Современный мир характеризуется такой тенденцией, как увеличение роли информации. Она стала продуктом, который можно купить, продать, обменять. Появилось множество отраслей производства, которые буквально на сто процентов состоят из информации. Например, компания, которая занимается выпуском программного обеспечения или агентство по созданию web-сайтов. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она находиться.
Современная информационная система крайне сложна и состоит из огромного числа связанных компонентов различного уровня автономности, которые способны обмениваться данными. Практически каждый компонент может быть подвергнут внешнему воздействию или выйти из строя. А с повышением значимости и ценности информации соответственно растет и важность защиты этих компонентов.
Безопасность информации определяется как защищенность всей поддерживающей ее инфраструктуры от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. И целью ее обеспечения на предприятии является построение системы обеспечения информационной безопасности данного объекта.[1] В общем случае концепция этой системы должна отвечать на такие вопросы:
- Что защищать?
- От кого(чего) защищать?
- Как защищать?
И соответствовать следующим принципам:
- Затраты на обеспечение безопасности ни в коем случае не должны превышать размеры возможного ущерба;
- Система обеспечения безопасности должна разрабатываться, исходя из предположения, что пользователи будут наносить ей ущерб;
- Система обеспечения безопасности должна быть обязательно протестирована;
- Гибкость системы обеспечения безопасности, предусматривающей внесение в нее изменений администратором;
- Пользователи располагают меньшими привилегиями, чем администратор, необходимыми лишь для осуществления своей работы;
- Простота взаимодействия системы обеспечения безопасности и пользователей;
- Возможность отключить систему в экстренных ситуациях;
- Все, кто взаимодействует с системой обеспечения безопасности должны знать то, как она функционирует и в затруднительных ситуациях незамедлительно на это реагировать;
- Вся система обработки данных должна находиться под защитой;
- Возможность проверки эффективности работы системы безопасности;
- Объекты находящиеся под защитой необходимо поделить на группы так, чтобы нарушение защиты в одной из групп не оказывало влияние на защищенность других;
- Самые важные и сложные решения должен принимать человек;
- Механизмы системы обеспечения безопасности желательно, должны быть скрыты от пользователей;
- Работу пользователей необходимо контролировать.
В общих словах обеспечение защиты информационной системы сводиться к реализации таких свойств как: доступность данных, их целостность и конфиденциальность.
Но стоит помнить, что говорить о создании системы безопасности можно с учетом характеристик конкретного субъекта и защиту информационных систем ни в коем случае нельзя сводить только к технике. Она зависит от слабого звена, а самым слабым звеном чаще всего является человек. По этой причине на данный момент существуют всевозможные методы и системы защиты информации. Они имеют большое количество различий друг с другом, но, тем не менее, их можно поделить на следующие основные группы:
1. Формальные средства защиты – выполняют свои функции обособленно от человеческой деятельности, по заранее определенному алгоритму.
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от информационных систем. Они создают преграды в прямом смысле этого слова. Например: конструкция здания и средства обеспечения безопасности непосредственно в нем и на его территории от проникновения злоумышленников, защиту аппаратных средств и носителей информации от кражи, организацию пропускной системы сотрудников и контроль над их перемещением на предприятии, противопожарную защиту помещений и т.д.
1.2 Аппаратные средства- устройства и системы механического, электрического, электронного, лазерного, зрительного либо радиолокационного плана, находящиеся непосредственно в информационной системе или зависящих от нее, созданные непосредственно для защиты информации. Пример таких средств:
Смарт-карты и USB-токены – средства, которые содержат в себе интегральную схему, наделяющую их способностью обрабатывать данные. Эти устройства осуществляют защиту информации находящейся на них при ее использовании. Так же обеспечение безопасности информации на данных устройствах может основываться на защищенной памяти устройства и его способности менять, перезаписывать и удалять данные. Для организации этого в них содержится особая программа или даже небольшая операционная система, позволяющая изменять данные по запрограммированному алгоритму.
Смарт-карты выглядят как кредитная карта, usb-токен, как очевидно имеет вид usb-флеш-накопителя. Не смотря на их вид, они являются друг другу аналогами.
Электронные ключи защиты- это программно – аппаратная система защиты от незаконного пользования, созданная с целью ограничения доступа к информации и программам. Для обеспечения этого вместе с программным обеспечением компании дается USB-ключ, с помощью которого происходит процесс установления легальности .
Такие средства защиты являются самыми функциональными и дорогостоящими. Обычно они разрабатываются персонально, под заказ, поэтому система обеспечения безопасности в таких системах довольно гибкая, она позволяет изменять данные под определенного пользователя.
1.3 Программные средства –специальная программа или программы, которые находятся на жестком диске компьютера, и используются в целях обеспечения безопасности данных. Примером программных средств могут служить элементарные персональные ограничения на выполнение каких-либо действий, будь то доступ к компьютеру или удаление файлов.
В сравнении с остальными средствами защиты эти являются самыми недорогостоящими. Потому что данные для их работы устанавливаются сразу, и не меняются, по причине того, что это часть программы. Из-за этой же причины велика вероятность взломов или поломки этой системы.
1.4 Специфические средства защиты- это криптографические методы. Такие средства защиты могут быть использованы с целью защиты информации, которая обрабатывается, либо для ее защиты при передаче. Само преобразование информации может быть реализовано аппаратными или программными средствами или методами.
Такие средства обеспечения безопасности продаются отдельно от программы, которую необходимо защитить. А их гибкая внутренняя система защиты позволяет препятствовать взлому. Их стоимость варьируется между стоимостью программных и аппаратных средств обеспечения безопасности.
2. Неформальные средства защиты- регламентируют деятельность человека.
Законодательные средства- законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Распространяются на все субъекты информационных отношений.
Организационные средства -для описания технологии защиты информации конкретной информационной системы обычно строится так называемая политика информационной безопасности.
Морально-этические средства -сложившиеся в коллективе предприятия моральные и этические нормы, соблюдение которых способствует защите информации. [2]
Подведя итог всему вышесказанному, хочется заметить, что защищаться от всего невозможно, из всех возможных угроз на предприятии нужно выбрать то, что наиболее существенно и важно. А выбранная верно система обеспечения информационной безопасности поможет сохранить это.
Библиографический список
- Филина О.А., Мелькумянц А.А. БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОБРАБОТКИ ИНФОРМАЦИИ БАНКА// Вестник образовательного консорциума “Среднерусский университет”. Серия “Информационные технологии”. №4, декабрь 2014 [Электронный ресурс] URL: http://www.vestnik-university.ru/. (дата обращения: 08.03.2015 г.).
- Колеснико Д.Г. ЗАЩИТА ИНФОРМАЦИОННЫХ И КОМПЬЮТЕРНЫХ СИСТЕМ// Учебник по сайтостроению [Электронный ресурс] URL: http://protect.htmlweb.ru/. (дата обращения: 08.03.2015 г.).