1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Какие существуют методы защиты информации

Классификация методов защиты информации

Информация сегодня – важный ресурс, потеря которого чревата неприятными последствиями. Утрата конфиденциальных данных компании несет в себе угрозы финансовых потерь, поскольку полученной информацией могут воспользоваться конкуренты или злоумышленники. Для предотвращения столь нежелательных ситуаций все современные фирмы и учреждения используют методы защиты информации.

Безопасность информационных систем (ИС) – целый курс, который проходят все программисты и специалисты в области построения ИС. Однако знать виды информационных угроз и технологии защиты необходимо всем, кто работает с секретными данными.

Виды информационных угроз

Основным видом информационных угроз, для защиты от которых на каждом предприятии создается целая технология, является несанкционированный доступ злоумышленников к данным. Злоумышленники планируют заранее преступные действия, которые могут осуществляться путем прямого доступа к устройствам или путем удаленной атаки с использованием специально разработанных для кражи информации программ.

Кроме действий хакеров, фирмы нередко сталкиваются с ситуациями потери информации по причине нарушения работы программно-технических средств.

В данном случае секретные материалы не попадают в руки злоумышленников, однако утрачиваются и не подлежат восстановлению либо восстанавливаются слишком долго. Сбои в компьютерных системах могут возникать по следующим причинам:

  • Потеря информации вследствие повреждения носителей – жестких дисков;
  • Ошибки в работе программных средств;
  • Нарушения в работе аппаратных средств из-за повреждения или износа.

Современные методы защиты информации

Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:

  • Препятствие;
  • Маскировка;
  • Регламентация;
  • Управление;
  • Принуждение;
  • Побуждение.

Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз. Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.

Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.

Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.

Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.

На видео – подробная лекция о защите информации:

Средства защиты информационных систем

Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

  • Физические;
  • Программные и аппаратные;
  • Организационные;
  • Законодательные;
  • Психологические.

Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна. Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем.

Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства – программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений. При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации – для предотвращения потерь.

Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

Психологические средства – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

Защита передаваемых электронных данных

Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.

Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида. В основе технологии криптографии электронных данных – алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования. Зашифрованные сведения надежно защищены от любых угроз, кроме физических.

Электронная цифровая подпись (ЭЦП) – параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу. ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований. Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.

Классы безопасности информационных систем

Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы. В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:

  • D – нулевой уровень безопасности;
  • С – системы с произвольным доступом;
  • В – системы с принудительным доступом;
  • А – системы с верифицируемой безопасностью.
Читать еще:  Как вылечить ринофарингит

Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.

Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.

В уровне С есть следующие классы – С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей. Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация – проверка подлинности пользователя путем запроса пароля. При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.

Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.

Класс безопасности В2 характерен для многих современных систем и предполагает:

  • Снабжение метками секретности всех ресурсов системы;
  • Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;
  • Структурирование доверенной вычислительной базы на хорошо определенные модули;
  • Формальную политику безопасности;
  • Высокую устойчивость систем к внешним атакам.

Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или программного обеспечения.

Уровень А включает один, наивысший класс безопасности – А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.

На видео – подробная лекция о безопасности информационных систем:

2. Методы и средства защиты информации

Методы защиты информации

препятствие– метод физического преграждения пути злоумышленнику к защищаемой информации

управление доступом– метод определения и распределения ресурсов системы санкционированным пользователям

шифрование— метод защиты информации в коммуникационных каналах путем ее криптографического закрытия. Этот метод защиты широко применяется как для обработки, так и для хранения информации. При передаче информации по коммуникационным каналам большой протяженности этот метод является единственно надежным.

регламентация– метод защиты информации, создающий специальные условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

принуждение— такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

побуждение— метод защиты информации, который стимулирует пользователя и персонал системы не нарушать установленных норм (высокая зарплата)

технические реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится нааппаратныеифизические.

Под аппаратнымипринято понимать встроенные электронные устройства. Из наиболее известных аппаратных средств можно назвать схемы контроля информации по четности, схемы защиты полей памяти по ключу и т. д.

Физическиесредства реализуются в виде автономных устройств и систем. Например, замки на дверях помещений с аппаратурой, решетки на окнах, охранная сигнализация, камеры видеонаблюдения.

Физические средства защиты:

обеспечивают безопасность помещений, где размещены серверы сети;

ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;

обеспечивают защиту от сбоев электросети.

программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Стандартные защищенные программные средства:

Средства защиты, использующие парольную идентификациюи ограничивающие доступ пользователей согласно назначенным правам — управление доступом и разграничение полномочий (идентификация+аутентификация+авторизация)

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутентификация» иногда используют словосочетание «проверка подлинности».

