Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства, которые согласовываются по месту и времени в зависимости от условий.

Неправомерное овладение ІзОД возможно за счет:

- ее разглашения источниками сведений;

- за счет утечки информации через технические средства;

- за счет несанкционированного доступа к охраняемым сведениям.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения деятельности, продукция и отходы производства.

       Основными направлениямизащиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

       Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанно-программно-аппаратными средствами.

       В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий их предотвращение, пресечение и противодействие несанкционированному доступу.

       В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на следующей схеме (   ).

Питання № 4. Напрямки забезпечення інформаційної безпеки

Направления обеспечения информационной безопасности- это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации.

С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

- правовая защита –это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

- организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям;

- инженерно-техническая защита– это использование различных технических средств, препятствующих нанесению ущерба.

Кроме того, защитные действия, ориентированные на обеспечение информационной безопасности, могут быть охарактеризованы целым рядом параметров, отражающих, помимо направлений, ориентацию на объекты защиты, характер угроз, способы действий, их распространенность, охват и масштабность.

Так, по характеру угроз защитные действия ориентированы на защиту информации от разглашения, утечки и несанкционированного доступа.

По способам действий их можно подразделить на предупреждение, выявление, обнаружение, пресечение и восстановление ущерба или иных убытков.

     По охвату защитные действия могут быть ориентированы на территорию, здание, помещение, аппаратуру или отдельные элементы аппаратуры.

     Масштабность защитных мероприятий характеризуется как объектовая, групповая или индивидуальная защита. Например, защита автономной ПЭМВН в режиме индивидуального пользования. 

Питання № 1.  СПОСОБИ ЗАХИСТУ ІНФОРМАЦІЇ

Способи захисту інформації — це сукупність прийомів, сил і засобів, що забезпечують конфіденційність, цілісність, повноту й доступність інформації, протидія внутрішнім і зовнішнім погрозам.

Усі ці способи мають на меті захистити інформаційні ресурси від протиправних зазіхань і забезпечити:

· запобігання розголошення й витоку інформації з обмеженим доступом (ІзОД);

· заборона несанкціонованого доступу до джерел ІзОД;

· збереження цілісності, повноти й доступності інформації; дотримання конфіденційності інформації; забезпечення авторських прав.

Захист від розголошення зводиться в загальному плані до розробки переліку відомостей, що складають комерційну таємницю підприємства. Ці зведення повинні бути доведені до кожного співробітника, допущеного до них, із зобов'язанням цього співробітника зберігати комерційну таємницю. Одним із важливих заходів є система контролю за схоронністю комерційних секретів.

Захист від витоку конфіденційної інформації зводиться до виявлення, обліку й контролю можливих каналів витоку в конкретних умовах і до проведення організаційних, організаційно-технічних і технічних заходів щодо їх ліквідації.

Захист від несанкціонованого доступу до конфіденційної інформації забезпечується шляхом виявлення, аналізу і контролю можливих способів несанкціонованого доступу і проникнення до джерел конфіденційної інформації й реалізацією організаційних, організаційно-технічних і технічних заходів щодо протидії НСД .

Для глибокого розуміння природи механізму захисту інформації, повноти цього процесу, необхідно визначитись із класифікацією способів, методів і засобів, що застосовуються для вирішення цих питань.

Способи ЗІ можуть класифікуватися (додаток 1.):

1. За метою дій:

Попередження – недопущення випадків втрати, розголошення ІзОД, реалізації загрози через технічні канали витоку.

Попередження можливих погроз і протиправних дій може бути забезпечено всілякими мірами і засобами, починаючи від створення клімату глибоко усвідомленого відношення співробітників до проблеми безпеки і захисту інформації до створення глибокої, ешелонованої системи захисту фізичними, апаратними, програмними й криптографічними засобами.

Попередження погроз можливо і шляхом одержання (якщо хочете — і добування) інформації про протиправні акти, що готуються, планованих розкраданнях, підготовчих діях і інших елементах злочинних діянь. Для цих цілей необхідна робота співробітників служби безпеки з інформаторами в інтересах спостереження й об'єктивної оцінки ситуації як усередині колективу співробітників, особливо головних ділянок її фірми, так і поза, серед конкурентів і злочинних формувань.

У попередженні погроз дуже істотну роль грає інформаційно-аналітична діяльність служби безпеки на основі глибокого аналізу криміногенної обстановки й діяльності конкурентів і зловмисників.

Виявлення – своєчасне встановлення факту втрати секретних носіїв інформації або розголошення інформації з обмеженим доступом, своєчасна доповідь про це.

Виявлення має на меті проведення заходів щодо збору, нагромадженню й аналітичній обробці зведень про можливу підготовку

злочинних дій з боку кримінальних чи структур конкурентів на ринку виробництва і збуту товарів і продукції. Особлива увага в цьому виді діяльності повинне приділятися вивченню власних співробітників. Серед них можуть бути і незадоволені, і недосвідчені, і «упроваджені».

Виявлення погроз — це дії по визначенню конкретних погроз і їхніх джерел, що приносять той чи інший вид збитку. До таких дій можна віднести виявлення фактів чи розкрадання шахрайства, а також фактів розголошення конфіденційної чи інформації випадків несанкціонованого доступу до джерел комерційних секретів.

1.3. Викриття– визначення умов і причин виникнення загрози для інформації, встановлення винних осіб, організація проведення розслідування.

