• Главная
  • Общество
  • Индивидуальная защита
  • Спецодежда
  • Автомобилистам
  • Финансы
  • Новости

    • Методи захисту інформації: види загроз і засоби захисту, класи безпеки

    1. Види інформаційних загроз
    2. Сучасні методи захисту інформації
    3. Засоби захисту інформаційних систем
    4. Захист переданих електронних даних
    5. Класи безпеки інформаційних систем

    Інформація сьогодні - важливий ресурс, втрата якого загрожує неприємними наслідками. Втрата конфіденційних даних компанії несе в собі загрози фінансових втрат, оскільки отриманою інформацією можуть скористатися конкуренти або зловмисники. Для запобігання настільки небажаних ситуацій всі сучасні фірми і установи використовують методи захисту інформації.

    Безпека інформаційних систем (ІС) - цілий курс, який проходять всі програмісти і фахівці в області побудови ІС. Однак знати види інформаційних загроз і технології захисту необхідно всім, хто працює з секретними даними.

    Види інформаційних загроз

    Основним видом інформаційних загроз, для захисту від яких на кожному підприємстві створюється ціла технологія, є несанкціонований доступ зловмисників до даних. Зловмисники планують заздалегідь злочинні дії, які можуть здійснюватися шляхом прямого доступу до пристроїв або шляхом віддаленої атаки з використанням спеціально розроблених для крадіжки інформації програм.

    Крім дій хакерів, фірми нерідко стикаються з ситуаціями втрати інформації через порушення роботи програмно-технічних засобів.

    В даному випадку секретні матеріали не потрапляють до рук зловмисників, проте втрачаються і не підлягають відновленню або відновлюються надто довго. Збої в комп'ютерних системах можуть виникати з таких причин:

    • Втрата інформації внаслідок пошкодження носіїв - жорстких дисків;
    • Помилки в роботі програмних засобів;
    • Порушення в роботі апаратних засобів через пошкодження або зносу.

    Сучасні методи захисту інформації

    Технології захисту даних грунтуються на застосуванні сучасних методів, які запобігають витік інформації і її втрату. Сьогодні використовується шість основних способів захисту:

    • перешкода;
    • маскування;
    • регламентація;
    • управління;
    • примус;
    • Спонукання.

    Всі перераховані методи націлені на побудову ефективної технології захисту інформації , При якій виключені втрати через недбалість та успішно відбиваються різні види загроз. Під перешкодою розуміється спосіб фізичного захисту інформаційних систем, завдяки якому зловмисники не мають можливість потрапити на територію, що охороняється.

    Маскування - способи захисту інформації, що передбачають перетворення даних в форму, не придатну для сприйняття сторонніми особами. Для розшифровки потрібне знання принципу.

    Управління - способи захисту інформації, при яких здійснюється управління над усіма компонентами інформаційної системи.

    Регламентація - найважливіший метод захисту інформаційних систем, що передбачає введення особливих інструкцій, згідно з якими повинні здійснюватися всі маніпуляції з охоронюваними даними.

    Примус - методи захисту інформації, тісно пов'язані з регламентацією, які передбачають введення комплексу заходів, при яких працівники змушені виконувати встановлені правила. Якщо використовуються способи впливу на працівників, при яких вони виконують інструкції з етичних і особистісним міркувань, то мова йде про спонукання.

    На відео - детальна лекція про захист інформації:

    Засоби захисту інформаційних систем

    Способи захисту інформації передбачають використання певного набору засобів. Для запобігання втрати і витоку секретних відомостей використовуються такі засоби:

    • фізичні;
    • Програмні і апаратні;
    • організаційні;
    • законодавчі;
    • Психологічні.

    Фізичні засоби захисту інформації запобігають доступ сторонніх осіб на територію, що охороняється. Основним і найбільш старим засобом фізичного перешкоди є установка міцних дверей, надійних замків, решіток на вікна. Для посилення захисту інформації використовуються пропускні пункти, на яких контроль доступу здійснюють люди (охоронці) або спеціальні системи. З метою запобігання втрат інформації також доцільна установка протипожежної системи. Фізичні засоби використовуються для охорони даних як на паперових, так і на електронних носіях.

    Програмні і апаратні засоби - незамінний компонент для забезпечення безпеки сучасних інформаційних систем.

    Апаратні засоби представлені пристроями, які вбудовуються в апаратуру для обробки інформації. Програмні засоби - програми, що відображають хакерські атаки. Також до програмних засобів можна віднести програмні комплекси, що виконують відновлення втрачених відомостей. За допомогою комплексу апаратури та програм забезпечується резервне копіювання інформації - для запобігання втрат.

