Какие есть способы защиты информации информатика?

Способы защиты информации

ИБ-аутсорсинг
на базе DLP-системы

Д анные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы защиты информации включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.

Способы неправомерного доступа к информации

Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.

Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.

Методы защиты

На практике используют несколько групп методов защиты, в том числе:

  • препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
  • управление, или оказание воздействия на элементы защищаемой системы;
  • маскировка, или преобразование данных, обычно – криптографическими способами;
  • регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
  • принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
  • побуждение, или создание условий, которые мотивируют пользователей к должному поведению.

Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.

Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы.

Организационные средства защиты информации

Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.

Чаще всего специалисты по безопасности:

  • разрабатывают внутреннюю документацию, которая устанавливает правила работы с компьютерной техникой и конфиденциальной информацией;
  • проводят инструктаж и периодические проверки персонала; инициируют подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе;
  • разграничивают зоны ответственности, чтобы исключить ситуации, когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников; организуют работу в общих программах документооборота и следят, чтобы критически важные файлы не хранились вне сетевых дисков;
  • внедряют программные продукты, которые защищают данные от копирования или уничтожения любым пользователем, в том числе топ-менеджментом организации;
  • составляют планы восстановления системы на случай выхода из строя по любым причинам.

Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.

Что такое ИБ-аутсорсинг и как он работает? Читать.

Технические средства защиты информации

Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:

  • резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе – на регулярной основе;
  • дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;
  • создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;
  • обеспечение возможности использовать резервные системы электропитания;
  • обеспечение безопасности от пожара или повреждения оборудования водой;
  • установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа.

В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Как защитить свои данные

В статье расскажем, какие способы защиты информации используют в 2020 году, какие работают на 100%, а какие не эффективны, а также как защититься при подключении к незапароленному Wi-Fi.

Способы защиты информации

Начнём с того, как защитить информацию как таковую. О способах защиты рассказал эксперт RTM Group Евгений Царёв.

Физические средства защиты информации

Это сейфы, в случае с компанией – системы контроля доступа, запираемые шкафы и прочее. Подходят для безопасности тех носителей, которые не используются, но хранятся продолжительное время. Важно отметить, что металлические шкафы не подходят для хранения магнитных носителей (жёсткие диски), т.к. могут размагничивать носитель. Для жёстких дисков следует применять специальные сейфы.

Аппаратные средства защиты информации

Электрические, электронные, оптические, лазерные и другие устройства. Многие пользуются токенами. Например, для доступа в интернет-банк это самое популярное аппаратное средство защиты информации. Это надёжные средства, если используются правильно, но с удобством есть проблемы. Аппаратные средства можно потерять, сломать и прочее, нужно поддерживать систему управления, причём с элементами логистики.

Программные средства защиты информации

Это простые и комплексные программы. Пример – антивирусы, установленные на большинстве компьютеров.

DLP-система (от англ. Data Leak Prevention)

Это специализированное ПО, которое блокирует передачу конфиденциальной информации и даёт возможность наблюдать за ежедневной работой сотрудников, чтобы найти слабые места в безопасности и предотвратить утечки. Система анализирует циркулирующую внутри компании информацию. Если появляется угроза опасности, информация блокируется, о чём автоматически уведомляют ответственного сотрудника. DLP и SIEM – решения высокого класса, требуют наличия качественной системы обеспечения информационной безопасности. Используются средними и крупными компаниями. Важна правильная настройка. Это основной инструментарий в работе служб информационной безопасности.

Криптографические средства

Кодирование, шифрование, сюда же относится электронная подпись. Как говорил Эдвард Сноуден: «Криптография работает!». Но её использование часто недооценивают. Даже банальное шифрование флешек используют единицы, хотя на них хранится подчас ценная информация.

Храните данные удалённо

Удалённое хранение информации – часто залог сохранности, уверен Луис Корронс, ИБ-евангелист компании Avast: «Лучший способ защитить информацию – хранить непосредственно на устройствах, не загружая на внешние хранилища. Тогда, чтобы украсть данные, злоумышленникам придётся получить доступ к конкретному физическому устройству.

Но такой способ хранения информации трудно применим на практике, а потому не 100% эффективен. Пользователи обмениваются информацией, личными сведениями, часто требуется удалённый доступ.

Второй вариант противоположен первому – использование только облачных хранилищ. Провайдеры с широкими возможностями, например Google, Microsoft, отвечают потребностям большинства людей: предлагают надёжную защиту, пользователь получает доступ к информации из любого места, может обмениваться, совместно работать».

