Рис.2. Способы и средства защиты информации

219 
образования физических препятствий на возможных путях проникновения 
и доступа возможных нарушителей к компонентам автоматической 
системы и защищаемой информации, а также технические средства 
визуального наблюдения, связи и охранной сигнализации. Физическая 
безопасность связана с введением мер защиты, которые защищают от 
стихийных бедствий, например, таких как пожар, наводнение, ураган, 
землетрясение [3].
Аппаратные средства защиты - это различные электронные, 
электромеханические 
устройства, 
прямо 
встроенные 
в 
блоки 
автоматизированной информационной системы или оформленные в виде 
автономных устройств и сопрягающиеся с этими блоками. Их задача 
внутренняя защита структурных элементов средств и систем вычис-
лительной техники, например, процессоров, терминалов, периферийного 
оборудования. Реализуются это с помощью метода управления доступом 
(идентификация, аутентификация и проверка полномочий субъектов 
системы, регистрация, реагирование).
Программные средства защиты используются для выполнения 
логических и интеллектуальных функций защиты. Включаются либо в со-
став программного обеспечения автоматизированной информационной 
системы, либо в состав средств, комплексов и систем аппаратуры кон-
троля. 
Программные 
средства 
защиты 
являются 
наиболее 
распространенным видом защиты, так как они универсальны, просты в 
использовании, имеется возможностью изменения и развития. Данное 
обстоятельство делает их и самыми уязвимыми элементами защиты 
информационной системы организации. В настоящее время создано 
большое количество операционных систем, систем управления базами 
данных, сетевых пакетов и пакетов прикладных программ, включающих 
разнообразные средства защиты информации.
Аппаратно-программные средства защиты представляют собой 
различные электронные устройства и специальные программы, входящие в 
You created this PDF from an application that is not licensed to print to novaPDF printer (
http://www.novapdf.com
)

220 
состав 
автоматической 
системы 
предприятия 
и 
исполняющие 
самостоятельно или в комплексе с другими средствами, функции защиты 
(идентификацию и аутентификацию пользователей, разграничение доступа 
к 
ресурсам, 
регистрацию 
событий, 
криптографическое 
закрытие 
информации).
Криптографический метод защиты информации, основанный на принципе 
ее шифрования. Криптографический метод может быть осуществлен как 
программными, 
так 
и 
аппаратными 
средствами. 
Средство 
криптографической защиты информации осуществляет криптографическое 
перестройку информации для обеспечения ее безопасности. 
Криптографическая защита или криптографическое преобразование 
информации, шифрование является одним из важных способов защиты 
информации [4].
Административный 
метод 
защиты 
является 
методом 
организационного 
характера, 
регламентирующие 
процессы 
функционирования системы обработки данных, применением ее ресурсов, 
деятельность 
обслуживающего 
персонала, 
а 
также 
порядок 
взаимодействия пользователей с системой так, чтобы в максимальной 
степени затруднить или исключить возможность реализации угроз 
безопасности или минимизировать размер потерь в случае их 
осуществления. Главная цель административных мер сформировать 
политику в области обеспечения безопасности информации и обеспечить 
ее выполнение, выделяя необходимые ресурсы и контролируя состояние 
дел.
К правовым мерам защиты относятся действующие в стране законы, 
указы и нормативные акты, регламентирующие правила обращения с 
информацией, 
закрепляющие 
права 
и 
обязанности 
участников 
информационных отношений в процессе ее обработки и использования, а 
также устанавливающие ответственность за нарушения этих правил, 
препятствуя тем самым неправомерному использованию информации и 
You created this PDF from an application that is not licensed to print to novaPDF printer (
http://www.novapdf.com
)

221 
являющиеся сдерживающим фактором для потенциальных нарушителей. 
Правовые 
средства 
защиты 
носят 
в 
основном 
упреждающий, 
профилактический характер и требуют постоянной разъяснительной 
работы с пользователями и обслуживающим персоналом системы.
К морально-этическим средствам относятся нормы поведения и правила 
обращения с информацией. Которые традиционно сложились или 
складываются по мере распространения электронно-вычислительных 
машин в обществе, стране. Эти нормы большей частью не являются 
обязательными, как законодательно утвержденные нормативные акты. 
Однако, их несоблюдение ведет обычно к падению авторитета, престижа 
человека, группы лиц или организации. Морально-этические нормы 
бывают как неписаные, например, общепризнанные нормы честности, так 
и писаные, то есть оформленные в некоторый устав правил или 
предписаний. 
Морально-этические 
средства 
защиты 
являются 
профилактическими и требуют постоянной работы по созданию здорового 
морального климата в коллективах подразделений.
Таким образом, можно сделать вывод, что, на данном этапе 
общемирового развития, роль информационной среды очень велика. 
Информация является системообразующим фактором во всех этапах жизни 
общества, она все более активно влияет на состояние политической, 
экономической, 
оборонной, 
личной, 
имущественной 
и 
других 
составляющих безопасности. Поэтому несмотря на то, что построение 
эффективной системы информационной безопасности является сложным и 
непрерывным процессом, этому нужно уделять значительное внимания [5].
Таким образом, можно констатировать, что на практике используют 
несколько групп методов защиты, в том числе: 
- препятствие на пути предполагаемого похитителя, которое создают 
физическими и программными средствами; 
- управление, или оказание воздействия на элементы защищаемой 
системы; 
You created this PDF from an application that is not licensed to print to novaPDF printer (
http://www.novapdf.com
)

