Классификация мер по защите информации

В настоящее время виды компьютерных преступлений чрезвычайно многообразны. Все меры противодействия компьютерным преступлениям можно под­разделить на:

· Нормативно-правовые

· Морально-этические

· Организационные

· Технические.

Нормативно-правовые - включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные от­ношения в обществе. К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав про­граммистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы обще­ственного контроля за разработчиками компьютерных систем и принятие со­ответствующих международных договоров об их ограничениях, если они вли­яют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение. Только в последние годы появились работы по проблемам правовой борьбы с компьютерными преступлениями.

Морально-этические - правила и нормы поведения, направленные на обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения.

Организационные - правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих, казалось бы триви­альных правил, установка любых, даже самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не ре­шены на должном уровне организационные вопросы. Меры обеспечения сохранности и защиты информации на каждом пред­приятии или фирме различаются по своим масштабам и формам. Они зависят от производственных, финансовых и других возможностей фирмы. Наличие большого количества уязвимых мест на любом современном пред­приятии или фирме, широкий спектр угроз и довольно высокая техническая оснащенность злоумышленников требует обоснованного выбора специальных решений по защите информации. Основой таких решений можно считать:

· Применение научных принципов в обеспечении информацион­ной безопасности, включающих в себя: законность, экономичес­кую целесообразность и прибыльность, самостоятельность и ответственность, научную организацию труда, тесную связь тео­рии с практикой, специализацию и профессионализм, программ­но-целевое планирование, взаимодействие и координацию, до­ступность в сочетании с необходимой конфиденциальностью

· Принятие правовых обязательств со стороны сотрудников пред­приятия в отношении сохранности доверенных им сведений (ин­формации)

· Создание таких административных условий, при которых исключается возможность кражи, хищения или искажения информа­ции

Для надежной защиты конфиденциальной информации целесообразно при­менять следующие организационные мероприятия:

· Определение уровней (категорий) конфиденциальности защи­щаемой информации

· Выбор принципов (локальный, объектовый или смешанный) ме­тодов и средств защиты

· Установление порядка обработки защищаемой информации

· Учет пространственных факторов: введение контролируемых (охраняемых) зон правильный выбор помещений и расположение объектов меж­ду собой и относительно границ контролируемой зоны

· Учет временных факторов: ограничение времени обработки защищаемой информации доведение времени обработки информации с высоким уровнем конфиденциальности до узкого круга лиц

Технические средства - комплексы специального технического и про­граммного обеспечения, предназначенные для предотвращения утечки об­рабатываемой или хранящейся у вас информации путем исключения не­санкционированного доступа к ней с помощью технических средств съема. Технические методы защиты информации подразделяются на аппарат­ные, программные и аппаратно-программные.

Для блокирования возможных каналов утечки информации через тех­нические средства обеспечения производственной и трудовой деятельнос­ти с помощью специальных технических средств и создания системы защи­ты объекта по ним необходимо осуществить ряд мероприятий:

· специфические особенности расположения зданий, помещений в зданиях, территорию вокруг них и подве­денные коммуникации

· Выделить те помещения, внутри которых циркулирует конфиден­циальная информация и учесть используемые в них техничес­кие средства

Осуществить такие технические мероприятия:

· проверить используемую технику на соответствие величины побочных излучений допустимым уровням экранировать помещения с техникой или эту технику в поме­щениях

· перемонтировать отдельные цепи, линии, кабели использовать специальные устройства и средства пассивной и активной защиты.

Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудно­стью в ее создании является то, что она одновременно должна удовлетво­рять двум группам прямо противоположных требований:

· Обеспечивать надежную защиту информации

· Не создавать заметных неудобств сотрудникам и особенно кли­ентам.

Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглаше­ния информации, циркулирующей в определенном носителе.