Итак, подведём итог. Обычному человеку достаточно установить на компьютер антивирус. Если информация хранится на флешке (что лучше всего), носитель можно зашифровать или убрать в сейф. Что касается компаний, лучшее решение – нанять эксперта по информационной безопасности. Не стоит экономить на таких сотрудниках. Ценную информацию следует хранить на флешках и жёстких дисках в сейфе, а на рабочие компьютеры установить ПО, отслеживающее угрозы безопасности.

Как защитить информацию при денежных переводах

Как для рядовых граждан, так и для предпринимателей актуальным остаётся вопрос защиты платёжных данных. Ведь в случае кражи будет нанесён прямой финансовый ущерб. Не всегда для защиты средств достаточно 3D-Secure. О правилах сохранности информации рассказал директор по внешним связям в Восточной Европе и Средней Азии координационного центра RIPE NCC Максим Буртиков: «Одних только фишинговых сайтов уже тысячи в одном только Рунете. Копируют сайты банков, авиакомпаний, развлекательных мероприятий. Если не хотите потерять часть сбережений, будьте внимательны, когда собираетесь отправить личную финансовую информацию в интернет, обращайте внимание на названия и ссылки. Создатели фишинговых сайтов используют доменные имена с изменениями, при этом дизайн и функциональность сайта не будет отличаться от оригинала. Эта схема рассчитана на невнимательность увлечённого пользователя.

Прежде чем воспользоваться переводом денег через онлайн-банк, закройте остальные приложения. Это нужно, чтобы исключить использование программы сканера. Её можно подцепить с недобросовестным скаченным приложением и не заметить. Выглядит сканер как прозрачный экран и ничем себя не выдаёт. До тех пор, пока не открываются банковские программы. Тогда пароли копируются в этом прозрачном экране и сохраняются. Через какое-то время приложение банка может начать жить своей жизнью уже без помощи пользователя и неприятно удивлять».

Отдельно стоит упомянуть о передаче данных при подключении к бесплатному незапароленному Wi-Fi. Если подключились к такой сети, лучше не передавайте конфиденциальную информацию (например, номер карты), не совершайте и не оплачивайте покупки – информация о карте не защищена и доступна мошенникам.

Несмотря на то, что банки блокируют подозрительные операции, лучше перестраховаться. Чтобы не переживать за сохранность информации, пользуйтесь специальным программным обеспечением. Например, бесплатным сервисом Hotspot Shield, который создан для организации виртуальной частной сети, гарантирующей безопасную передачу данных по зашифрованному соединению.

Как защитить информацию в почте и соцсетях

Гиганты, такие как Google, Яндекс, придумывают новые способы защитить данные, хранящиеся в почтовых ящиках пользователей. Например, в гугл-почту пользователи теперь заходят через разблокировку смартфона (при попытке зайти в почту на экране мобильного выскочит просьба подтвердить личность), используется двухфакторная аутентификация (такая же опция доступна, к примеру, в Инстаграм) и т.д.

Ещё недавно защита аккаунтов посредством введения кода из СМС (двухфакторная аутентификация) считалась надёжным методом. Однако эксперты говорят, что время этого способа защиты информации ушло.

Комментирует владелец компании Интернет-Розыск Игорь Бедеров: «Двухфакторная идентификация пользователей посредством СМС-сообщения постепенно становится ненадёжной. СМС-сообщения перехватываются, сим-карты пользователей копируются или перевыпускаются злоумышленниками. Сегодня к контрольному сообщению привязаны почты, соцсети, мессенджеры, онлайн-сервисы, банки. Перевыпустить же сим-карту стоит не больше 200 долларов США. Значит, пора искать более эффективный способ защиты аккаунтов. И он существует.

Это шифроблокнот – система кодов, которую невозможно взломать, если только не добраться до самого шифроблокнота. Какими способами такой шифроблокнот технически реализуется сегодня? Это токены для доступа к тем или иным ресурсам, аутентификаторы, которые стали внедрять в почтовые сервисы и соцсети. Принцип работы тут одинаков: у пользователя в непосредственном доступе некий предмет (токен) или запись (аутентификатор), или список кодов. Удалённо такой код не подобрать и не перехватить».

