Современные методы обеспечения информационной безопасности
Известные на сегодня общие методы обеспечения информационной безопасности
состоят из организационно-технических, экономических и правовых. Организационно-технические методы информационной безопасности (ИБ) включают: систему обеспечения информационной безопасности (под ней мы подразумеваем комплекс мероприятий (внутренние правила работы с данными, регламент передачи сведений, доступ к ним и т. д.) и технических средств (использование программ и приборов для сохранения конфиденциальности данных)); разработку (создание новых), эксплуатацию и усовершенствование уже имеющихся средств защиты информации; перманентный контроль над действенностью принимаемых мер в области обеспечения информационной безопасности. Они тесно взаимосвязаны с правовыми методами информационной безопасности РФ. Правовой фактор безопасности РФ состоит из: лицензирования деятельности в части обеспечения информационной безопасности; сертификации технических средств информационной защиты; аттестации объектов информатизации согласно соответствию нормам информационной безопасности РФ. Третья составляющая, экономическая, включает: составление программ по обеспечению информационной безопасности РФ; определение источников их финансового обеспечения; разработку порядка финансирования; создание механизма страхования информационных рисков. Организационно-техническая составляющая информационной безопасности Вначале определим объекты защиты. Ими являются: речевая информация; данные, передающиеся техническими средствами. В защите нуждаются как основные техсредства и системы (ОТСС), задействованные в работе с защищаемыми данными, так и вспомогательные техсредства и системы (ВТСС), а также заранее определенные помещения. Организационная защита информации состоит в своде правил, составленных на основе правовых актов РФ, призванных предотвратить неправомерное овладение конфиденциальными данными. Организационный метод обеспечения информационной безопасности имеет следующие составляющие: создание режима охраны информации; разработка правил взаимоотношений между сотрудниками; регламентация работы с документами; правила использования технических средств в рамках существующего правового поля РФ; аналитическая работа по оценке угроз информационной безопасности. Методы защиты речевой информации Для обеспечения информационной защиты акустической информации рекомендуется компактно расположить защищаемые помещения, четко установить периметр охраняемой территории, регламентировать допуск работников на территорию, на которую распространяется информационная защита. Информационная безопасность также состоит в том, чтобы регулярно обследовать помещения и установленные в них технические средства на предмет наличия приспособлений для несанкционированного съема информации. Для усиления информационной безопасности можно использовать вибро- и звукоизоляцию, экранирование, автономизацию ОТСС в границах охраняемой территории, а также временное отключение ОТСС. Также используются активные и пассивные механизмы обеспечения речевой безопасности. К первым относятся генераторы, вырабатывающие различного рода шумы (виброакустический и электромагнитный, как низко-, так и высокочастотные). Ко вторым: вибро- и звукоизоляция; экранирующие устройства; звукопоглощающие фильтры в воздуховодах. Методы защиты речевой информации, передающейся техническими средствами Для обеспечения информационной защиты данных, хранящихся и передающихся техническими средствами, в РФ используют: аутентификацию; регламентирование доступа к объектам; шифрующую систему файлов; ключи; безопасные соединения; IPsec. Остановимся на каждой из этих форм обеспечения информационной защиты подробнее. С таким элементом информационной безопасности, как логин и пароль, сталкивались все пользователи операционных систем. Это и есть аутентификация. Она – самый распространенный способ обеспечения безопасности данных, включая информационные сообщения, хранящиеся на сервере или ПК. Регламентирование доступа к объектам (папкам, файлам, хранящимся в системе) тоже может строиться на аутентификации, но зачастую используются и иные алгоритмы (участникам системы администратором определяются права и привилегии, согласно которым они могут либо знакомиться с какими-то объектами, либо, помимо знакомства, вносить в них изменения, а то и удалять). Шифрование файлов (еще одна составляющая информационной безопасности) осуществляется системой EFS при помощи ключа. Если же говорить об обеспечении безопасного соединения, то для этого используются информационные каналы типа «клиент-клиент» или «клиент-сервер». В РФ такой метод информационной безопасности широко применяется в банковском секторе. Ну и в заключение об IPsec. Это совокупность протоколов для обеспечения информационной защиты данных, передаваемых по протоколу IP. На всех перечисленных способах и строится информационная безопасность на наиболее прогрессивных предприятиях России.