Узнать стоимость
×
Услуги и цены
Способы оплаты
Гарантии
Отзывы
Вакансии
Контакты
+79062884040
+79062884040
Москва
Услуги и цены
меню
Главная » Справочник » Основы защиты государственной тайны » Основные способы и методы защиты информации

Основные способы и методы защиты информации

Множество и разнообразие возможных средств защиты информации определяется прежде всего возможными способами воздействия на дестабилизирующие факторы или порождающие их причины, причем воздействия в направлении, способствующем повышению значений показателей защищенности или (по крайней мере) сохранению прежних (ранее достигнутых) их значений.

Препятствие предусматривают создание преград, физически не допускающих к информации. Препятствие заключается в создании на пути возникновения или распространения дестабилизирующего фактора некоторого барьера, не позволяющего соответствующему фактору принять опасные размеры. Типичными примерами препятствий являются блокировки, не позволяющие техническому устройству или программе выйти за опасные границы; создание физических препятствий на пути злоумышленников, экранирование помещений и технических средств и т. п.

Управление — способ защиты информации за счет регулирования использования всех ресурсов системы (технических, программных, временных и др.).

Управление есть определение на каждом шаге функционирования систем обработки информации таких управляющих воздействий на элементы системы, следствием которых будет решение (или способствование решению) одной или нескольких задач защиты информации.

Например, управление доступом на объект включает следующие функции защиты:

  • идентификацию лиц, претендующих на доступ, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
  • опознавание (установление подлинности) объекта или субъекта по предъявленному идентификатору;
  • проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
  • регистрацию (протоколирование) обращений к защищаемым ресурсам;
  • реагирование (сигнализация, отключение, задержка работ, отказ в процессе) при попытках несанкционированных действий.

Маскировка осуществляется путем ее криптографического закрытия. Маскировка предполагает такие преобразования информации, вследствие которых она становится недоступной для злоумышленников или такой доступ существенно затрудняется, а также комплекс мероприятий по уменьшению степени распознавания самого объекта. К маскировке относятся криптографические методы преобразования информации, скрытие объекта, дезинформация и легендирование, а также меры по созданию шумовых полей, маскирующих информационные сигналы.

Регламентация заключается в реализации системы организационных мероприятий, определяющих все стороны обработки информации. Регламентация как способ защиты информации заключается в разработке и реализации в процессе функционирования объекта комплекса мероприятий, создающих такие условия, при которых существенно затрудняются проявление и воздействие угроз. К регламентации относится разработка таких правил обращения с конфиденциальной информацией и средствами ее обработки, которые позволили бы максимально затруднить получение этой информации злоумышленником.

Принуждение – заставляет соблюдать определенные правила работы с информацией под угрозой материальной, административной или уголовной ответственности. Такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Побуждение основано на использовании действенности морально-этических категорий (например, авторитета или коллективной ответственности).

Побуждение есть способ защиты информации, при котором пользователи и персонал объекта внутренне (т. е. материальными, моральными, этическими, психологическими и другими мотивами) побуждаются к соблюдению всех правил обработки информации. Как отдельный, применяемый при ведении активных действий противоборствующими сторонами можно выделить такой способ, как нападение. При этом подразумевается как применение информационного оружия при ведении информационной войны, так и непосредственное физическое уничтожение противника (при ведении боевых действий) или его средств разведки.

Рассмотренные способы обеспечения защиты информации реализуются с применением различных методов и средств. При этом различают формальные и неформальные средства. К формальным относятся такие средства, которые выполняют свои функции по защите информации формально, т. е. преимущественно без участия человека. К неформальным относятся средства, основу которых составляет целенаправленная деятельность людей. Формальные средства делятся на физические, аппаратные и программные. Физические средства – механические, электрические, электромеханические и т. п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

К физическим средствам защиты относятся:

  • механические преграды, турникеты (заграждения), специальное остекление;
  • сейфы, шкафы;
  • механические и электромеханические замки, в том числе с дистанционным управлением;
  • замки с кодовым набором;
  • датчики различного типа;
  • теле и фотосистемы наблюдения и регистрации;
  • СВЧ, ультразвуковые, радиолокационные, лазерные, акустические и другие системы;
  • устройства маркировки;
  • устройства с идентификационными картами;
  • устройства идентификации по физическим признакам;
  • устройства пространственного заземления;
  • системы физического контроля доступа;
  • системы охранного телевидения и охранной сигнализации;
  • системы пожаротушения и оповещения о пожаре и др.

Физические и аппаратные средства объединяются в класс технических средств защиты информации. Аппаратные средства – различные электронные и электронно-механические и т. п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации. Например, для защиты от утечки по техническим каналам используются генераторы шума.

Наиболее часто используют:

  • регистры хранения реквизитов защиты (паролей, грифов секретности и т.п.);
  • устройства для измерения индивидуальных характеристик человека (например, цвета и строения радужной оболочки глаз, овала лица и т.д.);
  • схемы контроля границ адреса имен для определения законности обращения к соответствующим полям (областям) памяти и отдельным программам;
  • схемы прерывания передачи информации в линии связи с целью периодического контроля адресов выдачи данных;
  • экранирование ЭВМ;
  • установка генераторов помех и др.

Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач защиты информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защиты от вирусов и др.

По целевому назначению их можно разделить на несколько классов (групп):

  • программы идентификации пользователей;
  • программы определения прав (полномочий) пользователей (технических устройств);
  • программы регистрации работы технических средств и пользователей (ведение так называемого системного журнала);
  • программы уничтожения (затирания) информации после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации;
  • криптографические программы (программы шифрования данных).

Программные средства защиты информации часто делят на средства, реализуемые в стандартных операционных системах (ОС), и средства защиты в специализированных информационных системах.

К программным средствам защиты информации, реализуемым в стандартных операционных системах, следует отнести:

  • динамическое распределение ресурсов и запрещение задачам пользователей работать с «чужими» ресурсами;
  • разграничение доступа пользователей к ресурсам по паролям;
  • разграничение доступа к информации по ключам защиты;
  • защита таблицы паролей с помощью главного пароля и др.;

Неформальные средства делятся на организационные, законодательные и морально-этические. Организационными средствами защиты называют организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации систем для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

Организационные средства – специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач защиты информации, осуществляемые в виде целенаправленной деятельности людей.

К законодательным средствам защиты относятся законодательные акты, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Законодательные средства – существующие в стране или специально издаваемые нормативно-правовые акты, с помощью которых регламентируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функционированию системы, а также устанавливается ответственность за нарушение правил обработки информации, следствием чего может быть нарушение защищенности информации.

К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц (организаций). Морально-этические нормы бывают как “неписаные” (например, общепринятые нормы честности, патриотизма и т.п.), так и регламентированные в законодательном порядке, т.е. в виде свода правил и предписаний.

Морально-этические нормы – сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

Именно человек, сотрудник предприятия или учреждения, допущенный к секретам и накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации или по его вине соперник получает возможность несанкционированного доступа к носителям защищаемой информации. Морально-нравственные методы защиты информации предполагают прежде всего воспитание сотрудника, допущенного к секретам, т. е. проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично) и обучение сотрудника, осведомленного в сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.

Предыдущая статья Основные положения по организации защиты государственной тайны Следующая статья Основные угрозы безопасности информации
Статьи по теме
Полезные статьи
Узнайте цену услуг:
Консультации:
Узнай цену консультации

"Да забей ты на эти дипломы и экзамены!” (дворник Кузьмич)