Введення
Заходи щодо захисту інформації від НСД є складовою частиною управлінської, наукової, виробничої (комерційної) діяльності підприємства (установи, фірми і т.д.), незалежно від їх відомчої належності та форми власності, і здійснюються в комплексі з іншими заходами щодо забезпечення встановленого режиму конфіденційності. Практика організації захисту інформації від НСД при її обробці та зберіганні в АС повинна враховувати наступні принципи і правила забезпечення безпеки інформації:
. Відповідність рівня безпеки інформації правовим нормам, і нормативним вимогам з охорони відомостей, які підлягають захисту за чинним законодавством, в т.ч. вибір класу захищеності АС відповідно до особливостей обробки інформації (технологія обробки, конкретні умови експлуатації АС) і рівнем її конфіденційності.
. Виявлення конфіденційної інформації та документальне оформлення у вигляді переліку відомостей, які підлягають захисту, його своєчасне коректування.
. Найбільш важливі рішення із захисту інформації повинні прийматися керівництвом підприємства (організації, фірми), власником АС.
. Визначення порядку установки рівнів повноважень доступу суб'єктів, а також кола осіб, яким це право надано.
. Встановлення та оформлення правил розмежування доступу, тобто сукупності правил, що регламентують права доступу суб'єктів доступу до об'єктів доступу.
. Встановлення особистої відповідальності користувачів за підтримання рівня захищеності АС при обробці відомостей, які підлягають захисту за чинним законодавством.
. Забезпечення фізичної охорони об'єкта, на якому розташована захищається АС (територія, будівлі, приміщення, сховища інформаційних носіїв), шляхом встановлення відповідних постів, технічних засобів охорони або будь-якими іншими способами, що запобігають або суттєво утруднюють розкрадання засобів обчислювальної техніки, інформаційних носіїв, а також НСД до СВТ і лініях зв'язку.
. Організація служби безпеки інформації (відповідальні особи, адміністратор АС), що здійснює облік, зберігання і видачу інформаційних носіїв, паролів, ключів, ведення службової інформації СЗІ НСД (генерацію паролів, ключів, супровід правил розмежування доступу), приймання включаються в АС нових програмних засобів, а також контроль за ходом технологічного процесу обробки конфіденційної інформації і т.д.
. Планомірний і оперативний контроль рівня безпеки інформації, що захищається, перевірка захисних функцій засобів захисту інформації. Засоби захисту інформації повинні мати сертифікат, що засвідчує їх відповідність вимогам з безпеки інформації.
Засоби захисту інформації - це сукупність інженерно-технічних, електричних, електронних, оптичних та інших пристроїв і пристосувань, приладів і технічних систем, а також інших речових елементів, використовуваних для вирішення різних завдань із захисту інформації, у тому числі попередження витоку і забезпечення безпеки захищається.
У цілому засоби забезпечення захисту інформації в частині запобігання навмисних дій залежно від способу реалізації можна розділити на групи: технічні (апаратні), програмні, змішані апаратно - програмні, організаційні.
Технічні (апаратні) засоби - це різні за типом пристрою (механічні, електромеханічні, електронні та інші), які апаратними засобами вирішують завдання захисту інформації. Вони перешкоджають фізичній проникненню, або, якщо проникнення все ж таки відбулося, перешкоджають доступу до інформації, у тому числі за допомогою її маскування. Першу частину завдання вирішують замки, грати на вікнах, захисна сигналізація та ін. Другу - генератори шуму, мережеві фільтри, скануючі
радіоприймачі і безліч інших пристроїв, «перекривають» потенційні канали витоку інформації або дозволяють їх виявити. Переваги технічних засобів пов'язані з їх надійністю, незалежністю від суб'єктивних чинників, високою стійкістю до модифікації.
До апаратних засобів захисту відносяться різні електронні, електронно-механічні, електронно-оптичні пристрої. До теперішнього
розроблено значну кількість апаратних засобів різного призначення, однак найбільше поширення одержали наступні:
спеціальні регістри для зберігання реквізитів захисту: паролі, що ідентифікують коди, грифи або рівні секретності;
пристрої вимірювання індивідуальних характеристик людини (голоси, відбитків) з метою його ідентифікації;
схеми переривання передачі інформації в лінії зв'язку з метою періодичної перевірки адреси видачі даних.
пристрої для шифрування інформації (криптограф...