Регистрация и анализ событий, происходящих в системе — обеспечивает получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля, а также регистрацию действий, признанных потенциально опасными для безопасности системы. Анализ собранной информации позволяет выявить средства и априорную информацию, использованные нарушителем при воздействии на систему и определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации;

Контроль целостности ресурсов системы предназначен для своевременного обнаружения их модификации. Это позволяет обеспечить правильность функционирования системы и целостность обрабатываемой информации.

Криптографическое закрытие информации

Защита от внешних вторжений — брандмауэры

Защита от компьютерных вирусов — антивирусныепакеты,антиспамовые фильтры

Средства резервного копирования и восстановления данных

аппаратно-программныесредства защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав системы защиты информации и выполняющих такие (самостоятельно или в комплексе с другими средствами) функции защиты, как: идентификация и аутентификация пользователей, разграничение доступа к ресурсам, регистрация событий, криптографическое закрытие информации, обеспечение отказоустойчивости компонент и системы в целом и т.д.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации специального ПО и аппаратных устройств для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы на всех этапах жизненного цикла защищаемой системы (создание охраняемого периметра, строительство помещений, проектирование системы в целом, монтаж и наладка оборудования, испытания и эксплуатация), а также кадровую политику и подбор персонала.

Читать еще:  Как сделать большие цветы

морально-этическиесредства защиты реализуются в виде норм, которые сложились традиционно или складываются по мере распространения ВТ и средств связи в данной стране или обществе. Эти нормы, как правило, не являются обязательными, как законодательные меры, однако несоблюдение их ведет к потере авторитета и престижа организации.

законодательные средства защиты определяются законодательными актами страны. В них регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

По сво­ему функ­ци­о­наль­но­му на­зна­че­ниюме­то­ды и сред­ст­ва ин­фор­ма­ци­он­ной бе­з­о­па­с­но­сти мо­ж­но раз­де­лить на следующие разновидности:

— методы и средства пре­ду­п­ре­ж­де­ния — пред­на­зна­че­ны для со­з­да­ния та­ких ус­ло­вий, при ко­то­рых воз­мо­ж­ность по­я­в­ле­ния и ре­а­ли­за­ции де­с­та­би­ли­зи­ру­ю­щих фа­к­то­ров (уг­роз) ис­к­лю­ча­ет­ся или сво­дит­ся к ми­ни­му­му;

— методы и средства об­на­ру­же­ния — пред­на­зна­че­ны для об­на­ру­же­ния по­я­вив­ших­ся уг­роз или воз­мо­ж­но­сти их по­я­в­ле­ния и сбо­ра до­по­л­ни­тель­ной ин­фор­ма­ции;

— методы и средства ней­т­ра­ли­за­ции — пред­на­зна­че­ны для ус­т­ра­не­ния по­я­вив­ших­ся уг­роз;

— методы и средства вос­ста­но­в­ле­ния — пред­на­зна­че­ны для вос­ста­но­в­ле­ния нор­маль­ной ра­бо­ты защищаемой системы (иногда и самой системы защиты).

Классификация методов защиты информации в современных реалиях

Защита информации — это не только область персональных сведений или данных в цифровом формате.

Если рассматривать среднестатистическое предприятие или компанию, речь вполне может идти о платежных документах, договорах, конфиденциальных соглашениях, которые хранятся на бумаге.

Поэтому классификация методов защиты информации базируется на комплексном подходе, позволяющем охватить любые утечки, носители, потоки данных.

Какие бывают информационные опасности

Существует два типа опасных факторов для любой информации. Это несанкционированный доступ и повреждение по естественным причинам.

Однако эти два указанных сегмента делятся на несколько категорий, которые методы и средства защиты информации классифицируют как имеющие отличные друг от друга показатели возможного ущерба.

В частности, несанкционированный доступ подразделяется на:

  • доступ к данным для ознакомления, копирования, с целью последующего использования в целях, подразумевающих нанесение вреда владельцу (репутационного, материального, измеряемого в недополученной прибыли);
  • доступ с целью изменения, что может повлечь за собой самые различные последствия, включая уголовную и административную ответственность;
  • доступ с целью удаления для нанесения ущерба различного рода.

Методы защиты информации в информационных системах выделяют и сугубо криминальные действия, не направленные на определенного владельца или сегмент данных. Современные злоумышленники шифруют файлы, базы, шантажируя компании.

Деньги вымогаются за возврат информации в исходное состояние или иные действия.

Естественные причины связаны только с отказом оборудования и достаточно легко нейтрализуются. Это может быть выход из стоя элементов хранения данных (жестких и оптических дисков, ленточных носителей, контроллеров RAID массивов).