    Організаційні засоби пов'язані з декількома методами захисту: регламентацією, управлінням, примусом. До організаційних засобів відноситься розробка посадових інструкцій, бесіди з працівниками, комплекс заходів покарання і заохочення. При ефективному використанні організаційних засобів працівники підприємства добре інформовані про технології роботи з охоронюваними відомостями, чітко виконують свої обов'язки і несуть відповідальність за надання недостовірної інформації, витік або втрату даних.

    Законодавчі засоби - комплекс нормативно-правових актів, що регулюють діяльність людей, що мають доступ до охоронюваним відомостями і визначають міру відповідальності за втрату або крадіжку секретної інформації.

    Психологічні засоби - комплекс заходів для створення особистої зацікавленості працівників у збереженні та автентичності інформації. Для створення особистої зацікавленості персоналу керівники використовують різні види заохочень. До психологічних засобів відноситься і побудова корпоративної культури, при якій кожен працівник відчуває себе важливою частиною системи і зацікавлений в успіху підприємства.

    До психологічних засобів відноситься і побудова корпоративної культури, при якій кожен працівник відчуває себе важливою частиною системи і зацікавлений в успіху підприємства

    Захист переданих електронних даних

    Для забезпечення безпеки інформаційних систем сьогодні активно використовуються методи шифрування і захисту електронних документів. Дані технології дозволяють здійснювати віддалену передачу даних і віддалене підтвердження автентичності.

    Методи захисту інформації шляхом шифрування (криптографічні) засновані на зміні інформації за допомогою секретних ключів особливого виду. В основі технології криптографії електронних даних - алгоритми перетворення, методи заміни, алгебра матриць. Стійкість шифрування залежить від того, наскільки складним був алгоритм перетворення. Зашифровані відомості надійно захищені від будь-яких загроз, крім фізичних.

    Електронний цифровий підпис (ЕЦП) - параметр електронного документа, службовець для підтвердження його автентичності. Електронний цифровий підпис замінює підпис посадової особи на паперовому документі і має ту ж юридичну силу. ЕЦП служить для ідентифікації її власника і для підтвердження відсутності несанкціонованих перетворень. Використання ЕЦП забезпечує не тільки захист інформації, але також сприяє здешевленню технології документообігу, знижує час руху документів при оформленні звітів.

    Класи безпеки інформаційних систем

    Технологія захисту і ступінь її ефективності визначають клас безпеки інформаційної системи. У міжнародних стандартах виділяють 7 класів безпеки систем, які об'єднані в 4 рівня:

    • D - нульовий рівень безпеки;
    • С - системи з довільним доступом;
    • В - системи з примусовим доступом;
    • А - системи з перевіряється безпекою.

    Рівню D відповідають системи, в яких слабо розвинена технологія захисту. При такій ситуації будь-яке стороннє обличчя має можливість отримати доступ до відомостей.

    Використання слаборозвиненою технології захисту може призвести до втрати або втратою відомостей.

    В рівні С є такі класи - С1 і С2. Клас безпеки С1 передбачає поділ даних і користувачів. Певна група користувачів має доступ тільки до певних даних, для отримання відомостей необхідна аутентифікація - перевірка справжності користувача шляхом запиту пароля. При класі безпеки С1 в системі є апаратні і програмні засоби захисту. Системи з класом С2 доповнені заходами, що гарантують відповідальність користувачів: створюється і підтримується журнал реєстрації доступу.

    Рівень В включає технології забезпечення безпеки, які мають класи рівня С, плюс кілька додаткових. Клас В1 передбачає наявність політики безпеки, довіреної обчислювальної бази для управління мітками безпеки і примусового управління доступом. При класі В1 фахівці здійснюють ретельний аналіз і тестування вихідного коду і архітектури.

    Клас безпеки В2 характерний для багатьох сучасних систем і передбачає:

    • Постачання мітками секретності всіх ресурсів системи;
    • Реєстрацію подій, які пов'язані з організацією таємних каналів обміну пам'яттю;
    • Структурування довіреної обчислювальної бази на добре певні модулі;
    • Формальну політику безпеки;
    • Високу стійкість систем до зовнішніх атак.

    Клас В3 передбачає, на додаток до класу В1, оповіщення адміністратора про спроби порушення політики безпеки, аналіз появи таємних каналів, наявність механізмів для відновлення даних після збою в роботі апаратури або програмного забезпечення .

    Рівень А включає один, найвищий клас безпеки - А. До даного класу відносяться системи, що пройшли перевірку і отримали підтвердження відповідності формальним специфікаціям верхнього рівня.

    На відео - детальна лекція про безпеку інформаційних систем:

    Новости

    Все права защищены © 2013 Рекрутинговая компания Consulting: Поиск и подбор персонала