Такую опцию запустил и Инстаграм. На практике это выглядит так. Пользователь скачивает приложение, которое генерирует уникальные коды. Коды нужно записать или сделать скриншот. По ним, а не по коду из СМС, пользователь попадёт в аккаунт, если возникнут проблемы с доступом.

Методы защиты информации

Вы будете перенаправлены на Автор24

Информация играет главенствующую роль в обеспечении безопасности всех объектов жизнедеятельности общества. Этим объясняется тот факт, что защита от утечки информации является важнейшим направлением деятельности государства.

Вся существующая информация предоставляется на разных физических носителях и в различной форме:

  • документальной форме;
  • речевой или акустической форме;
  • телекоммуникационной форме.

Документальная информация содержится в графическом и буквенно-цифровом виде на бумаге и на магнитных носителях. Ее главной особенностью является то, что она содержит данные, которые нуждаются в защите, в сжатом виде. Речевая информация формируется в процессе ведения переговоров, а также при работе системы звуковоспроизведения или звукоусиления. Носителями данного вида информации могут быть акустические механические колебания, что распространяются во внешнее пространство от источника. Телекоммуникационная информация рождается в технических средствах хранения и обработки данных в процессе передачи по каналам связи. В данном случае носителем информации является электрический ток. А если данные передаются по оптическому каналу и радиоканалу, то носитель – электромагнитные волны.

Помощь со студенческой работой на тему
Методы защиты информации

Основные методы защиты информации в зависимости от объекта

Главными объектами информации могут быть:

  1. Информационные ресурсы. Данные ресурсы могут содержать сведения, которые относятся к государственной тайне и к конфиденциальным данным.
  2. Средства и системы информатизации (системы и сети, а также информационно-вычислительные комплексы), программные средства (операционные системы, СУБД, а также другие разновидности прикладного и общесистемного программного обеспечения), системы связи и АСУ. То есть сюда относятся те средства и системы, которые обрабатывают только «закрытую» информацию. Подобные системы и средства считаются техническими средствами обработки, приема, передачи и сохранения данных.
  3. Технические средства и системы, которые не относятся к средствам информатизации, но размещаются в помещениях, где обрабатываются секретные данные. Данные технические средства и системы являются вспомогательными.

В зависимости от этого наиболее распространенными методами защиты информации являются:

  1. Препятствие. Это метод защиты информации, который подразумевает физическое ограничение пути к носителям защищаемой информации.
  2. Метод управления доступом. Он подразумевает защиту информационных ресурсов посредством контроля применения каждого из них. К данным методам можно отнести технические и программные средства, а также элементы баз данных.
  3. Маскировка. Это метод защиты информации, который подразумевает ее криптографическое закрытие. При передаче данных по длинным каналам этот метод считается единственно надежным.
  4. Регламентация. Данный метод подразумевает защиту информационных данных, при которой становится минимальной вероятность несанкционированного доступа.
  5. Принуждение. Это метод защиты информации, при котором персонал и пользователи системы обязательно должны соблюдать правила обращения со всеми защищенными сведениями – передача, обработка и использование данных. Если они не выполняют данные условия, то могут подвергаться административной или материальной ответственности.
  6. Побуждение. Сюда относятся такие методы защиты информации, при которых персонал и пользователя побуждают придерживаться установленного порядка, соблюдая этические и моральные нормы (написанные и регламентированные).

К методам защиты информации, которые ограничивают доступ, можно отнести:

  1. Идентификация ресурсов компьютерной сети, их пользователей и персонала (присвоение объектам персонального идентификатора).
  2. Метод опознания или подлинности объекта по тому идентификатору, который был указан при входе в систему.
  3. Контроль полномочий, который подразумевает анализ соответствия времени суток, дня, ресурсов и запрашиваемых процедур согласно установленному регламенту.
  4. Установление регламента для того, чтобы разрешить диапазон рабочего времени.
  5. Регистрация каждого обращения к тем ресурсам, что защищаются.
  6. Реакция ограничения в случае совершения попытки несанкционированного доступа (отказ в запросе или включение сигнализации).

Методы защиты информации очень разнообразны, но их однозначно необходимо использовать во всех сферах повседневной жизни.

