Назначение систем защиты информации

Введение

Человек - существо социальное, он постоянно нуждается в обмене информацией с другими людьми. Современный мир невозможно представить без информационных технологий. Уже трудно найти человека, у которого дома нет компьютера. В любом банке, в любом офисе стоят в ряд компьютеры, хранящие важную информацию. Но эту информацию необходимо защищать. Так как без неё невозможно нормальное функционирование общества, она является очень ценным товаром. А любой товар должен быть под надёжной защитой. И тут нужны усилия не отдельных людей, а крупномасштабной организации, целой системы. Проблема обеспечения защиты информации - одна из самых актуальных в наши дни.

Стоит также заметить, что тема "Системы защиты информации" хорошо изучена в литературе, противоречий в найденном материале не возникало. Данная работа основана на учебниках по СЗИ или защите информации в целом различных авторов, содержит много информации о структуре СЗИ, и активно используется для написания соответствующего пункта. Также в этой литературе есть определения понятия "Система защиты информации", что поможет сформулировать собственное определение.

Главная цель данной работы –определить систему защиты информации.

Для этого необходимо выполнить две задачи:

¾ определить основные цели системы защиты информации,

¾ изучить, как она устроена, из каких элементов состоит.

Системы защиты информации

Для обеспечения безопасности информации в личных компь­ютерах и особенно в офисных системах и компьютерных сетях проводятся различные мероприятия, объединяемые понятием «си­стема защиты информации».

Система защиты информации - это совокупность организа­ционных (административных) и технологических мер, программ­но-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и вла­дельцам системы[1].

Исследования практики функционирования систем обработ­ки данных и компьютерных сетей показали, что существует дос­таточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях:

• перехват электронных излучений;

• принудительно электромагнитное облучение (подсветка) ли­ний связи;

• применение «подслушивающих» устройств;

• дистанционное фотографирование;

• перехват акустических волновых излучений;

• хищение носителей информации и производственных отхо­дов систем обработки данных;

• считывание информации из массивов других пользователей;

• чтение остаточной информации в аппаратных средствах;

• копирование носителей информации и файлов с преодоле­нием мер защиты;

• модификация программного обеспечения путем исключения или добавления новых функций;

• использование недостатков операционных систем и приклад­ных программных средств;

• незаконное подключение к аппаратуре и линиям связи, в том числе в качестве активного ретранслятора;

• злоумышленный вывод из строя механизмов защиты;

• маскировка под зарегистрированного пользователя и при­своение себе его полномочий;

• введение новых пользователей;

• внедрение компьютерных вирусов.

Кроме того, система защиты не должна допускать, чтобы:

• злоумышленник мог снять с себя ответственность за форми­рование ложной или разрушающей информации;

• были отказы от фактов получения информации, которая фак­тически была получена, но в другое время;

• подтверждались сообщения о посылке кому-то информации, которая на самом деле не посылалась;

• в передаваемой информации содержалась другая (вредонос­ная) информация;

• в число пользователей попадали без регистрации новые лица, чтобы не удалялись и не модифицировались действующие лица;

• отдельные пользователи незаконно расширяли свои полно­мочия по доступу к информации и процессам ее обработки;

• создавались помехи обмену сообщениями между пользова­телями с целью нарушения и искажения передаваемой инфор­мации.

Учитывая важность, масштабность и сложность решения про­блемы сохранности и безопасности информации, рекомендуется разрабатывать архитектуру безопасности в несколько этапов:

• анализ возможных угроз;

• разработка системы защиты;

• реализация системы защиты;

• сопровождение системы защиты.

Этап разработки системы защиты информации предусматри­вает использование различных комплексов мер и мероприятий организационно-административного, технического, программно-аппаратного, технологического, правового, морально-этическо­го характера и др.

Организационно-административные средства защиты сводят­ся к регламентации доступа к информационным и вычислитель­ным ресурсам, функциональным процессам систем обработки дан­ных, к регламентации деятельности персонала и др. Их цель - в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Наиболее типичные организацион­но-административные средства:

• создание контрольно-пропускного режима на территории, где располагаются средства обработки информации;

• изготовление и выдача специальных пропусков;

• мероприятия по подбору персонала, связанного с обработ­кой данных;

• допуск к обработке и передаче конфиденциальной инфор­мации только проверенных должностных лиц;

• хранение магнитных и иных носителей информации, пред­ставляющих определенную тайну, а также регистрационных жур­налов в сейфах, не доступных для посторонних лиц;

• организация защиты от установки прослушивающей аппа­ратуры в помещениях, связанных с обработкой информации;

• организация учета использования и уничтожения докумен­тов (носителей) с конфиденциальной информацией;

• разработка должностных инструкций и правил по работе с компьютерными средствами и информационными массивами;

• разграничение доступа к информационным и вычислитель­ным ресурсам должностных лиц в соответствии с их функциональ­ными обязанностями.

Назначение систем защиты информации

Главная цель создания системы защиты информации — ее надежность. Система ЗИ — это организованная совокупность объектов и субъектов ЗИ, используемых методов и средств защиты, а также осуществляемых защитных мероприятий.

Но компоненты ЗИ, с одной стороны, являются составной частью системы, с другой — сами организуют систему, осуществляя защитные мероприятия.

Поскольку система может быть определена как совокупность взаимосвязанных элементов, то назначение СЗИ состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически.

Надежность защиты информации прямо пропорциональна системности, т. е. при несогласованности между собой отдельных составляющих риск «проколов» в технологии защиты увеличивается.

Во-первых, необходимость комплексных решений состоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, например, виды защиты информации (правовая, организационная, инженерно-техническая).

Во-вторых, необходимость комплексных решений обусловлена назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Но из ее сферы выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защиты. Например, система включает в себя какие-то объекты защиты, а все они включены или нет — это уже вне пределов системы.

Поэтому качество, надежность защиты зависят не только от видов составляющих системы, но и от их полноты, которая обеспечивается при учете всех факторов и обстоятельств, влияющих на защиту. Именно полнота всех составляющих системы защиты, базирующаяся на анализе таких факторов и обстоятельств, является вторым назначением комплексности.

При этом должны учитываться все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защиты мероприятия.

В-третьих, только при комплексном подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите, и при любых обстоятельствах. Это означает, что должны защищаться все носители информации, во всех компонентах ее сбора, хранения, передачи и использования, во все время и при всех режимах функционирования систем обработки информации.

В то же время комплексность не исключает, а, наоборот, предполагает дифференцированный подход к защите информации, в зависимости от состава ее носителей, видов тайны, к которым отнесена информация, степени ее конфиденциальности, средств хранения и обработки, форм и условии проявления уязвимости, каналов и методов несанкционированного доступа к информации.

Таким образом, значимость комплексного подхода к защите информации состоит:

-в интеграции локальных систем защиты;

- в обеспечении полноты всех составляющих системы защиты;

-в обеспечении всеохватности защиты информации.

Исходя из этого, можно сформулировать следующее определение:

«Комплексная система защиты информации — система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации».