Главная » Разное

Охарактеризуйте способы защиты информации информатика

Содержание
  1. Тема 10
  2. 10.1. Защита информации как закономерность развития компьютерных систем
  3. 10.2. Объекты и элементы защиты в компьютерных системах обработки данных
  4. 10.3. Средства опознания и разграничения доступа к информации
  5. Основные методы обеспечения информационной безопасности
  6. Что такое методы защиты информации?
  7. Какие существуют методы обеспечения информационной безопасности
  8. Технические
  9. Административные
  10. Правовые
  11. Физические
  12. Стройте комплексную защиту
  13. Политика безопасности
  14. Способы защиты информации
  15. Способы неправомерного доступа к информации
  16. Методы защиты
  17. Организационные средства защиты информации
  18. Технические средства защиты информации
  19. Аутентификация и идентификация
  20. ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Тема 10

Основы защиты информации

10.1. Защита информации как закономерность развития компьютерных систем

Защита информации – это применение различных средств и методов, использование мер и осуществление мероприятий для того, чтобы обеспечить систему надежности передаваемой, хранимой и обрабатываемой информации.

Защита информации включает в себя:

обеспечение физической целостности информации, исключение искажений или уничтожения элементов информации;

недопущение подмены элементов информации при сохранении ее целостности;

отказ в несанкционированном доступе к информации лицам или процессам, которые не имеют на это соответствующих полномочий;

приобретение уверенности в том, что передаваемые владельцем информационные ресурсы будут применяться только в соответствии с обговоренными сторонами условиями.

Процессы по нарушению надежности информации подразделяют на случайные и злоумышленные (преднамеренные). Источниками случайных разрушительных процессов являются непреднамеренные, ошибочные действия людей, технические сбои. Злоумышленные нарушения появляются в результате умышленных действий людей.

Проблема защиты информации в системах электронной обработки данных возникла практически одновременно с их созданием. Ее вызвали конкретные факты злоумышленных действий над информацией.

Важность проблемы по предоставлению надежности информации подтверждается затратами на защитные мероприятия. Для обеспечения надежной системы защиты необходимы значительные материальные и финансовые затраты. Перед построением системы защиты должна быть разработана оптимизационная модель, позволяющая достичь максимального результата при заданном или минимальном расходовании ресурсов. Расчет затрат, которые необходимы для предоставления требуемого уровня защищенности информации, следует начинать с выяснения нескольких фактов: полного перечня угроз информации, потенциальной опасности для информации каждой из угроз, размера затрат, необходимых для нейтрализации каждой из угроз.

Если в первые десятилетия активного использования ПК основную опасность представляли хакеры, подключившиеся к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушение надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.

Имеется достаточно много способов несанкционированного доступа к информации, в том числе:

копирование и подмена данных;

ввод ложных программ и сообщений в результате подключения к каналам связи;

чтение остатков информации на ее носителях;

прием сигналов электромагнитного излучения и волнового характера;

использование специальных программ.

Для борьбы со всеми этими способами несанкционированного доступа необходимо разрабатывать, создавать и внедрять многоступенчатую непрерывную и управляемую архитектуру безопасности информации. Защищать следует не только информацию конфиденциального содержания. На объект защиты обычно действует некоторая совокупность дестабилизирующих факторов. При этом вид и уровень воздействия одних факторов могут не зависеть от вида и уровня других.

Возможна ситуация, когда вид и уровень взаимодействия имеющихся факторов существенно зависят от влияния других, явно или скрыто усиливающих такие воздействия. В этом случае следует применять как независимые с точки зрения эффективности защиты средства, так и взаимозависимые. Для того чтобы обеспечить достаточно высокий уровень безопасности данных, надо найти компромисс между стоимостью защитных мероприятий, неудобствами при использовании мер защиты и важностью защищаемой информации. На основе детального анализа многочисленных взаимодействующих факторов можно найти разумное и эффективное решение о сбалансированности мер защиты от конкретных источников опасности.

10.2. Объекты и элементы защиты в компьютерных системах обработки данных

Объект защиты – это такой компонент системы, в котором находится защищаемая информация. Элементом защиты является совокупность данных, которая может содержать необходимые защите сведения.

При деятельности компьютерных систем могут возникать:

отказы и сбои аппаратуры;

системные и системотехнические ошибки;

ошибки человека при работе с компьютером.

Несанкционированный доступ к информации возможен во время технического обслуживания компьютеров в процессе прочтения информации на машинных и других носителях. Незаконное ознакомление с информацией разделяется на пассивное и активное. При пассивном ознакомлении с информацией не происходит нарушения информационных ресурсов и нарушитель может лишь раскрывать содержание сообщений. В случае активного несанкционированного ознакомления с информацией есть возможность выборочно изменить, уничтожить порядок сообщений, перенаправить сообщения, задержать и создать поддельные сообщения.

Читайте также:  Способы создания контрактной службы

Для обеспечения безопасности проводятся разные мероприятия, которые объединены понятием «система защиты информации».

Система защиты информации – это совокупность организационных (административных) и технологических мер, программно-технических средств, правовых и морально-этических норм, которые применяются для предотвращения угрозы нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Организационно-административными средствами защиты называется регламентация доступа к информационным и вычислительным ресурсам, а также функциональным процессам систем обработки данных. Эти средства защиты применяются для затруднения или исключения возможности реализации угроз безопасности. Наиболее типичными организационно-административными средствами являются:

• допуск к обработке и передаче охраняемой информации только проверенных должностных лиц;

• хранение носителей информации, которые представляют определенную тайну, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;

• учет применения и уничтожения документов (носителей) с охраняемой информацией;

• разделение доступа к информационным и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.

Технические средства защиты применяются для создания некоторой физически замкнутой среды вокруг объекта и элементов защиты. При этом используются такие мероприятия, как:

• ограничение электромагнитного излучения через экранирование помещений, в которых осуществляется обработка информации;

• реализация электропитания оборудования, отрабатывающего ценную информацию, от автономного источника питания или общей электросети через специальные сетевые фильтры.

Программные средства и методы защиты являются более активными, чем другие применяемые для защиты информации в ПК и компьютерных сетях. Они реализуют такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и изучение протекающих процессов; предотвращение возможных разрушительных воздействий на ресурсы; криптографическая защита информации.

Под технологическими средствами защиты информации понимаются ряд мероприятий, органично встраиваемых в технологические процессы преобразования данных. В них также входят:

создание архивных копий носителей;

ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера;

автоматическая регистрация доступа пользователей к различным ресурсам;

выработка специальных инструкций по выполнению всех технологических процедур и др.

Правовые и морально-этические меры и средства защиты включают в себя действующие в стране законы, нормативные акты, регламентирующие правила, нормы поведения, соблюдение которых способствует защите информации.

10.3. Средства опознания и разграничения доступа к информации

Идентификацией называется присвоение тому или иному объекту или субъекту уникального имени или образа. Аутентификация – это установление подлинности объекта или субъекта, т. е. проверка, является ли объект (субъект) тем, за кого он себя выдает.

Конечная цель процедур идентификации и аутентификации объекта (субъекта) заключается в допуске его к информации ограниченного пользования в случае положительной проверки либо отказе в допуске при отрицательном результате проверки.

Объекты идентификации и аутентификации включают в себя: людей (пользователей, операторов); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки); магнитные носители информации; информацию на экране монитора.

К наиболее распространенным методам аутентификации относятся присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Паролем называется совокупность символов, которая определяет объект (субъект).

Пароль как средство обеспечения безопасности способен использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.

С учетом важности пароля как средства повышения безопас – ности информации от несанкционированного использования необходимо соблюдать следующие меры предосторожности:

1) не хранить пароли в вычислительной системе в незашифрованном месте;

2) не печатать и не отображать пароли в открытом виде на терминале пользователя;

3) не применять в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения, номер домашнего или служебного телефона, название улицы);

Читайте также:  Способ осуществления социального контроля

4) не применять реальные слова из энциклопедии или толкового словаря;

5) использовать длинные пароли;

6) применять смесь символов верхнего и нижнего регистров клавиатуры;

7) применять комбинации из двух простых слов, соединенных специальными символами (например, +,=,

Источник

Основные методы обеспечения информационной безопасности

Чтобы обеспечить целостность, доступность и конфиденциальность информации, необходимо защитить ее от несанкционированного доступа, разрушения, незаконного копирования и разглашения. Обеспечение информационной безопасности — это комплекс организационных и технических мер, направленных на защиту данных.

Что такое методы защиты информации?

К методам защиты информации относят средства, меры и практики, которые должны защищать информационное пространство от угроз — случайных и злонамеренных, внешних и внутренних.

Цель деятельности по обеспечению информационной безопасности — защитить данные, а также спрогнозировать, предотвратить и смягчить последствия любых вредоносных воздействий, которые могут нанести ущерб информации (удаление, искажение, копирование, передача третьим лицам и т. д.).

Какие существуют методы обеспечения информационной безопасности

Методы обеспечения инфобезопасности делятся на технические, административные, правовые и физические . Расскажем подробнее о каждом из них.

