му, що можливості несанкціонованого використання інформації значною мірою обумовлюються нетехническими аспектами: зловмисними діями, недбальством або недбалістю користувачів або персоналу систем обробки даних. Вплив цих аспектів практично неможливо уникнути або локалізувати за допомогою вище розглянутих апаратних і програмних засобів, криптографічного закриття інформації та фізичних заходів захисту. Для цього необхідна сукупність організаційних, організаційно-технічних та організаційно-правових заходів, яка виключала б можливість виникнення небезпеки витоку інформації подібним чином.
Основними заходами в такій сукупності є наступне:
-Заходи, здійснювані при проектуванні, будівництві та обладнанні обчислювальних центрів (ОЦ),
-Заходи, здійснювані при підборі і підготовки персоналу ВЦ (перевірка прийнятих на роботу, створення умов за яких персонал не хотів би позбутися роботи, ознайомлення з заходами відповідальності за порушення правил захисту),
-Організація надійного пропускного режиму,
-Організація зберігання і використання документів та носіїв: визначення правил видачі, ведення журналів видачі та використання,
-Контроль внесення змін до математичне та програмне забезпечення,
-Організація підготовки та контролю роботи користувачів,
Одне з найважливіших організаційних заходів - вміст у ВЦ спеціальної штатної служби захисту інформації, чисельність і склад якої забезпечували б створення надійної системи захисту і регулярне її функціонування.
5. Етапи розробки систем захисту
При початковій розробці та реалізації системи захисту інформаційних систем зазвичай виділяють три стадії:
Перша стадія - вироблення вимог включає:
виявлення та аналіз уразливих в ІС та ІТ елементів, які можуть піддатися загрозам;
виявлення або прогнозування загроз, яким можуть піддатися уразливі елементи ІС;
аналіз ризику.
На другій стадії - визначення способів захисту - приймаються рішення про те:
які загрози повинні бути усунені і якою мірою;
які ресурси системи повинні бути защіщаеми і в якій мірі;
за допомогою яких засобів має бути реалізована захист;
якими мають бути вартість реалізації захисту і витрати на експлуатацію системи з урахуванням захисту від потенційних загроз.
Треті стадія - побудова системи інформаційної безпеки, тобто реалізація механізмів захисту як комплексу процедур, і засобів забезпечення безпеки інформації. На закінчення проводиться оцінка надійності системи захисту, тобто рівня забезпечуваної нею безпеки.
6. Захист інформації методом «opsec»
Метод «Opsec» запропонував американський фахівець в області безпеки інформації А. Патток. Суть методу в тому, щоб припинити, запобігти або обмежити витік тієї частини інформації, яка дозволить конкуренту визначити, що здійснює або планує підприємство. Процес організації захисту інформації за методом «Opsec» проводиться регулярно і кожного разу поетапно:
Перший етап (аналіз об'єкта захисту) полягає у визначенні того, що потрібно захищати. Аналіз проводиться за такими напрямками:
визначається інформація, яка потребує захисту;
виділяються найбільш важливі елементи (критичні) захищається інформації;
визначається термін життя критичної інформації (час, н...