222 
- 
маскировка, 
или 
преобразование 
данных, 
обычно 
– 
криптографическими способами; 
- регламентация, или разработка нормативно-правовых актов и 
набора мер, направленных на то, чтобы побудить пользователей, 
взаимодействующих с базами данных, к должному поведению; 
- принуждение, или создание таких условий, при которых 
пользователь будет вынужден соблюдать правила обращения с данными; 
- побуждение, или создание условий, которые мотивируют пользователей к 
должному поведению. 
Каждый из методов защиты информации реализуется при помощи 
различных категорий средств. Основные средства – организационные и 
технические.
Разработка 
комплекса 
организационных 
средств 
защиты 
информации должна входить в компетенцию службы безопасности. 
Чаще всего специалисты по безопасности: 
- разрабатывают внутреннюю документацию, которая устанавливает 
правила работы с компьютерной техникой и конфиденциальной 
информацией; 
- проводят инструктаж и периодические проверки персонала; 
инициируют подписание дополнительных соглашений к трудовым 
договорам, где указана ответственность за разглашение или неправомерное 
использование сведений, ставших известных по работе; 
- разграничивают зоны ответственности, чтобы исключить ситуации, 
когда массивы наиболее важных данных находятся в распоряжении одного 
из 
сотрудников; 
организуют 
работу 
в 
общих 
программах 
документооборота и следят, чтобы критически важные файлы не 
хранились вне сетевых дисков; 
- внедряют программные продукты, которые защищают данные от 
копирования или уничтожения любым пользователем, в том числе топ-
менеджментом организации; 
You created this PDF from an application that is not licensed to print to novaPDF printer (
http://www.novapdf.com
)

223 
- составляют планы восстановления системы на случай выхода из 
строя по любым причинам. 
Если 
в 
компании 
нет 
выделенной 
ИБ-службы, 
выходом 
станет приглашение специалиста 
по 
безопасности 
на 
аутсорсинг. 
Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры 
компании и дать рекомендации по ее защите от внешних и внутренних 
угроз. Также аутсорсинг в ИБ предполагает использование специальных 
программ для защиты корпоративной информации [6].
Группа технических средств защиты информации совмещает 
аппаратные и программные средства. Основные: 
- резервное копирование и удаленное хранение наиболее важных 
массивов данных в компьютерной системе – на регулярной основе; 
- дублирование и резервирование всех подсистем сетей, которые 
имеют значение для сохранности данных; 
- создание возможности перераспределять ресурсы сети в случаях 
нарушения работоспособности отдельных элементов; 
- обеспечение возможности использовать резервные системы 
электропитания; 
- 
обеспечение 
безопасности 
от 
пожара 
или 
повреждения 
оборудования водой; 
- установка программного обеспечения, которое обеспечивает 
защиту баз данных и другой информации от несанкционированного 
доступа. 
В комплекс технических мер входят и меры по обеспечению 
физической недоступности объектов компьютерных сетей, например, 
такие практические способы, как оборудование помещения камерами и 
сигнализацией [7].
Чтобы исключить неправомерный доступ к информации применяют 
такие способы, как идентификация и аутентификация. 
You created this PDF from an application that is not licensed to print to novaPDF printer (
http://www.novapdf.com
)

224 
Идентификация 
– 
это 
механизм 
присвоения 
собственного 
уникального имени или образа пользователю, который взаимодействует с 
информацией.
Аутентификация – это система способов проверки совпадения 
пользователя с тем образом, которому разрешен допуск. 
Эти средства направлены на то, чтобы предоставить или, наоборот, 
запретить допуск к данным. Подлинность, как правила, определяется тремя 
способами: программой, аппаратом, человеком. При этом объектом 
аутентификации может быть не только человек, но и техническое средство 
(компьютер, монитор, носители) или данные. Простейший способ защиты 
– пароль. 
Использование 
всех 
средств 
и 
методов 
информационной 
безопасности служит эффективному функционированию информационной 
системы организации. 

Download 8,04 Mb.

Do'stlaringiz bilan baham: