Введення
Кожен інформаційний ресурс, будь то комп'ютер користувача, сервер організації або мережеве обладнання, повинен бути захищений від усіляких загроз. Захищені повинні бути файлові системи, мережу і т.д. Способи реалізації захисту ми в цій статті розглядати не будемо зважаючи на їх величезного розмаїття.
Однак слід розуміти, що забезпечити стовідсотковий захист неможливо. Разом з тим потрібно пам'ятати: чим вище рівень захищеності, тим дорожче система, тим більш незручною у використанні вона виходить для користувача, що відповідно веде до погіршення захисту від людського фактора. Як приклад згадаємо, що надмірне ускладнення пароля веде до того, що користувач змушений записувати його на папірець, яку приклеює до монітора, клавіатурі і ін.
Існує широкий спектр програмного забезпечення, спрямованого на вирішення завдань захисту інформації. Це антивірусні програми, брандмауери, вбудовані засоби операційних систем і багато іншого. Проте варто пам'ятати, що найбільш уразливим ланкою в захисті завжди залишається людина! Адже працездатність будь-якого програмного забезпечення залежить від якості його написання і грамотності адміністратора, який налаштовує той чи інший засіб захисту.
Багато організації у зв'язку з цим створюють служби (відділи) захисту інформації або ставлять відповідні завдання перед своїми ІТ-відділами. Разом з тим потрібно розуміти, що не можна звалювати на службу ІТ невластиві їй функції. Про це не раз вже говорилося і писалося. Отже, припустимо, у вашій організації створено відділ інформаційної безпеки. Що робити далі? З чого почати?
Починати потрібно з навчання співробітників! І надалі зробити цей процес регулярним. Навчання персоналу основам захисту інформації має стати постійною завданням відділу захисту інформації. І робити це потрібно не рідше двох разів на рік.
1. Класифікація інформації
Історично склалося так, що як тільки піднімається питання про класифікацію інформації (в першу чергу це відноситься до інформації, що належить державі), її відразу ж починають класифікувати за рівнем секретності (конфіденційності). Про вимоги щодо забезпечення доступності, цілісності, наблюдаемості якщо й згадують, то побіжно, в ряду загальних вимог до систем обробки інформації.
Якщо такий погляд ще можна якось виправдати необхідністю забезпечення державної таємниці, то перенесення його в іншу предметну область виглядає просто безглуздо. Наприклад, згідно з вимогами українського законодавства, власник інформації сам визначає рівень її конфіденційності (у разі, якщо ця інформація не належить державі).
У багатьох областях частка конфіденційної інформації порівняно мала. Для відкритої інформації, збиток від розголошення якої невеликий, найважливішими можуть бути такі властивості, як доступність, цілісність або захищеність від неправомірного копіювання. Розглянемо як приклад веб-сайт інтернет-видання. На першому місці буде стояти, на мій погляд, доступність і цілісність інформації, а не її конфіденційність. Оцінювати і класифікувати інформацію тільки з позиції і секретності щонайменше непродуктивно.
І пояснити це можна тільки вузькістю традиційного підходу до захисту інформації, відсутністю досвіду в плані забезпечення доступності, цілісності і наблюдаемості інформації, яка не є секретною (конфіденційною).
1.1 Схема класифікації інформації за значимістю
ІНФОРМАЦІЯ. Особливої ??важливості (ОВ). Цілком таємно (СС). таємно (с). для службового використання. (ДСП). І відкритого характеру (О)
З точки зору захисту у «Інформації» можна виділити ряд істотних властивостей:
1. Конфіденційність - властивість інформації, значення якого встановлюється власником інформації, що відбиває обмеження доступу до неї, згідно з існуючим законодавством.
2. Доступність - властивість інформації, що б ступінь можливості отримання інформації.
. Достовірність - властивість інформації, що б ступінь довіри до неї.
. Цілісність - властивість інформації, визначальне структурну придатність інформації до використання.
1.2 Категорії конфіденційності інформації, що захищається
· Абсолютно конфіденційно - інформація, визнана конфіденційною відповідно до вимог закону, або інформація, обмеження на поширення якої введено рішенням керівництва внаслідок того, що її розголошення може призвести до тяжких фінансово-економічних наслідків для організації аж до банкрутства;
· Конфіденційно - включені в категорію входить інформація, ...
