Методы и средства защиты информации в АИС

Современные АИТ обладают следующими основными призна­ками:

• наличием информации различной степени конфиденци­альности;

• необходимостью криптографической защиты информации различной степени конфиденциальности при передаче данных;

• иерархичностью полномочий субъектов доступа и программ к АРМ, файл-серверам, каналам связи и инфор­мации системы, необходимостью оперативного изменения этих полномочий;

• организацией обработки информации в диалоговом режиме, в режиме разделения времени между пользователями и в режи­ме реального времени;

• обязательным управлением потоками информации как в ло­кальных сетях, так и при передаче по каналам связи на дале­кие расстояния;

• необходимостью регистрации и учета попыток несанкциони­рованного доступа, событий в системе и документов, выво­димых на печать;

• обязательным обеспечением целостности программного обес­печения и информации в АИТ;

• наличием средств восстановления системы защиты ин­формации;

• обязательным учетом магнитных носителей;

• наличием физической охраны средств вычислительной техни­ки и магнитных носителей.

Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ.

На стадии предпроектного обследования объекта:

• устанавливается наличие конфиденциальной информации в разрабатываемой АИТ, оценивается уровень конфиденциальности и объемы;

• определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), со­став комплекса технических средств, общесистемные программ­ные средства и т.д.;

• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

• определяется степень участия специалистов и вспомогательных работников объекта ав­томатизации в обработке информации, характер взаимодействия между собой и со службой безопасности;

• определяются мероприятия по обеспечению режима сек­ретности на стадии разработки.

Функционирование системы защиты информации от не­санкционированного доступа, как комплекса программно-технических средств и организационных реше­ний, предусматривает:

• учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;

• ведение служебной информации (генерация паролей, клю­чей, сопровождение правил разграничения доступа);

• оперативный контроль над функционированием систем за­щиты секретной информации;

• контроль соответствия общесистемной программной среды эталону;

• приемку включаемых в АИТ новых программных средств;

• контроль над ходом технологического процесса обработки фи­нансово-кредитной информации путем регистрации анализа действий пользователей;

• сигнализацию опасных событий.

Создание базовой системы защиты информации в АИТ осно­вывается на следующих принципах:

1. Комплексный подход к построению системы защиты, означающий оптималь­ное сочетание программных аппаратных средств и организацион­ных мер защиты.
2. Разделение и минимизация полномочий по доступу к обрабаты­ваемой информации и процедурам обработки, т. е. предоставление пользователям минимума строго определенных полномочий, доста­точных для успешного выполнения ими своих служебных обязан­ностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.
3. Полнота контроля и регистрации попыток несанкционирован­ного доступа, т. е. необходимость точного установления идентич­ности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность со­вершения любой операции обработки информации в АИТ без ее предварительной регистрации.
4. Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднаме­ренных ошибок пользователей и обслуживающего персонала.
5. Обеспечение контроля над функционированием системы защиты, т. е. создание средств и методов контроля работоспособности ме­ханизмов защиты.
6. «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ.
7. Экономическая целесообразность использования системы защи­ты, выражающаяся в том, что стоимость разработки и эксплуата­ции систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты информации.

К основным средствам защиты, используемым для создания механизма защиты, относятся следующие:

• Технические средства реализуются в виде электрических, элек­тромеханических и электронных устройств. Вся совокупность тех­нических средств делится на аппаратные и физические. Под аппа­ратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стан­дартному интерфейсу.

• Физические средства реализуются в виде автономных уст­ройств и систем. Например, замки на дверях, где размещена аппа­ратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.

• Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функ­ций защиты информации.

• Организационные средства защиты представляют собой орга­низационно-технические и организационно-правовые мероприя­тия, осуществляемые в процессе создания и эксплуатации вычис­лительной техники, аппаратуры телекоммуникаций для обеспече­ния защиты информации. Организационные мероприятия охваты­вают все структурные элементы аппаратуры на всех этапах их жиз­ненного цикла (строительство помещений, проектирование ком­пьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).

• Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складыва­ются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обяза­тельными как законодательные меры, однако, несоблюдение; их ведет обычно к потере авторитета и престижа человека.

• Законодательные средства защиты определяются законода­тельными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.