Информационная безопасность играет большую роль в сфере защиты конфиденциальных данных. Она и включает комплекс правовых, административных и инженерно-технических методов и средств защиты.

Что охраняют

Объектом охраны являются:

• информационные ресурсы – это данные, хранящиеся на материальном носителе с возможностью их идентификации;
• системы использования, распространения и формирования данных – библиотеки, архивы, информационные системы и т.п.;
• право государства, физических и юридических лиц распространять или использовать данные;
• системы, влияющие на формирование сознания, например, социальные институты или СМИ.

Комплекс средств защиты данных направлен на ограничение неправомерного доступа к ним, их уничтожения или изменения, копирования, нарушения требований конфиденциальности и ограничения в реализации права доступа. А также на пресечение любых других незаконных деяний, представляющих угрозу рассекречивания информации. 

Правовая защита

Правовые средства защиты информации используются в административном или судебном порядке. Это вступившие в законную силу нормативно-правовые акты, принятые с целью обеспечить сохранность и защиту информации, содержащейся и обрабатываемой в информационных системах. Правовыми средствами защиты в сфере информационной безопасности являются Конституция Российской Федерации, Кодексы РФ, Федеральные законы, постановления, указы и иные нормативно-правовые акты. 

Например, антимонопольная политика и борьба с недобросовестной конкуренцией являются административными инструментами защиты различных баз данных и систем. 

Защита информации в правовом спектре производится судейскими органами. Подсудность и подведомственность суда определяется характером совершенного преступления и личностью преступника. С целью обеспечения справедливости при рассмотрении конфликтов, возникших в сфере использования информации, могут быть созданы постоянные или временные третейские суды.

Правовая защита конфиденциальных данных предполагает наказание за противозаконные деяния. В Уголовном кодексе теме компьютерных преступлений посвящена глава 28. 

Организационно-административные меры

Сохранность данных с помощью организационных методов подразумевает в первую очередь работу с персоналом. 

Обеспечение высокого уровня информационной безопасности в данном случае происходит за счет:

• правильного подбора кадров, которые будут пользоваться данными для выполнения должностных обязанностей;
• охрана помещения и пропускной режим;
• организация специального доступа к засекреченной информации и работе с ней;
• разработка должностных инструкций, порядка хранения и использования информации и т.д.

В первую очередь мероприятия по защите информации в отношении лиц, работающих с конфиденциальными данными, направлены на заинтересованность сотрудника в сохранности и защите этих данных. 

Для обеспечения сохранности и защиты информации используют следующие методы:

• внедрение должностных обязанностей, за несоблюдение которых предусмотрены дисциплинарные взыскания, административная и уголовная ответственность;
• поощрение сотрудников как метод предотвращения продажи секретной информации или предоставления доступа к ней злоумышленникам;
• обучение и психологическая подготовка сотрудников с целью защиты информации и ее неразглашения в интересах компании.

Выше перечислены несколько видов организационно-административных мер защиты. Все мероприятия должны вызывать заинтересованность работающего с конфиденциальной информацией человека в том, чтобы сохранить ее от посягательства третьих лиц.  

Инженерно-технические методы

Инженерно-технические средства для защиты информации включают специальные органы, мероприятия и технические устройства, используемые для защиты данных. К техническим средствам охраны информации относят, например, охранную сигнализацию, которая защищает данные от несанкционированного доступа. 

Инженерно-техническая защита включает использование:

• физических средств;
• аппаратных средств;
• программных средств;
• криптография.

Физические средства 

К физическим средствам защиты информации относят устройства для ограничения беспрепятственного входа и выхода на территорию, вноса и выноса устройств, способных повредить систему, предупреждения возможности кражи или порчи базы данных. 

Подобные меры безопасности включают:

• охрану территории предприятия, зданий и помещений;
• организацию пропускного режима;
• видеоконтроль;
• использование сейфов и защищенных хранилищ;
• установку ограждений, электронных, механических или электромеханических замков;
• установку оборудования и устройств для предотвращения чрезвычайных ситуаций, например, для тушения пожара.

Технические средства, также как и аппаратные, классифицируют по назначению:

• предупреждение, например, ограждение вокруг территории, предотвращающее возможность несанкционированного проникновения на нее;
• обнаружение, например, камеры видеонаблюдения, которыми пользуются охранники;
• ликвидация угрозы, например, система противопожарной безопасности.

Аппаратные средства

Это устройства, обеспечивающие надежность использования данных системы, ограничение возможности воспользоваться конфиденциальной информацией пользователям без доступа, пресечение ее утечки и несанкционированного разглашения. 

Виды аппаратных средств:

• пассивные (инженерные инструменты обнаружения, приборы, контролирующие радиоэфир, ОС, системы управления доступом);
• активные (маскировка данных системы, организация бесперебойного питания, аппаратные алгоритмы для преобразования цифрового потока, шумогенераторы).

Подобные устройства используются с целью:

• обнаружения и локализации каналов утечки информации;
• поиска и обезвреживания устройств, предназначенных для несанкционированного пользования информацией;
• проведение тестов и проверок информационной сети с целью обнаружения возможных утечек.

Аппаратные средства по функционалу разделяют на предназначенные для:

• поиска и измерений;
• обнаружения;
• противодействия.

Также они могут быть общего назначения для использования непрофессионалами и профессиональные комплексы, например, устройства обнаружения и пеленгования установленных микрофонов и радиопередатчиков. В отдельную категорию выделяют аппаратные средства, составляющие структуру безопасности отдельно взятых компьютеров или всей сети. 

Программные средства

Под программными средствами, обеспечивающими безопасность использования информационных систем, понимают специальные программные комплексы или программы. Они предназначены для:

• разграничения доступа к информации;
• аутентификации пользователей при работе с системой;
• запрета копирования информации;
• антивирусной защиты;
• защиты документов, файлов, папок.

Примеры защитных программных средств:

• брандмауэр – промежуточный сервер, отслеживающий трафик;
• прокси-сервер, запрещающий обращение глобальной сети к локальной;
• виртуальные частные сети (VPN).

Использование вышеперечисленных программных средств в совокупности позволяет значительно увеличить уровень безопасности.

Криптография

Это наука, изучающая методы по обеспечению охраны конфиденциальных данных. Цель – добиться невозможности прочтения и изменения информации и проверки подлинности авторства, пользователя и иных свойств объекта. Криптография обеспечивает высокий уровень защиты данных в системе, а не доступа к ним. 

Понятие криптографических средств защиты данных определяет совокупность систем и комплексов, направленных на преобразование информации с целью обеспечения ее сохранности в процессе хранения, обработки и передачи. По сути, криптографические методы позволяют зашифровывать информацию, тем самым, ограничивая возможность третьих лиц ею воспользоваться. 

***

Чтобы добиться более высокого уровня защиты конфиденциальной информации необходимо применять все меры одновременно. Каждый из методов – важный элемент в комплексе мероприятий, направленных на охрану данных. Если ими пренебречь, предпринятые действия могут потерять смысл. 

15.05.2020