Средства защиты информации.

Прежде всего, в контексте данной работы, необходимо определить содержание понятий: «информация», «информационная безопасность», «вредная информация».

Итак, согласно словарю Ожегова, информация это – «сведения об окружающем мире и протекающих в нем процессах, воспринимаемые человеком или специальным устройством» или «сообщения, осведомляющие о положении дел, о состоянии чего-нибудь» (ссылка).

Таким образом, вредную информацию можно определить как те сведения об окружающем мире, которые наносят вред человеку, моральный или материальный.

В законе «О защите детей от информации, причиняющей вред их здоровью и развитию» вредная информация трактуется как «информация, причиняющая вред здоровью и (или) развитию детей, - информация (в том числе содержащаяся в информационной продукции для детей), распространение которой среди детей запрещено или ограничено в соответствии с настоящим Федеральным законом» (ссылка).

В соответствии со всем выше сказанным, информационная безопасность – «состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.)»[1]; Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006)

или «деятельность, направленная на обеспечение защищённого состояния объекта (в этом значении чаще используется термин «защита информации»)»[2]Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799—2005).

Определим понятие «средство защиты информации».

Итак, согласно Национальному стандарту РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006), средство защиты информации – это «техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации». [1]

На данный момент существует несколько различных классификаций средств защиты информации.

1. В зависимости от способа реализации их можно разделить на группы: технические (аппаратные) средства, программные средства, смешанные аппаратно-программные средства, организационные средства.

2. В литературе предлагается следующая классификация средств защиты информации.[11] Домарев В. В. Безопасность информационных технологий. Системный подход — К.: ООО ТИД Диа Софт, 2004. — 992 с.

· Средства защиты от несанкционированного доступа (НСД):

- Средства авторизации;

- Мандатное управление доступом[13]; Информационная безопасность в современных системах управления базами данных

- Избирательное управление доступом;

- Управление доступом на основе ролей;

- Журналирование (так же называется Аудит).

· Системы анализа и моделирования информационных потоков (CASE-системы).

· Системы мониторинга сетей:

- Системы обнаружения и предотвращения вторжений (IDS/IPS).

- Системы предотвращения утечек конфиденциальной информации (DLP-системы).

· Анализаторы протоколов.

· Антивирусные средства.

· Межсетевые экраны.

· Криптографические средства:

- Шифрование;

- Цифровая подпись.

· Системы резервного копирования.

· Системы бесперебойного питания:

- Источники бесперебойного питания;

- Резервирование нагрузки;

- Генераторы напряжения.

· Системы аутентификации:

- Пароль;

- Ключ доступа (физический или электронный);

- Сертификат;

- Биометрия.

· Средства предотвращения взлома корпусов и краж оборудования.

· Средства контроля доступа в помещения.

· Инструментальные средства анализа систем защиты:

- Мониторинговый программный продукт.

Рассмотрим подробнее первую классификацию. Для этого дадим определения для всех 4 групп средств.

Технические (аппаратные) средства – это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую — генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств — универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

Одно из главных организационно-правовых средств защиты информации в России – закон «О защите детей от информации, причиняющей вред их здоровью и развитию». Его мы и рассмотрим подробнее.