Методы обеспечения информационной безопасности в ИС

Препятствие;

Контроль доступа;

Механизмы шифрования;

Устойчивость к атакам вредоносных программ;

Регулирование;

Принуждение;

Мотивация.

Барьер - метод физических барьеров для злоумышленника к защищаемой

информации (аппаратные средства, носители информации и т.д.).

Управление доступом - методы регулирования защиты информации при

использовании всех ресурсов ИС и ИТ. Эти методы должны противостоять
всем возможным способам несанкционированного доступа к информации.

Управление доступом включает в себя следующие функции защиты:

Идентификация пользователей, персонала и системных ресурсов (присвоение

каждому объекту персонального идентификатора);

Идентификация (аутентификация) объекта или субъекта, на который

начисляется идентификатор;

Мандатная комиссия (подтверждающий тест день недели, время суток,

запрашиваемые ресурсы и процедуры, установленные регламентом);

Разрешение и создание условий труда в пределах установленных

регламентов;
Регистрация (протоколирование) доступа к защищенным ресурсам;

Реагирование (тревога, отключение, задержка работы, отказ в запросе и т. д.)

при попытке несанкционированных действий.

Механизмы шифрования - закрытие криптографической информации. Эти

методы защиты все чаще используются в качестве обработки и хранения
данных на магнитных носителях. При передаче информации по каналам
связи в значительной степени это единственный надежный метод.

Противодействие атакам со стороны вредоносных программ предполагает

разнообразные сложные мероприятия и использование антивирусных
программ. Цели мероприятий - это снижение вероятности заражения АИС,
выявление фактов заражения; снижение влияния информационных
инфекций, сдерживание или искоренение вирусов; восстановление
информации в ИС. Овладение этим комплексом мер и средств требует
знакомства со специальной литературой.

Регламентация - создание условий автоматизированной обработки, хранения

и передачи информации, подлежащей защите, при которых нормы и
стандарты по защите максимально выполняются.

Принуждение - способ защиты, при котором пользователей и персонал ИС

принуждают соблюдать правила обработки, передачи и использования
охраняемой информации под угрозой физической, административной или
уголовной ответственности.

Мотивация - это метод защиты, побуждающий пользователей и

обслуживающий персонал не нарушать установленный порядок в ущерб
соблюдению сложившихся морально - этических норм.

Весь набор аппаратных средств делится на аппаратные и физические.

Аппаратное обеспечение - устройства, встроенные непосредственно в
вычислительную систему, или устройство, которое взаимодействует с ней
через стандартный интерфейс.

К физическим агентам относятся различные инженерные устройства и

сооружения, препятствующие физическому проникновению вредоносных
объектов и защите персонала, осуществляющего охрану (личную
безопасность), материальных ресурсов и финансов, информации о
противоправной деятельности. Примеры физических средств: дверные замки,
оконные решетки, средства электронной охранной сигнализации и т. д.

Программное обеспечение - это специальные программы и программные

комплексы, предназначенные для защиты информации в ИС. Как уже
отмечалось, многие из них слиты с самим программным обеспечением IP.

Средствами программной защиты системы можно выделить другое

программное обеспечение, реализующее механизмы шифрования
(криптографию). Криптография - наука об обеспечении конфиденциальности
и / или подлинности (аутентификации) передаваемых сообщений.

Организационными мерами осуществляется ее комплексное регулирование

производственной деятельности в сфере ИС и отношений исполнителей в
нормативной базе таким образом, чтобы раскрытие, утечка и
несанкционированный доступ к конфиденциальной информации становились
невозможными или существенно затруднялись при осуществлении
организационной деятельности. Комплекс мер реализуется группой
информационной безопасности, но должен находиться под контролем
первого руководителя.

Средства правовой защиты определяются законодательными актами страны,

которые регламентируют правила использования, обработки и передачи
информации с ограниченным доступом и устанавливают штрафы за
нарушение этих правил.
Этические средства защиты включают в себя все виды правил поведения
(которые традиционно разрабатывались ранее), вплоть до распространения
ИС и ИТ в стране и в мире или специально разработанных. Морально-
этические нормы могут быть неписаными (например, честность) или
оформленными в виде свода (устава) правил или положений. Эти правила,
как правило, юридически не утверждены, но из-за того, что их несоблюдение
приводит к падению престижа организации, они считаются
обязательными. Типичным примером таких норм является Кодекс
профессионального поведения Ассоциации пользователей компьютеров
США.