Хотя такие случаи легко учитываются и прогнозируются, с построением системы дублирования и резервного копирования — период времени, необходимый для восстановления информации, зачастую причиняет репутационные потери, вызывает отказ в обслуживании и другие неприятные последствия.

Основные методы защиты информации

Стоит понимать, что методы защиты информации от несанкционированного доступа, повреждений, потери — всегда рассматривают проблемы комплексно.

Чтобы показать, как это работает, стоит осветить понятие утечки. Утечка данных — это не только кража информации вследствие взлома компьютерной системы или похищения средства хранения.

Несанкционированным доступом может считаться получение злоумышленником устной информации о применяемых средствах защиты, паролях, кодах доступа, либо получение последнего вследствие манипулирования отдельно взятой единицей персонала.

Все методы защиты информации в сетях и хранилищах внутри здания компании — можно разделить на несколько значимых организационных процессов.

Препятствие доступа

Препятствие в получении информации означает управление доступом и ограничение количества лиц, имеющих доступ к данным.

В разрезе практического применения это:

  1. прочные двери;
  2. системы охранной сигнализации контроля проникновения;
  3. управление доступом в виде домофонных систем, идентификационных карт.

Она построена не только с применением датчиков, но и фиксирует происходящее на видео.

Маскировка

Криптографические методы защиты информации — это самая понятная среднестатистическому пользователю форма маскировки данных. Но на практике это понятие может быть достаточно широким.

К примеру, данные могут:

  • зашифровываться аппаратным методом, при хранении на специальных носителях;
  • кодироваться программными методами, что усложняет расшифровку, если злоумышленник не знает принципа;
  • данные могут кодироваться с применением разделенных ключей, для ограничения доступа только фиксированным списком лиц.

Несколько проблематичным в разрезе скорости дешифровки является методика помещения данных в графические изображения.

Безобидная на вид картинка с видами морского берега может легко содержать информацию о торговом балансе и другие секреты компании.

Регламентация

Методы защиты информации могут заключаться в создании четких схем манипулирования данными. В комплексе мер — может предусматриваться и разделение зон ответственности между отдельными группами работников.

Как результат достигается сложность в доступе к полному объему данных путем манипулирования, а также использования небрежности и привычек человека.

Для регламентирования операций с данными — создаются должностные инструкции, другие указания уровня предприятия, с которыми работники ознакамливаются и обязаны следовать.

В отдельных случаях проводятся обучения, специальные инструктажи и проверки знаний.

Управление

Управление — это самые большие по объему и списочному составу методы защиты компьютерной информации.

Именно на примере данного сегмента можно понять, насколько результативна методика постоянного мониторинга и контроля.

  1. Достигается получение полнообъемной статистики, позволяющей проводить прогнозирование и стратегическое планирование будущего развития, изменений.
  2. Определяется на раннем уровне нештатный режим работы оборудования, нестандартно высокое число запросов к данным, что позволяет на раннем уровне детектировать сетевые атаки.
  3. Отслеживать уровень износа оборудования, параметры функционирования.

Аналогично можно рассматривать и работу с персоналом.

Системы управления доступом, идентификационные карты и пароли для доступа к оборудованию, отслеживание сделанных запросов и многое другое — способны предоставить данные, полезные как для отслеживания нарушений, так и организации гибкого планирования.

Читать еще:  Как стать томбоем

Принуждение

Системы принуждений считаются самыми эффективными. Они легко организуются и контролируются.

Такие методы защиты информации от утечки могут включать:

  • внедрение криминальной, дисциплинарной, административной ответственности за разглашение информации;
  • предоставление работнику специально оснащенного, соответствующего уровню доступа и разработанному регламентом компании рабочего места;
  • полный контроль перемещений работника, ограничение вносимого в рабочую зону оборудования (флешки, телефоны, любая носимая электроника), запрет на вынос документов и материальных ценностей (компьютерные комплектующие).

На практике создать лагерь строгого режима — достаточно просто.

Для этого потребуется незначительное количество охраны, тщательно продуманная сеть камер, считывателей идентификационных документов.

Побуждение

Побуждение — это методы повышения мотивации персонала. В отличие от принуждения, побуждение работает на положительном настрое.

Поэтому — такая методика сложна и не отличается предсказуемой результативностью.

В список мер может входить корпоративная политика проведения праздничных мероприятий, тимбилдинг с внушением мысли о единстве с коллективом и многое другое.

На практике — рекомендуется сочетать меры принуждения и побуждения, поскольку последнее в чистом виде не только сложно прогнозируется в разрезе результатов, но и требует постоянного вложения сил и времени для воздействия на персонал.

Средства защиты информации

В отличие от методов — средства защиты информации рассматривают более узкие области ответственности. Они разделяются на работу с материальными, информационными, трудовыми ресурсами.

