несанкционированного доступа. Программа-часовой выстраивает систему защиты компьютера, реагирующую на прорыв. Антивирусы работают одновременно как ревизоры и как часовые.

- Программы, обеспечивающие возможность резервирования и дублирования информации.

 

Приказ ФСБ и ФСТЭК «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования» от 31.08.2010 №416/489 рекомендуется в качестве руководства к деятельности при создании системы защиты информации, хотя официально применяется только для федеральных информационных систем.

В этом документе к информационной системе сформулированы требования:

- Сохранность информации.

- Беспрепятственный доступ к информационной системе.

- Защита информации от действий, не предусмотренных правилами пользования.

 

Информационные системы, согласно вышеупомянутому приказу, делятся на два класса. В системах первого класса применяются меры защиты информации от повреждения, только те, которые прошли сертификацию ФСБ. Системы первого класса, это такие, в которых нарушение целостности информации может привести к угрозе безопасности РФ. Все остальные системы – это второй класс. Таким образом, разница состоит в угрозах при проникновении и сертификации в ФСБ.

В информационной системе должны быть обеспечены:

- Поддержка целостности и доступности информации.

- Предупреждение неблагоприятных последствий при нарушении порядка доступа к информации.

- Периодическое проведение мероприятий, направленных на предотвращение несанкционированных действий. Например, обновление паролей, смена антивирусов.

- Своевременное обнаружение фактов неправомерных действий в отношении информации.

- Недопущение воздействия на технические средства.

- Возможность оперативного восстановления информации. Т.е. информация, которая была утрачена и модифицирована, не должна существовать в единственном числе.

- Запись и хранение сетевого трафика. В приказе предусмотрено, что все запросы пользователей должны регистрироваться в электронном журнале сообщений.

- Регистрация действий обслуживающего персонала и пользователей. Т.е. каждое лицо, которое проникает к месту хранения или получает доступ должно быть зарегистрировано.

- Использование источников бесперебойного питания. В каждом серьезном предприятии всегда существует источник бесперебойного питания, работающий на солярке или других видах топлива, чтобы в случае перепадов энергии можно было сохранить необходимые файлы.

 

К техническим средствам защиты относятся:

- Криптографическая защита. Например, доступ с использованием ЭЦП.

- Антивирусное обеспечение.

- Средства фильтрации и блокировки сетевого трафика. Речь идет об анти - спаме.

- Программные средства для локализации и ликвидации последствий. Например, деление HDD на несколько дисков. Т.е. если происходит проникновение вируса на один диск, то вирус все уничтожит, а если много – то другие он не затронет.

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)