Организационные методы защиты информации

В компетенцию службы безопасности обязательно должна входить разработка комплекса организационных средств защиты информации. Чаще всего компетентные специалисты применяют такие методы информационной защиты:

  1. Разрабатывают внутренние нормативные документы, в которых должны быть установлены правила работы с конфиденциальной информацией и компьютерной техникой.
  2. Проводят периодические проверки персонала и инструктаж касаемо сохранение конфиденциальных данных. Кроме этого должны инициировать подписание дополнительных соглашений к трудовому договору, в которых четко прописана ответственность работника за неправомерное использование или разглашение сведений, которые стали ему известные в процессе осуществления его профессиональной деятельности.
  3. Служба безопасности также должна разграничить зоны ответственности для исключения тех ситуаций, когда наиболее важная информация находится в доступе только одного сотрудника. Кроме вышеперечисленных методов защиты информации компетентные сотрудники должны организовать работу в общих программах документооборота и проследить, чтобы особо важные файлы не хранились вне сетевых дисков.
  4. Внедряют программные комплексы, которые защищают информацию от уничтожения или копирования любым пользователем системы, в том числе топ-менеджером компании.
  5. Составляют планы, которые могут восстановить систему в том случае, если она выйдет из строя.

Технические методы защиты информации

Основные технические методы защиты информации включают программные и аппаратные средства. К ним можно отнести:

  1. Обеспечение удаленного хранения и резервного копирования наиболее важных информационных данных на регулярной основе.
  2. Резервирование и дублирование всех подсистем, которые содержат важную информацию.
  3. Перераспределение ресурсов сети в том случае, если нарушена работоспособность ее отдельных элементов.
  4. Обеспечение возможности применять резервные системы электрического питания.
  5. Обеспечение безопасности информационных данных и надлежащей защиты в случае возникновения пожара или повреждения компьютерного оборудования водой.
  6. Установка такого программного обеспечения, которое сможет обеспечить надлежащую защиту информационных баз данных в случае несанкционированного доступа.

В комплекс технических мероприятий по защите информации входят также меры по обеспечению физической недоступности объектов компьютерных сетей. Например, оборудование помещений системой сигнализации или камерами видеонаблюдения.

Тема 10

Основы защиты информации

10.1. Защита информации как закономерность развития компьютерных систем

Защита информации – это применение различных средств и методов, использование мер и осуществление мероприятий для того, чтобы обеспечить систему надежности передаваемой, хранимой и обрабатываемой информации.

Защита информации включает в себя:

обеспечение физической целостности информации, исключение искажений или уничтожения элементов информации;

недопущение подмены элементов информации при сохранении ее целостности;

отказ в несанкционированном доступе к информации лицам или процессам, которые не имеют на это соответствующих полномочий;

приобретение уверенности в том, что передаваемые владельцем информационные ресурсы будут применяться только в соответствии с обговоренными сторонами условиями.

Процессы по нарушению надежности информации подразделяют на случайные и злоумышленные (преднамеренные). Источниками случайных разрушительных процессов являются непреднамеренные, ошибочные действия людей, технические сбои. Злоумышленные нарушения появляются в результате умышленных действий людей.

Проблема защиты информации в системах электронной обработки данных возникла практически одновременно с их созданием. Ее вызвали конкретные факты злоумышленных действий над информацией.

Важность проблемы по предоставлению надежности информации подтверждается затратами на защитные мероприятия. Для обеспечения надежной системы защиты необходимы значительные материальные и финансовые затраты. Перед построением системы защиты должна быть разработана оптимизационная модель, позволяющая достичь максимального результата при заданном или минимальном расходовании ресурсов. Расчет затрат, которые необходимы для предоставления требуемого уровня защищенности информации, следует начинать с выяснения нескольких фактов: полного перечня угроз информации, потенциальной опасности для информации каждой из угроз, размера затрат, необходимых для нейтрализации каждой из угроз.

Если в первые десятилетия активного использования ПК основную опасность представляли хакеры, подключившиеся к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушение надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.

Имеется достаточно много способов несанкционированного доступа к информации, в том числе:

копирование и подмена данных;

ввод ложных программ и сообщений в результате подключения к каналам связи;

чтение остатков информации на ее носителях;

прием сигналов электромагнитного излучения и волнового характера;

использование специальных программ.

Для борьбы со всеми этими способами несанкционированного доступа необходимо разрабатывать, создавать и внедрять многоступенчатую непрерывную и управляемую архитектуру безопасности информации. Защищать следует не только информацию конфиденциального содержания. На объект защиты обычно действует некоторая совокупность дестабилизирующих факторов. При этом вид и уровень воздействия одних факторов могут не зависеть от вида и уровня других.