Физические

Физические методы крайне схожи с созданием препятствий как общего принципа действия.

Однако существует конкретизация разделения принимаемых мер.

  1. Для предотвращения доступа и одновременного обеспечения безопасности персонала физические методы заключены в разработке путей эвакуации, установке специальных противопожарных дверей, систем оконного заграждения.
  2. С целью контроля доступа в помещения используются идентификаторы трудовой единицы.
  3. Предусматривается установка надежных противопожарных систем для предотвращения потерь данных вследствие пожара.

Физические защитные методы предусматривают контроль периметра, обеспечение бесперебойного питания оборудования, работу систем оповещения.

Психологические

Психологические средства расширяют методики побуждения. Они заключены не только в формировании личной заинтересованности и положительной мотивации.

В комплекс психологических мер включается карьерная лестница, создание социальных лифтов, сетки поощрений.

Хорошие результаты приносит и организация хорошего отдыха персонала, например, корпоративные путевки на курорты, тематические экскурсии, туры выходных дней для укрепления морали и сплоченности коллектива.

Организационные

Организационные методы защиты информации — это своеобразный сплав из управления, принуждения, регламентации.

В список включается:

  • разработка инструкций, касающихся проведения тех или иных процедур работы с данными;
  • формирование общих должностных инструкций;
  • разработка системы наказаний, норм ответственности за нарушения;
  • реализация мер, призванных повысить уровень знаний и умений персонала.

Реализация организационных методов защиты позволяет добиться полного умения работников обращаться с информацией, выполнять нормированный список обязанностей, четко осознавать возможные последствия тех или иных нарушений.

Законодательные

Правовые методы защиты информации описывают множество вариантов поведения людей или организации в целом при обращении с теми или иными данными. В частности, самым знакомым среднестатистическому гражданину — является процесс хранения личных сведений.

Иные механики обращения — приняты в компьютерных системах. В частности, пароль доступа является секретным и известным только конкретному пользователю, не может разглашаться, так далее.

Правовые методы защиты могут регламентироваться как законами государства, так и формироваться в пределах оказания отдельной услуги или на время выполнения договора. В этом случае конкретный список прав, разрешений, запрещенных действий — утверждается документально.

Аналогичный процесс может реализовываться в разрезе предприятия или компании. Утверждающими документами при этом является коллективный договор, договор подряда, должностные инструкции.

Классификация безопасности информационных систем

Принятые по международной классификации уровни безопасности можно описать простыми словами, на знакомых среднестатистическому пользователю примерах.

  1. Уровень D — нулевая безопасность, при которой каждый пользователь получает полный доступ к данным любой степени значимости. Как пример — можно упомянуть читальный зал библиотеки.
  2. Уровень С — система с ранжированием доступа. Формируется полный и частичный объем данных, к которым могут обращаться группы пользователей. Для идентификации используется парольная система. В зависимости от сложности, уровень С может содержать самый разный механизм контроля, в том числе — с делегированием ответственности.
  3. Уровень В типичен для большинства крупных систем. Здесь ведется полная статистика запросов, сформированных потоков данных, действий пользователей. В ходу развернутая система идентификации и регулирования прав, с полным мониторингом происходящего и делегированием ответственности. Хранимая информация резервируется, предусматривается дублирование функционала системы, отслеживание и блокировка внешних атак.

Высший класс А — относится к сертифицированным системам, соответствующих требованиям безопасности, связанным с определенными сферами применения. Четкой регламентации особенностей подобных структур попросту не существует. Кроме этого, свод требований может зависеть от законодательных норм и принятых правил обмена информацией конкретного государства.

Заключение

Любой человек так или иначе сталкивается с методами обеспечения информационной безопасности. Он является участником правовых, когда подписывает договор с банком.

Выступает объектом информационной системы класса В, когда обменивается постами в социальных сетях. Рассматривается как точка приложения принуждающих, организационных мер на рабочем месте.

Поэтому обладать минимальными знаниями о рекомендованных обществом мерах обеспечения информационной безопасности — просто обязан.

Например: не разглашать номера паспортов друзей, не давать номера их мобильных телефонов без явного на то согласия, не рассказывать шапочному знакомому о секретах компании. Минимальный набор простых действий способен значительно облегчить жизнь, а его отсутствие — сильно ее испортить.

Видео: Современные средства защиты информации от утечек

Источники:

http://camafon.ru/informatsionnaya-bezopasnost/metodyi-zashhityi
http://studfile.net/preview/5282722/
http://bezopasnostin.ru/informatsionnaya-bezopasnost/klassifikatsiya-metodov-zashhity-informatsii-v-sovremennyh-realiyah.html

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector