МЕРЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ

МЕРЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Меры обеспечения безопасности ЭВМ и вычислительных систем подразделяются на:

  • 1. Законодательные (правовые), к которым относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений при ее обработке и использовании, а гак же устанавливающие ответственность за нарушения этих правил и препятствуя неправомерному использованию информации. Правовые меры защиты, являющиеся сдерживающим фактором для потенциальных нарушителей, носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом.
  • 2. Морально-этические меры защиты определяют нормы поведения, которые традиционно сложились или формируются при распространении информационных технологий с использованием ЭВМ в стране и обществе. Эти нормы не являются обязательными, как законодательно утвержденные нормативные акты, но их несоблюдение ведет к падению авторитета и престижа человека (пользователя, администратора сети и др.), группы лиц или организации. Эти нормы могут не иметь законодательной базы (признанные нормы честности, патриотизма и т. п.) и не используют свода (устава) правил (предписаний). Морально-этические меры носят профилактический характер и предусматривают создание здорового морального климата в коллективах подразделений.
  • 3. Организационные (административные) меры защиты, регламентирующие процессы функционирования систем обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также такой порядок взаимодействия пользователей с системой, который максимально затрудняет или исключает угрозы безопасности или потери в случае при их проявлении.

Главная цель административных мер управленческого уровня должна быть направлена на формирование политики обеспечения безопасности информации (защиты информации) и выделения необходимых ресурсов для контроля ее реализации.

На практике политику обеспечения безопасности информации (БИ) в подразделении (организации, корпорации) подразделяют на два уровня:

  • 1. Верхний, на котором руководством определяется:
    • - необходимость формирования или пересмотра комплексной программы обеспечения БИ и назначаются ответственные за ее реализацию;
    • - цели, задачи и направления деятельности в области БИ;
    • - правильность практической реализации программы БИ на уровне подразделения и организации в целом;
    • - уровень обеспечения нормативной (правовой) базы информационной безопасности и т. п.

На этом уровне уточняются необходимые ресурсы (материальные, кадровые) для достижения поставленных целей при разумном компромиссе приемлемого уровня безопасности и эффективного функционирования информационных систем.

  • 2. Нижний уровень регламентирует процедуры, цели, пути и особенности обеспечения безопасности информации включая:
    • - области применения политики БИ;
    • - роли и обязанности должностных лиц, ответственных за проведение политики БИ;
    • - нрава доступа к информации ограниченного распространения;
    • - определение лиц и условий доступа к информации, ее модификации и г. д.

Этот уровень должен:

  • - исключать произвольные, монопольные или несанкционированные действия по отношению конфиденциальных информационных ресурсов;
  • - определять коалиционные, иерархические принципы и методы разделения секретов и доступа к информации ограниченного распространения;
  • - обосновывать и выбирать программно-математические и технические (программные) средства авторизации, идентификации и другие защитные механизмы обеспечения гарантии реализации прав и ответственности субъектов информационных отношений.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >