Информационная безопасность

Решения «СёрчИнформ»:

Предотвращение утечек Выявление угроз Контроль персонала

Способы защиты информации

Данные, содержащиеся в компьютерных системах, подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Разработано множество методов, позволяющих защитить их как с использованием средств материального мира, так и с помощью специализированных технических средств и программного обеспечения.

Способы неправомерного доступа к информации

Борьба с несанкционированным доступом к информации и с ее перехватом возможна только в случае ясного понимания каналов утечки информации. Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Они распространяются по проводам и могут быть не только перехвачены специальными устройствами, но и трансформированы в доступную для понимания форму. Также в сам компьютер или его монитор могут быть установлены устройства, осуществляющие перехват информации, выводимой на монитор или вводимой с клавиатуры. Обнаружить эти устройства можно при помощи спецтехники. Также перехват возможен при передаче информации по внешним каналам связи, в том числе по телефонной линии.

Методы защиты

На практике используется несколько групп методов защиты, среди них:

  • препятствие, создаваемое на пути предполагаемого похитителя. Средства его создания могут быть и физическими, и программными;
  • управление или оказание воздействия на элементы защищаемой системы;
  • маскировка, или преобразование, данных, обычно осуществляемая криптографическими способами;
  • регламентация или разработка нормативно-правовых актов и комплекса способов побудить субъекты, взаимодействующие с базами данных, к должному поведению;
  • принуждение или создание таких условий, при которых субъект будет вынужден соблюдать правила обращения с данными;
  • побуждение или создание условий, мотивирующих субъекта к должному поведению.

Каждый из этих методов защиты информации реализуется при помощи различных категорий средств. Основными среди них будут средства организационные и технические.

Организационные средства защиты информации

Разработка их комплекса должна входить в компетенцию службы безопасности предприятия. Наиболее часто применяемые средства:

  • разработка внутренней документации, устанавливающей правила работы с компьютерной техникой и коммерческой тайной;
  • инструктирование и проверки персонала, подписание дополнительных соглашений к трудовым договорам, в которых предполагается ответственность за разглашение или неправомерное использование сведений, составляющих коммерческую тайну;
  • разграничение зон ответственности, исключение ситуаций, когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников, работа в общих программах документооборота, исключение хранения важных файлов вне сетевых дисков;
  • установка таких программных продуктов, которые позволят защитить данные от копирования или уничтожения любым пользователем, в том числе топ-менеджментом организации;
  • наличие планов восстановления системы при ее выходе из строя по любым причинам.

Технические средства защиты информации

В этой категории совмещены как аппаратные, так и программные средства. К основным из них относятся:

  • резервное копирование и удаленное хранение всех наиболее важных массивов данных в компьютерной системе – это должно происходить на регулярной основе;
  • дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;
  • создание возможности перераспределения ресурсов сети в случаях нарушения работоспособности отдельных элементов;
  • обеспечение возможностей использования резервных систем электропитания;
  • обеспечение безопасности от пожара или повреждения оборудования водой;
  • установка программного обеспечения, которое обеспечивает защиту баз данных и иной информации от несанкционированного доступа.

В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, в том числе такие практические способы, как оборудование помещения камерами и сигнализацией.

Аутентификация и идентификации

Для ограничения неправомерного доступа к информации применяются такие способы, как идентификация и аутентификация. Идентификация – это механизм присвоения субъекту, взаимодействующему с информацией, собственного уникального имени или образа. Аутентификация – это система способов проверки совпадения субъекта с тем образом, которому разрешен допуск. Эти средства направлены на то, чтобы предоставить допуск к данным или отказать в нем. Подлинность может определяться тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, магнитные носители) или данные. Простейший способ защиты – пароль, регулярная смена которого является необходимостью.