Возможна ситуация, когда вид и уровень взаимодействия имеющихся факторов существенно зависят от влияния других, явно или скрыто усиливающих такие воздействия. В этом случае следует применять как независимые с точки зрения эффективности защиты средства, так и взаимозависимые. Для того чтобы обеспечить достаточно высокий уровень безопасности данных, надо найти компромисс между стоимостью защитных мероприятий, неудобствами при использовании мер защиты и важностью защищаемой информации. На основе детального анализа многочисленных взаимодействующих факторов можно найти разумное и эффективное решение о сбалансированности мер защиты от конкретных источников опасности.

10.2. Объекты и элементы защиты в компьютерных системах обработки данных

Объект защиты – это такой компонент системы, в котором находится защищаемая информация. Элементом защиты является совокупность данных, которая может содержать необходимые защите сведения.

При деятельности компьютерных систем могут возникать:

отказы и сбои аппаратуры;

системные и системотехнические ошибки;

программные ошибки;

ошибки человека при работе с компьютером.

Несанкционированный доступ к информации возможен во время технического обслуживания компьютеров в процессе прочтения информации на машинных и других носителях. Незаконное ознакомление с информацией разделяется на пассивное и активное. При пассивном ознакомлении с информацией не происходит нарушения информационных ресурсов и нарушитель может лишь раскрывать содержание сообщений. В случае активного несанкционированного ознакомления с информацией есть возможность выборочно изменить, уничтожить порядок сообщений, перенаправить сообщения, задержать и создать поддельные сообщения.

Для обеспечения безопасности проводятся разные мероприятия, которые объединены понятием «система защиты информации».

Система защиты информации – это совокупность организационных (административных) и технологических мер, программно-технических средств, правовых и морально-этических норм, которые применяются для предотвращения угрозы нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Организационно-административными средствами защиты называется регламентация доступа к информационным и вычислительным ресурсам, а также функциональным процессам систем обработки данных. Эти средства защиты применяются для затруднения или исключения возможности реализации угроз безопасности. Наиболее типичными организационно-административными средствами являются:

• допуск к обработке и передаче охраняемой информации только проверенных должностных лиц;

• хранение носителей информации, которые представляют определенную тайну, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;

• учет применения и уничтожения документов (носителей) с охраняемой информацией;

• разделение доступа к информационным и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.

Технические средства защиты применяются для создания некоторой физически замкнутой среды вокруг объекта и элементов защиты. При этом используются такие мероприятия, как:

• ограничение электромагнитного излучения через экранирование помещений, в которых осуществляется обработка информации;

• реализация электропитания оборудования, отрабатывающего ценную информацию, от автономного источника питания или общей электросети через специальные сетевые фильтры.

Программные средства и методы защиты являются более активными, чем другие применяемые для защиты информации в ПК и компьютерных сетях. Они реализуют такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и изучение протекающих процессов; предотвращение возможных разрушительных воздействий на ресурсы; криптографическая защита информации.

Под технологическими средствами защиты информации понимаются ряд мероприятий, органично встраиваемых в технологические процессы преобразования данных. В них также входят:

создание архивных копий носителей;

ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера;

автоматическая регистрация доступа пользователей к различным ресурсам;

выработка специальных инструкций по выполнению всех технологических процедур и др.

Правовые и морально-этические меры и средства защиты включают в себя действующие в стране законы, нормативные акты, регламентирующие правила, нормы поведения, соблюдение которых способствует защите информации.

10.3. Средства опознания и разграничения доступа к информации

Идентификацией называется присвоение тому или иному объекту или субъекту уникального имени или образа. Аутентификация – это установление подлинности объекта или субъекта, т. е. проверка, является ли объект (субъект) тем, за кого он себя выдает.

Конечная цель процедур идентификации и аутентификации объекта (субъекта) заключается в допуске его к информации ограниченного пользования в случае положительной проверки либо отказе в допуске при отрицательном результате проверки.

Объекты идентификации и аутентификации включают в себя: людей (пользователей, операторов); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки); магнитные носители информации; информацию на экране монитора.

К наиболее распространенным методам аутентификации относятся присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Паролем называется совокупность символов, которая определяет объект (субъект).

Пароль как средство обеспечения безопасности способен использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.