       1.4. Припинення– закриття виявленого каналу витоку інформації, відновлення функціонування КСЗІ.

Припинення локалізація загроз — це дії, спрямовані на усунення діючої загрози і конкретних злочинних дій. Наприклад, припинення підслуховування конфіденційних переговорів за рахунок акустичного каналу витоку інформації по вентиляційних системах.

       1.5. Ліквідація наслідків- це локалізація можливих негативних наслідків від реалізації загрози для інформації.

Ліквідація наслідків має на меті відновлення стану, що передував настанню загрози. Це може бути затримка злочинця з украденим майном, і відновлення зруйнованого будинку від підриву й ін.

2. За напрямками забезпечення:

Правовий захист – створення нормативно-правової бази ЗІ.

Організаційний захист– визначення політики безпеки ЗІ, планування заходів і організація їх виконання.

Інженерно-технічний захист – проведення заходів шляхом встановлення інженерних обмежень технічних засобів ЗІ.

3. За видами загроз:

Від розголошення – проведення заходів, направлених на попередження випадків розголошення інформації обмеженого доступу особовим складом.

Від витоку - проведення заходів, направлених на попередження випадків витоку інформації за рахунок ПЕМВН.

Від несанкціонованого доступу - проведення заходів, направлених на попередження випадків реалізації загроз для інформації каналами НСД.

4. За об’єктами захисту – проведення специфічних заходів, направлених на організацію ЗІ на конкретно визначеному об’єкті.

Територія.

Будівля.

Приміщення.

Апаратура.

Елементи(окремі елементи апаратури), наприклад: установлення екрануючого кожуха, електрозапобіжників.

5. За рівнем охоплення:

Об’єктовий –створення КCЗІ цілого об’єкту.

Груповий- виділення групи будівель (приміщень) об’єкту в окрему зону, що охороняється, і організація комплексу заходів по захисту інформації у цій зоні.(Зони розглянемо у третьому питанні)

Індивідуальний– проведення заходів захисту інформації в окремому виділеному приміщенні з урахування його індивідуальних особливостей: розміщення, обладнання й охорони.

6. За видами об’єктів захисту:

Персонал – створення умов трудової діяльності за яких виключається можливість розголошення інформації особовим складом за їх, особистою ініціативою або в результаті психологічного впливу.

Матеріально-фінансові цінності – чітке виконання встановлених правил обліку, зберігання і користування носіями інформації, щоб попередить їх втрату (пошкодження), а разом із ними і можливий витік, модифікацію чи знищення інформації.

Інформація – проведення заходів захисту інформації направлених на захист виключно інформації, не враховуючи носіїв, на яких вона буде зберігатися. Може досягатись шляхом шифрування тексту повідомлень, які зберігаються на МНІ, передаються по мережі або друкуються на аркушах паперу чи на перфострічку.

7. За активністю:

Активні – проведення заходів захисту інформації, які створюють додаткові перешкоди розповсюдженню корисних сигналів, запобігаючи їх перехопленню технічними засобами розвідки.

Пасивні – використання, наприклад, різноманітних способів фільтрації сигналів, екранування об’єктів захисту, для попередження витоку інформації за рахунок ПЕМВН.

 Методи та засоби захисту інформації

Еволюція технології забезпечення безпеки інформації показує, що тільки концепція комплексного підходу до захисту інформації може забезпечити сучасні вимоги безпеки в каналах телекомунікації.

Комплексний підхід має на увазі комплексний розвиток усіх методів і засобів захисту і вимагає проведення їхньої класифікації.

Результати проведеного аналізу сучасних методів і засобів дозволяють представити процес забезпечення безпеки в каналах телекомунікації, методи й засоби його реалізуючі у вигляді, який представлень у додатку 2.

Перешкода - метод фізичної перепони шляху зловмиснику до інформації, що захищається (до апаратури, носіїв інформації і т.п.).

Метод «перешкода» реалізується: фізичними (огорожа, стіни будинків і кімнат) та апаратними (датчики охоронно-пожежної сигналізації) засобами захисту інформації.

Керування доступом - метод захисту інформації регулюванням використання всіх ресурсів системи (програмних і технічних засобів).

Метод «керування доступом» реалізується: апаратними (засоби ідентифікації) та програмними (програмне забезпечення автоматизованих систем управління доступом) засобами захисту інформації.

Маскування - метод захисту інформації у каналах телекомунікації шляхом її криптографічного закриття.

Регламентація - метод захисту інформації, що створює такі умови автоматизованої обробки, збереження й передачі інформації, що захищається, при яких можливості несанкціонованого доступу до неї зводилися б до мінімуму.

Метод «регламентація» реалізується: програмними (використання комп’ютерних програм ідентифікації та розмежування доступу), організаційними (розробка функціональних обов’язків особовому складу, інструкцій посадовим особам) та законодавчими (організація виконання вимог Законів України, і т.д.) засобами захисту інформації.

Примушення - такий метод захисту, при якому користувачі і персонал системи змушені дотримувати правила обробки, передачі й використання інформації, що захищається, під погрозою матеріальної, адміністративної чи кримінальної відповідальності. Метод «примушення» реалізується: законодавчими засобами захисту інформації.

Спонукання - такий метод захисту, що спонукає користувача й персонал системи не порушувати сформовані моральні й етичні норми (як регламентовані, так і "неписані"). Метод «спонукання» реалізується: морально-етичними засобами захисту інформації.