Основные  концептуальные положения системы защиты информации  

    Анализ  состояния дел в сфере защиты информации показывает, что уже сложилась  вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

    - весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;

    - значительное число фирм, специализирующихся на решении вопросов защиты информации;

    - достаточно четко очерченная система взглядов на эту проблему;

    - наличие значительного практического опыта и др.

    Опыт  также показывает, что:

    - обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;

    - безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;

    С учетом накопленного опыта можно  определить систему защиты информации как организованную совокупность специальных  органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

    С позиций системного подхода к  защите информации предъявляются определенные требования. Защита информации должна быть:

    - непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;

    - плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);

    - целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;

    - конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

    - активной. Защищать информацию необходимо с достаточной степенью настойчивости;

    - надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выраже-ния и вида физического носителя, на котором они закреплены;

    - универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;

    - комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.

    Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

    - охватывать весь технологический комплекс информационной деятельности;

    - быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;

    - быть открытой для изменения и дополнения мер обеспечения безопасности информации;

    - быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;

    - быть простой для технического обслуживания и удобной для эксплуатации пользователями;

    - быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;

    - быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также определенные требования:

    - четкость определения полномочии и прав пользователей на доступ к определенным видам информации;

    - предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

    - сведение к минимуму числа общих для нескольких пользователей средств защиты;

    - учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

    - обеспечение оценки степени конфиденциальной информации;

    - обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:

    - правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;

    - организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;

    - аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;

    - информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информаци-онного обеспечения расчетных задач различного характера, связан-ных с деятельностью службы обеспечения безопасности;

    - программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфи-денциальной информации;

    - математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;

    - лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;

    - нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

Программные средства защиты информации

         Программными    называются    средства     защиты     данных, функционирующие в составе  программного обеспечения. Среди  них можно выделить и подробнее  рассмотреть следующие;

• средства архивации данных
• антивирусные программы
• криптографические средства
• средства идентификации и аутентификации пользователей
• средства управления доступом
• протоколирование и аудит

     Как примеры комбинаций вышеперечисленных  мер  можно привести:

• защиту баз данных
• защиту информации при работе в компьютерных сетях.

Средства  архивации информации.

              Иногда резервные копии информации  приходится выполнять при общей  ограниченности ресурсов размещения  данных, например владельцам персональных компьютеров. В этих случаях используют программную архивацию. Архивация это слияние нескольких файлов и даже каталогов в единый файл — архив, одновременно с сокращением общего объема исходных файлов путем устранения избыточности, но без потерь информации, т. е. с возможностью точного восстановления исходных файлов. Действие большинства средств архивации основано на использовании алгоритмов сжатия, предложенных в 80-х гг. Абрахамом Лемпелем и Якобом Зивом. Наиболее известны и популярны следующие архивные форматы;

       

• ZIP,  ARJ   для операционных систем  DOS. и Windows
• TAR  для операционной  системы Unix
• межплатформный формат  JAR (Java ARchive)
• RAR (все время растет популярность этого нового формата, так как разработаны программы позволяющие использовать его в операционных системах DOS, Windows и Unix),

     Пользователю  следует лишь выбрать  для себя подходящую программу,  обеспечивающую работу с выбранным  форматом, путем оценки ее характеристик  – быстродействия, степени сжатия, совместимости с большим количеством форматов, удобности интерфейса, выбора операционной системы и т.д.. Список таких программ очень велик – PKZIP, PKUNZIP, ARJ, RAR, WinZip, WinArj, ZipMagic, WinRar и много других. Большинство из этих программ не надо специально покупать, так как они предлагаются  как программы условно-бесплатные  (Shareware) или свободного распространения (Freeware).  Также очень важно установить постоянный график проведения таких работ по архивации данных  или выполнять их  после большого обновления данных.  

Законодательные и административные меры для регулирования  вопросов защиты информации

     Законодательные и административные меры для регулирования  вопросов защиты информации на государственном  уровне применяются в большинстве  научно-технически развитых стран мира. Компьютерные преступления приобрели в странах с развитой информационно-телекоммуникационной инфраструктурой такое широкое распространение, что для борьбы с ними в уголовное законодательство введены специальные статьи.

Первый  закон о защите информации был принят в Соединенных Штатах Америки в 1906 году. В настоящее время в США имеется около 500 законодательных актов по защите информации, ответственности за ее разглашение и компьютерные преступления. Проблемы информационной безопасности рассматриваются американской администрацией как один из ключевых элементов национальной безопасности. Национальная политика США в области защиты информации формируется Агентством национальной безопасности (АНБ). При этом наиболее важные стратегические вопросы, определяющие национальную политику в данной сфере, как правило, решаются на уровне Совета национальной безопасности, а решения оформляются в виде директив Президента США.

     В период с 1967 года по настоящее время  в США принят целый ряд федеральных  законов, создавших правовую основу для формирования и проведения единой государственной политики в области информатизации и защиты информации с учетом интересов национальной безопасности страны. Это законы "О свободе информации" (1967 год), "О секретности" (1974 год), "О праве на финансовую секретность" (1978 год), "О доступе к информации о деятельности ЦРУ" (1984 год), "О компьютерных злоупотреблениях и мошенничестве" (1986 год), "О безопасности компьютерных систем" (1987 год) и некоторые другие.

     Во  Франции государственному контролю подлежат изготовление, экспорт и использование шифровального оборудования. Экспорт возможен только с разрешения Премьер-министра страны, выдаваемого после консультаций со специальным комитетом по военному оборудованию. Импорт шифровальных средств на территорию Французской республики вообще запрещен. Закон объявляет экспорт и снабжение криптографическими средствами без специального разрешения преступлением, которое наказывается штрафом в размере до 500 000 франков или тюремным заключением на срок от 1 до 3 месяцев.

     19 февраля 1993 года Верховным Советом  Российской Федерации был принят  закон "О федеральных органах  правительственной связи и информации" N 4524-1. Статья 11 данного закона предоставила  Федеральному агентству права  по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Таким образом, закон Российской Федерации "О федеральных органах правительственной связи и информации" является первым собственно российским правовым нормативным актом, который вводит сертификацию в области защиты информации и дата его принятия - 19 февраля 1996г. - является исходной точкой от которой необходимо вести отсчет ограничения прав на занятие предпринимательской деятельностью.