Обеспечение безопасности АСОИ

По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяют на:

- правовые (законодательные);

- морально-этические;

- административные;

- физические;

- аппаратно-программные.

К правовым мерам защиты информации относятся действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственности за их нарушения. Этим они препятствуют несанкционированному использованию информации и являются сдерживающим фактором для потенциальных нарушителей.

Второй рубеж защиты образуют морально-этические меры. Этический момент в соблюдении требований защиты имеет весьма большое значение. Очень важно, чтобы люди, имеющие доступ к компьютерам, работали в здоровом морально-этическом климате.

К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения компьютеров в стране. Эти нормы большей частью не являются обязательными, как законодательно утвержденные, но их несоблюдение обычно ведет к падению престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаными (например, общепризнанные нормы честности, патриотизма и т.д.), так и оформленными в некий свод правил или предписаний. Например, «Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США» рассматривает как неэтичные действия, которые умышленно или неумышленно:

- нарушают нормальную работу компьютерных систем;

- вызывают неоправданные затраты ресурсов (машинного времени, памяти, каналов связи и т.п.);

- нарушают целостность информации (хранимой и обрабатываемой);

- нарушают интересы других законных пользователей и т.п.

Третьим рубежом, препятствующим неправомочному использованию информации, являются административные меры. Администраторы всех рангов с учетом правовых норм и социальных аспектов определяют административные меры защиты информации.

Административные меры защиты относятся к мерам организационного характера. Они регламентируют:

- процессы функционирования АСОИ;

- использование ресурсов АСОИ;

- деятельность ее персонала;

- порядок взаимодействия пользователей с системой, с тем чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Административные меры включают:

- разработку правил обработки информации в АСОИ;

-совокупность действий при проектировании и оборудовании вычислительных центров и других объектов АСОИ (учет влияния стихии, пожаров, охрана помещений и т.д.)

- совокупность действий при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки; создание условий, при которых персоналу было бы невыгодно допускать злоупотребления и т.д.);

- организацию надёжного пропускного режима;

- организация учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;

- распределение реквизитов разграничения доступа (паролей, полномочий и т.д.);

- организацию скрытого контроля за работой пользователей и персонала АСОИ;

- совокупность действий при проектировании, разработке, ремонте и модификации оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка на удовлетворение требованиям защиты, документальная фиксация изменений и т.д.).

Четвертым рубежом являются физические меры защиты. К физическим мерам защиты относятся разного рода механические, электро- и электромеханические устройства или сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации.

Пятым рубежом являются аппаратно-программные средства защиты. К ним относятся различные электронные устройства и специальные программы, которые реализуют самостоятельные или в комплексе с другими средствами следующие способы защиты:

- идентификацию (распознавание) и аутентификацию (проверка подлинности) субъектов (пользователей, процессов) АСОИ;

- разграничение доступа к ресурсам АСОИ;

- контроль целостности данных;

- обеспечение конфиденциальности данных;

- регистрацию и анализ событий, происходящих в АСОИ;

- резервирование ресурсов и компонентов АСОИ.