С учетом важности пароля как средства повышения безопас – ности информации от несанкционированного использования необходимо соблюдать следующие меры предосторожности:

1) не хранить пароли в вычислительной системе в незашифрованном месте;

2) не печатать и не отображать пароли в открытом виде на терминале пользователя;

3) не применять в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения, номер домашнего или служебного телефона, название улицы);

4) не применять реальные слова из энциклопедии или толкового словаря;

5) использовать длинные пароли;

6) применять смесь символов верхнего и нижнего регистров клавиатуры;

7) применять комбинации из двух простых слов, соединенных специальными символами (например, +,=,

Виды, методы и средства защиты информации.

Виды, методы и средства защиты информации.

Виды защиты информации

Под видом защиты информации понимается относительно обособленная обасть защиты информации включающая присущее в основном ей методы средства и мероприятия по обеспечению безопасности информации.

Существуют 5 видов защиты информации:

  1. Правовая
  2. Организационная
  3. Программно-аппаратная
  4. Инженерно-техническая
  5. Криптографическая.

Правовая защита информации

Правовая защита-это вид защиты, включающий совокупность установленных и охраняемых государством правил, регламентирующих защиту информации.

Правовая защита информации регламентирует решение следующих вопросов:

  1. Определяет состав сведений, которые могут быть отнесены к каждому виду тайны.
  2. Определяет категории сведений, которые не могут быть отнесены ни к одному из видов тайн.
  3. Устанавливает права и обязанности обладателей защищаемой информации и различных субъектов (юр. И физ. лиц) в области защиты информации.
  4. Устанавливает основные правила работы с защищаемой информацией.
  5. Устанавливает уголовную, административную и материальную ответственность за утрату и утечку информации в следствии которых наступили или могли наступить негативные последствия для обладателя информации.

Организационная защита информации

Это вид защиты, включающий совокупность орагнизационно-распорядитеьных документов, организационных методов и мероприятий, регламентирующих и обеспечивающих организацию, технологию контроль защиты информации.

Организационная защита информации является важнейшим видом защиты, это обусловлено тем, что она много функциональна и в отличии от других видов защиты в состоянии автономно обеспечивать отдельные направления защиты. В тоже время она сопровождает другие виды защиты информации, так как не один из них не может обеспечить защиту без необходимых организационных мероприятий.

Применительно к сферам деятельности можно выделить 5 областей применения организационной защиты:

Обеспечение выполнения установленных правовых норм защиты. Это направление осуществляется путем такой регламентации деятельности предприятия и его сотрудников, которая позволяет, обязывает или заставляет на нормативно правовой основе выполнять требования правовых норм защиты информации. С этой целью правовые нормы либо закладываются в нормативные документы предприятия, регулирующие организацию технологию и выполнение работ, взаимоотношения служащих, условия приема и увольнения сотрудников и т.п.. Либо трансформируются в специальных нормативных документах по защите информации.

Инженерно техническая защита информации

Это вид защиты включающий комплекс инженерно технических методов технических средств по их установки и эксплуатации, которые в совокупности обеспечивают инженерно-техническую защиту.

Сферой инженерно-технической защиты является защита от физического и технического не санкционированного доступа к информации, а так же техическая дезинформация противника.

Программно аппаратная защита информации

Это вид защиты, включающий специальные программы защиты (блоки программ) функционирующие автономно, либо реализованные в программных средствах обработки информации, или технических устройствах защиты информации.

Программнао аппаратная защита обеспечивает опознавание пользователя информации, разграничения доступа к ней и блокирование доступа к определенным элементам защищаемой информации. Программно аппаратная защита предназначена для защиты информационных технологий и технических средств обработки информации.

Методы защиты информации

Методы защиты информации это способы, приемы и действия, которые самостоятельно, или в совокупности со средствами защиты обеспечивают один или несколько видов защиты.

Методы защиты информации можно разделить на:

  1. универсальные, которые используются не в одном а в нескольких видах защиты.
  2. Локальные, имеющие отношения к одному виду защиты.

При этом локальные методы можно разделить на общие, которые имеют отношения к защите информации в целом и специфические, привязанные к отдельным объектам защиты, либо к каналам несанкционированного доступа информации.

Локальные методы защиты

Присущие определенному виду защиты и могут быть общими и специфическими

Правовые методыони являются общими и включают в себя:

  1. Принятие правовых актов, устанавливающих основные нормы защиты, что вписывается в универсальный метод регламентации.
  2. Привлечение к ответственности лиц, нарушающих правила защиты информации.
  3. Организационные методы, по сравнению с дугими являются самыми многочисленными и включают в себя общие и специфические. К общим относятся

· Разработка и внедрение технологий защиты всех категорий информации с учетом использования её при проведении различных мероприятий

· Фиксированный учет, изготовление, получения, обработки, движения и место нахождения носителей защищаемой информации.

