Основні напрямки захисту інформаційних систем

Для конкретної ІС політика безпеки повинна бути індивідуальною. Вона залежить від технології оброблення інформації, використовуваних програмних і технічнихзасобів, структури організації тощо.

Слід розглядати такі напрями захисту ІС (рис.11):

- захист об’єктів інформаційної системи;

- захист процесів, процедур і програм оброблення інформації;

- захист каналів зв’язку;

- подавлення побічних електромагнітних випромінювань;

- контролю та управління системою захисту.

Рис.11. Основні напрямки захисту інформаційних систем

Забезпечення захисту ІС за вказаними напрямками досягається організаційно-режимними, організаційно-технічними та організаційно-правовими заходами, здійснюваними в процесі створення і експлуатації системи.

Наскільки важливі організаційно-режимні заходи у загальному арсеналі засобів захисту, говорить уже хоча б той факт, що ні одна ІС не може функціонувати без участі обслуговувального персоналу. Окрім того, організаційно-режимні заходи охоплюють всі структурні елементи системи захисту на всіх етапах їх життєвого циклу: будівництво приміщень, проектування системи, монтаж і налагодження обладнання, випробовування і перевірка в експлуатації апаратури, оргтехніки, засобів оброблення і передавання даних.

Організаційно-режимні заходи захисту базуються на законодавчих і нормативних документах з безпеки інформації і повинні охоплювати основні шляхи збереження інформаційних ресурсів (рис.12):

- обмеження фізичного доступу до об’єктів оброблення і зберігання інформації та реалізація режимних заходів;

- обмеження можливості перехоплення інформації внаслідок створення фізичних полів;

- обмеження доступу до інформаційних ресурсів та інших елементів системи оброблення даних шляхом встановлення правил розмежування доступу, криптографічного закриття каналів передавання даних, вживляння і знищення “закладок”;

- створення твердих копій на випадок втрати масивів даних;

- проведення профілактичних та інших заходів від проникнення “вірусів”.

Рис.12. Основні шляхи збереження інформаційних ресурсів в ІС

За змістом усі організаційні заходи поділяють на три групи.

1. Заходи, здійснювані при створенні ІС. Вони спрямовані на реалізацію вимог захисту під час:

- розробки загального проекту системи та її структурних елементів;

- будівництва чи переобладнання приміщень;

- розробки математичного, програмного, інформаційного чи лінгвістичного забезпечення;

- монтування та налагодження обладнання;

- випробовування та прийманні системи.

2. Заходи, здійснювані в процесі експлуатації ІС:

- організація пропускного режиму;

- організація автоматизованого оброблення інформації;

- організація ведення протоколів;

- розподілення реквізитів розмежування доступу (паролів, повноважень тощо);

- контроль виконання вимог службових інструкцій тощо.

3. Заходи загального характеру:

- урахування вимог захисту при підборі та підготовці кадрів;

- організація перевірок механізму захисту;

- планування заходів із захисту інформації;

- навчання персоналу;

- проведення занять із залученням спеціалістів провідних організацій;

- участь у семінарах і конференціях з проблем безпеки інформації тощо.

Крім цього політика інформаційної безпеки повинна передбачати такі етапи створення систем захисту інформації:

- визначення інформаційних і технічних ресурсів, які необхідно захищати (інвентаризація інформаційної системи);

- виявлення потенційно можливих загроз і каналів витоку інформації;

- проведення оцінювання вразливості та ризиків за наявності загроз та каналів витоку;

- визначення вимог до системи захисту;

- здійснення вибору засобів захисту інформації та їх характеристик;

- впровадження і організація використання вибраних заходів, способів і засобів захисту;

- здійснення контролю цілісності та управління системою захисту.