Уровни защиты информации: понятие, основные принципы, анализ рисков и их устранение

Для начала определимся с тем, что такое информация и в чем заключается понятие - уровни защиты информации? Информация определяется как отражение вещественного (материального) мира в системах или в субъекте в виде сигналов и знаков. Она существует в разных видах: как документ, рисунок или текст. А также в других видах: сигналы звука и света, энергетические и другие импульсы и т. п. Знания об окружающей среде, сообщения о "мире", которые воспринимает человек, также смело можем отнести к области информации.

Защиту информации или информационную безопасность (ИБ) можем представить как совокупность мер и технических средств, направленных на недопущение ложных искажений, уничтожения и незаконного использования информации, что может нанести ущерб пользователю. Важнейшая цель информационной безопасности - это предоставление безопасности системе в целом, ее защита и гарантия точности. Если она модифицируется или разрушается, то эти разрушения надо минимизировать.

Основные принципы

Всесторонняя защита информации - это и веление времени, и важнейшее направление развития интеллектуальных систем. Она должна строиться на комплексном подходе. Это означает, что все средства защиты информации должны быть взяты в едином комплексе взаимодействий.

Первым признаком системной защиты информации (СЗИ) от случайных или целенаправленных угроз является принцип "разумной достаточности". Так как 100% защиты нигде не существует, поэтому надо стремиться к минимально необходимому уровню защиты от случайных внешних угроз. Принцип целостности информации выражается в сохранности содержания и структуры ее. Создавать и изменять данные может только пользователь. Конфиденциальность указывает на ограничение доступа внешним лицам к фактической информации. Принцип доступности - это возможность получить требуемую информацию за определенное время. Принцип достоверности выражается в том, что информация действительна принадлежит субъекту, от которого она получена.

Меры защиты информации. Политика безопасности

Чтобы защищать интересы субъектов, которые объединены информационно, надо выделить и согласовать следующие уровни защиты:

  1. Законодательный уровень защиты информации, включающий разработку законов и документов, способствующих соблюдению правил безопасности.

  2. Административный уровень ИБ (сюда включают приказы и эффективные действия руководства организаций по защите информационных систем).

  3. Процедурный уровень системной защиты информации, т. е. меры безопасности, ориентированные исключительно на людей.

  4. Программно-технический уровень защиты информации (ЗИ), обеспечивающий контроль над информационными системами. Контроль реализуется аппаратными и программными средствами.

Основой системно-объектного подхода для защиты информации является политика безопасности. Она строится на анализе рисков, присущих системе организации. Если риски и стратегия обозначены, то составляется программа защиты и методы исполнения в области ИБ.

Формальные особенности защиты

Особенности исследования проблем в этой области проявляются в том, что уровни защиты информации можем представить как в виде средств ЗИ, так и в виде дополнительных уровней защиты. В данной статье рассматривается первое. Упомянутые уровни средств защиты информации можно разделить на нормативные и технические методы. К нормативным средствам относятся морально-этические факторы и административные средства. Технические разделяются на физические, аппаратные, программные и криптографические методы.

Безопасность уровней

Уровни обеспечения защиты информации принято делить на:

  • Нормативно-правовое обеспечение (документы и положения, являющиеся обязательными в сфере ЗИ).
  • Организационное обеспечение - охрана ИБ осуществляется службой безопасности организаций.
  • Техническое обеспечение - использование технических средств для защиты информации.

Стратегические уровни системы защиты информации формулируются так:

  1. Предоставление защиты личности, обществу и государству.

  2. Разработка программ и реализация проблем управления государством.

  3. Установка преград и запретов от нежелательного доступа в сферу информационных систем.

Виды уровней. Программный метод

Подытожим, что программный уровень защиты информации образует основной и важный рубеж в политике актуальной информационной безопасности. Только программно-технические меры способны противостоять невежественности при использовании информационных средств легальными пользователями. Программный аспект защиты информации явно предполагает такие меры безопасности, как:

  1. Узнавание и проверка подлинности (аутентификация) всех активных в плане образования пользователей.

  2. Применение межсетевого экранирования для защиты информационных каналов сети от внешних угроз.

  3. Управление доступом к информации на уровне пользователя и защита от вторжений в информационную сеть.

  4. Криптографические средства защиты.

  5. Протоколирование и аудит защиты фактической информации.

  6. Защита от вирусов с помощью антивирусных пакетов.

Настоящая классификация уровней защиты информации делится по способам реализации на аппаратные и программные методы; по способам защиты (приемы, способствующие функциям защиты данных); по этапам установки и выполнения программ, которые осуществляются средствами BIOS.

Она осуществляется аппаратными устройствами, которые схематически встраиваются в операционные системы другими вспомогательными прикладными программами различного назначения.

Реализация главных уровней

Проанализировав основные уровни защиты информации, можем акцентировать внимание на том, что задачи информационной защиты подразделяются на такие контрольные виды, как:

  1. Регламентируемая законом защита государственной тайны (секретной и иной документальной информации) от всех видов разрушения и подмены, доступа к ней.
  2. Законом разрешаемая защита прав человека (гражданина) на декларируемую информационную собственность. А также на распоряжение и управление конфиденциальной информацией.
  3. Законом предусмотренная защита прав предпринимателя при проведении торговой и иной деятельности.
  4. Законом согласительная защита технологических и программных мер информатизации от злонамеренных воздействий.
  5. Законом уведомительная защита основных конституционных прав на тайну эксклюзивной переписки, на товарищеские переговоры и личную тайну.

Аспекты определения уровней

Как фактор понимания и результат осуществления мер безопасности отметим, что уровни защиты информации принято определять в таких аспектах, как:

  • Системность, что предусматривает учет всех основных элементов, условий и рисков, влияющих на рентабельность системы.
  • Комплексность, что требует согласованного применения разных средств для перекрытия канала внешних угроз и уничтожения слабых мест в архитектуре системы.
  • Непрерывность, что предполагает принятие функциональных мер на всех позициях жизненного цикла защищаемой системы.
  • Открытость, что реализует эффективность классов алгоритмов и механизмов персональной защиты (но пароли и ключи вписываются секретно). Исходный код для всех версий программ может быть представлен и в открытом виде.
  • Гибкость управления и применения, что является неоспоримым преимуществом для активного пользователя.
  • Простота применения защитных криптознаков таким образом, что легальный пользователь может и не иметь специализированных знаний.

Заключение

Нужно понимать, что никакие формальные решения не смогут обеспечить полную безопасность в сферах информационных систем. Но в целом риски внешних угроз можно существенно уменьшить. Определение границ безопасности - это главное условие ЗИ. Поддержание системы в работоспособном состоянии - это еще одно условие защиты.

Мы надеемся, что данная статья оказалась информативной для наших читателей.

Комментарии
Хорошая статья. OK ..