· Подбор, проверка и обучение персонала, допускаемого к работе с защищаемой информации и воспитательно-профилактическая работа с ними.

· Распределение и регламентация обязанностей по защите информации, между лицами, допускаемыми к защищаемой информации.

· Установление персональной ответственности за сохранность носителей информации и разглашения содержащихся в них сведений.

· Материальные и моральные поощрения за обеспечение защиты информации.

· Установление контроля за открытой информацией, с целью не допущения включения в неё конфиденциальных сведений.

Специфические методы организационной защиты относятся к конкретным объектам защиты, то есть к конфиденциальным документам конфиденциальной продукции, допущенному к защищаемой информации персоналу. Эти методы связанны с технологией выполнения определенных работ в рамках объекта защиты и не могут быть оторваны от объекта, поэтому вычленить такие методы без относительно объекта защиты не возможно.

Криптографические методы включают в себя шифрование и кодирование информации. Под шифрованием понимается такое криптографическое сокрытие, при котором самостоятельному преобразованию подвергается каждый символ защищаемых данных, при этом шифрование может производиться следующими способами:

  1. Способом подстановки или замены, при котором символы шифруемого текста заменяются символами другого, взятого из одного или нескольких алфавитов.
  2. Способ перестановки, при котором символы шифруемого текста перестанавливаются по определенным правилам внутри шифруемого блока символов.
  3. Способ гаммирования. Суть которого состоит в том, что символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, которая называется гаммой, в качестве гаммы может быть использована любая последовательность случайных символов.
  4. Способом аналитического преобразования, при котором для преобразования используются методы алгебры.
  5. Комбинированным способом, при котором при шифровании используются два или более способов.

Кодированиеэто такое криптографическое закрытие, при котором защищаемые данные делятся на блоки, имеющие смысловое значение, и каждый такой блок заменяется кодом, то есть цифрами, буквами или буквенно-цифровыми сочетаниями. Кодирование информации может производится с помощью технических средств или в ручную.

Инженерно-технические методы состоят из общих и специфических, однако общие методы, в отличии от организационных относятся не только к защите информации в целом, но и привязаны к конкретным методам несанкционированного доступа информации. Общие методы обеспечивают защиту информации от несанкционированного, физического проникновения к ним, при этом методами защиты являются следующие:

  1. Устройство ограждений
  2. Телевизионных систем наблюдения
  3. Систем контроля доступа
  4. Технически защищенных хранилищ носителей информации и специальных транспортных средств для перевозки носителей.

То есть речь идет о таких мерах защиты, которые препятствуют несанкционированному доступу к информации. Эти меры вписываются в универсальный метод припятствия.

От визуальных наблюдений. Здесь методами защиты являются:

Выбор оптимального размещения средств изготовления, размножения и отображения информации с целью исключения прямого или дистанционного наблюдения, либо фотографирования.

Использование специальных стекол, занавесок, дроперовок, ставней, решеток, и других защитных материалов.

Защита от подслушивания Методами защиты являются:

Виды, методы и средства защиты информации.

Виды защиты информации

Под видом защиты информации понимается относительно обособленная обасть защиты информации включающая присущее в основном ей методы средства и мероприятия по обеспечению безопасности информации.

Существуют 5 видов защиты информации:

  1. Правовая
  2. Организационная
  3. Программно-аппаратная
  4. Инженерно-техническая
  5. Криптографическая.

Правовая защита информации

Правовая защита-это вид защиты, включающий совокупность установленных и охраняемых государством правил, регламентирующих защиту информации.

Правовая защита информации регламентирует решение следующих вопросов:

  1. Определяет состав сведений, которые могут быть отнесены к каждому виду тайны.
  2. Определяет категории сведений, которые не могут быть отнесены ни к одному из видов тайн.
  3. Устанавливает права и обязанности обладателей защищаемой информации и различных субъектов (юр. И физ. лиц) в области защиты информации.
  4. Устанавливает основные правила работы с защищаемой информацией.
  5. Устанавливает уголовную, административную и материальную ответственность за утрату и утечку информации в следствии которых наступили или могли наступить негативные последствия для обладателя информации.