Організаційно-технічні заходи щодо забезпечення захисту інформації
Цей розділ присвячено організаційно-технічним заходам щодо ЗІ в АС, а саме організації служби безпеки, її технічному забезпеченню, охоронним системам. Розглянуто питання витоку інформації по технічних каналах, а також захисту машинних носіїв інформації.
2.1. Класифікація засобів забезпечення безпеки АС
За способами реалізації всі заходи забезпечення безпеки АС поділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні й технічні (програмні та апаратурні) [2,3].
До правових заходів захисту належать чинні в країні закони, укази і нормативні акти, які регламентують правила поводження з інформацією, закріплюють права та обов'язки учасників інформаційних відносин у процесі її обробки і використання, а також встановлюють відповідальність за порушення цих правил, перешкоджаючи таким чином неправомірному використанню інформації, тобто виступаючи фактором стримування для потенційних порушників.
До морально-етичних заходів протидії належать норми поведінки, які традиційно склалися або складаються паралельно розповсюдженню ЕОМ у країні або суспільстві. Ці норми переважно не є обов'язковими, як, наприклад, законодавчо затверджені нормативні, однак їх недотримання веде звичайно до падіння авторитету, престижу людини, групи осіб або організації. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми чесності, патріотизму і т. ін.), так і писані, тобто оформлені у звід (устав) правил або розпоряджень.
Законодавчі та морально-етичні заходи протидії є універсальними в тому сенсі, що принципово можуть застосовуватися для всіх каналів проникнення і НСД до АС та інформації. В деяких випадках вони є єдиними, як, наприклад, при захисті відкритої інформації від незаконного тиражування або при захисті від зловживань службовим становищем при роботі з інформацією.
Організаційні (адміністративні) заходи захисту - це заходи організаційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів із системою таким чином, щоб наскільки можливо ускладнити або виключити можливість реалізації загроз безпеці.
Очевидно, що в організаційних структурах з низьким рівнем правопорядку, дисципліни й етики ставити питання про захист інформації немає сенсу. Спочатку необхідно вирішити правові та організаційні питання. Як вважають закордонні фахівці, організаційні заходи становлять досить значну частину (більш як 50 %) усієї системи захисту. Вони використовуються тоді, коли КС не може безпосередньо контролювати процес обробки інформації. Крім того, в деяких важливих випадках з метою підвищення ефективності захисту дуже корисно технічні заходи та засоби продублювати організаційними. Це, однак, не означає, що систему захисту необхідно будувати виключно на їх основі, як це іноді намагається робити керівництво, далеке від технічного прогресу. До того ж цим заходам притаманні деякі вади:
низька надійність без відповідної підтримки фізичними, технічними та програмними засобами (людина є схильною до порушень обмежень і правил, якщо є можливість їх порушити);
додаткові незручності, які пов'язані з великим обсягом рутинної формальної діяльності.
Взагалі, організаційні заходи є ефективними, коли справа стосується саме людини.
Фізичні заходи базуються на застосуванні різного роду механічних, електро- або електронно-механічних пристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонент системи й інформації, а також технічних засобів візуального спостереження, зв'язку та охоронної сигналізації.
Технічні (апаратно-програмні) заходи захисту базуються на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з іншими засобами) функції захисту.
Звичайно всі заходи використовують комплексно, причому во...