Классификация мер и средств обеспечения информационной безопасности

Для защиты интересов законных участников информационных процессов необходимо сочетать меры следующих уровней:

- законодательного (законы, нормативные акты, стандарты и т.п.);

- организационного – действия предпринимаемые руководством организации по обеспечению режима безопасности;

- физико-технические меры - использование физических методов, технических средств защиты информации;

- программные меры;

- меры криптографической защиты.

Законодательный уровень является базовым и потому важнейшим. Все другие меры основываются на существующих в стране законах и нормативных актах, регулирующих общественные отношения в сфере информации. К этому уровню относится весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Самое важное на законодательном уровне – создать механизм, позволяющий согласовать процесс разработки законов с развитием информационных технологий. В противном случае это ведет к снижению уровня информационной безопасности.

Основой мер организационного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности. Под этим термином понимается совокупность документированных управленческих решений, направленных на защиту конфиденциальной информации иассоциированных с ней ресурсов. Политика безопасности определяет стратегию организации в области информационной безопасности, а также меру внимания к ней и количество ресурсов, которые руководство считает целесообразным выделить для ее обеспечения.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа (или концепция), реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и ее корректировки и т.п.

При разработке политики безопасности, естественно, должна учитываться специфика организации. Бессмысленно, а иногда даже вредно, переносить практику режимных государственных организаций на коммерческие структуры, учебные заведения или на предприятия со смешанной формой собственности, не выполняющих оборонных заказов. Хотя основные принципы разработки политики безопасности являются универсальными для любых структур, а для однородных (коммерческие банки, торговые компании и т.п.) употребительны даже готовые шаблоны.

Организационные меры защиты можно охарактеризовать как управленческие решения, регламентирующие процессы функционирования информационной системы, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:

· мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;

· мероприятия по разработке правил доступа пользователей к ресурсам системы;

· мероприятия, осуществляемые при подборе и подготовке персонала системы;

· организацию охраны и надежного пропускного режима;

· организацию учета, хранения, использования и уничтожения документов и других носителей с информацией;

· распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

· организацию явного и скрытого контроля за работой пользователей;

· мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

Физико-технические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам информационной системы системы и защищаемой информации. Используемые при реализации этих мер средства защиты можно разделить на две группы:

- физические средства защиты;

- технические средства защиты.