Технические

К техническим средствам защиты относятся межсетевые экраны, антивирусные программы, системы аутентификации и шифрования, регламентирование доступа к объектам (каждому участнику открывается персональный набор прав и привилегий, согласно которым они могут работать с информацией — знакомиться с ней, изменять, удалять).

Административные

К этой группе защитных мер относят, например, запрет на использование сотрудниками собственных ноутбуков для решения рабочих задач. Простая мера, но благодаря ей снижается частота заражения корпоративных файлов вирусами, сокращаются случаи утечки конфиденциальных данных.

Правовые

Пример хорошей превентивной меры из сферы законодательства — ужесточение наказаний за преступления в области информационной безопасности. Также к правовым методам относится лицензирование деятельности в области обеспечения инфобезопасности и аттестация объектов информатизации.

Физические

К физическим средствам защиты относятся охранные системы, замки, сейфы, камеры наблюдения. Достаточно сравнить, какая информация защищена лучше — та, которая записана на жестком диске компьютера, работающего в сети или та, что записана на съемный носитель, запертый в сейфе.

Стройте комплексную защиту

Чтобы поддерживать информационную безопасность на высоком уровне, необходим комплексный подход. В большинстве случаев недостаточно просто установить на рабочие компьютеры антивирусы, а на входе предприятия поставить камеру видеонаблюдения. Для эффективной защиты нужно комбинировать и применять различные средства защиты (административные, технические, правовые, физические).

Стоит отдельно сказать о резервном копировании. Благодаря ему можно быстро восстановить исходные данные, если они были утеряны или искажены в результате кибератаки или ошибки сотрудника. Резервное копирование — простой и универсальный инструмент, повышающий стабильность любой системы.

Обычно резервные копии записывают на съемные носители (которые хранят отдельно и под замком) или сохраняют в облаке, либо совмещают оба способа. В качестве дополнительной меры защиты часто применяется шифрование.

Политика безопасности

Основные принципы политики информационной безопасности:

  1. Предоставлять каждому сотруднику минимально необходимый уровень доступа к данным — ровно столько, сколько ему нужно для выполнения должностных обязанностей. Этот принцип позволяет избежать многих проблем, таких как утечка конфиденциальных данных, удаление или искажение информации из-за нарушений в работе с ней и т. д.
  2. Многоуровневый подход к обеспечению безопасности. Разделение сотрудников по секторам и отделам, закрытые помещения с доступом по ключу, видеонаблюдение, регламент передачи сведений, многократное резервирование данных — чем больше уровней защиты, тем эффективнее деятельность по обеспечению информационной безопасности.
    Важная роль в такой защитной системе отводится межсетевым экранам. Это «контрольно-пропускные пункты» для трафика, которые будут еще на входе отсеивать многие потенциальные угрозы и позволят установить правила доступа к ресурсам, которыми пользуются сотрудники.
  3. Соблюдение баланса между потенциальным ущербом от угрозы и затратами на ее предотвращение. Определяя политику безопасности на предприятии, надо взвешивать потери от нарушения защиты информации и затраты на ее защиту.

Источник

Способы защиты информации

ИБ-аутсорсинг
на базе DLP-системы

Д анные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы защиты информации включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.

Читайте также:  Обработка рук способом протирания

Способы неправомерного доступа к информации

Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.

Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.

Методы защиты

На практике используют несколько групп методов защиты, в том числе:

  • препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
  • управление, или оказание воздействия на элементы защищаемой системы;
  • маскировка, или преобразование данных, обычно – криптографическими способами;
  • регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
  • принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
  • побуждение, или создание условий, которые мотивируют пользователей к должному поведению.

Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.

Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы.

Организационные средства защиты информации

Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.

Чаще всего специалисты по безопасности:

  • разрабатывают внутреннюю документацию, которая устанавливает правила работы с компьютерной техникой и конфиденциальной информацией;
  • проводят инструктаж и периодические проверки персонала; инициируют подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе;
  • разграничивают зоны ответственности, чтобы исключить ситуации, когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников; организуют работу в общих программах документооборота и следят, чтобы критически важные файлы не хранились вне сетевых дисков;
  • внедряют программные продукты, которые защищают данные от копирования или уничтожения любым пользователем, в том числе топ-менеджментом организации;
  • составляют планы восстановления системы на случай выхода из строя по любым причинам.

Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.

Что такое ИБ-аутсорсинг и как он работает? Читать.

Технические средства защиты информации

Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:

  • резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе – на регулярной основе;
  • дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;
  • создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;
  • обеспечение возможности использовать резервные системы электропитания;
  • обеспечение безопасности от пожара или повреждения оборудования водой;
  • установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа.

В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.