Методы и принципы защиты информации

     Говоря  о методах, следует обозначить и  меры, применяемые в процессе организации  защиты информации. Среди обозначенных мер принято выделять следующие:

     1. Законодательные (подразумевают использование нормативных правовых актов, регламентирующих права и обязанности физических и юридических лиц, а также государства в области защиты информации).

     К таким законодательным актам  можно отнести в первую очередь  Закон Республики Беларусь «Об информации, информатизации и защите информации», различные указы Президента Республики Беларусь (например, «О некоторых мерах по обеспечению безопасности критически важных объектов информации», «О некоторых вопросах развития информационного общества в Республике Беларусь» и прочие), ряд постановлений Совета Министров Республики Беларусь (например, «О некоторых вопросах защиты информации», «Об организации технической защиты государственных секретов») и многие другие [13; 14; 15; 16; 17].

     2. Морально-этические (означающие создание и поддержание такой моральной атмосферы, в которой нарушение регламентированных правил поведения оценивалось бы резко негативно).

     Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США [7, с. 23].

     3. Физические (предусматривают создание физических препятствий для доступа посторонних лиц к охраняемой информации).

     Физические средства защиты — разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников. К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа-выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий [8, с. 105]. Все физические средства защиты можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов — это средства предупреждения несанкционированного проникновения на территорию, а  усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения и от других преступных  действий. Средства пожаротушения относятся к системам ликвидации угроз.

     4. Административные (организационные) меры (предусматривают организацию соответствующего режима секретности, пропускного и внутреннего режима).

     Они включают в себя ряд мероприятий по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности); осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных; осуществляемые при подборе и подготовке персонала; осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

     5. Технические (программные) меры (подразумевают применение электронных и других устройств для защиты информации, а также применение программных средств разграничения доступа).

     В некоторых источниках технические  средства защиты информации, применяемые  в настоящее время, условно подразделяют на группы:

     · активные и пассивные технические средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при применении средств ее обработки;

     · программные и программно-технические средства, обеспечивающие разграничение доступа к информации на различных уровнях, идентификацию и аутентификацию пользователей;

     · программные и программно-технические средства, обеспечивающие защиту информации и подтверждение ее подлинности при передаче по каналам связи;

     · программно-аппаратные средства, обеспечивающие целостность программного продукта и защиту от несанкционированного его копирования;

     · программные средства, обеспечивающие защиту от воздействия программ-вирусов и других вредоносных программ;

     · физико-химические средства защиты, обеспечивающие подтверждение подлинности документов, безопасность их транспортировки и защиту от копирования [5, с. 193].

     В законодательстве Республики Беларусь также содержится перечень мер по защите информации. В соответствии с законом к правовым мерам по защите информации относятся заключаемые обладателем информации с пользователем информации договоры, в которых устанавливаются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий.

     К организационным мерам по защите информации относятся обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации.

     К техническим (программно-техническим) мерам по защите информации относятся меры по использованию средств защиты информации, в том числе криптографических, а также систем контроля доступа и регистрации фактов доступа к информации [16, ст. 29].

     Исходя из вышеперечисленных мер, применяемых в процессе организации деятельности по защите информации, можно сделать вывод о том, что методы по защите информации проистекают как раз из заявленных мер. Мера – это средство для осуществления чего-либо [19, с. 75]. Метод – это способ, порядок, основание, принятый путь для хода, достижения чего-либо [19, с. 76].  То есть можно говорить, что методом будет являться способ осуществления меры.

     Среди методов защиты информации выделяют правовые (законодательные), морально-этические, физические, административные (организационные) и технические (программно-технические).

     Рассмотрим подробнее некоторые из перечисленных методов.

     Правовые  методы подразумевают правовое обеспечение защиты информации, которое в свою очередь включает:

     1. Нормотворческую  деятельность  по  созданию  законодательства,  регулирующего общественные отношения в области информационной безопасности;

     2. Исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации, защиты информации органами государственной власти и управления, организация (юридическими лицами), гражданами.

     Нормотворческая деятельность содержит следующие элементы:

      · оценка состояния действующего  законодательства  и разработка  программы  его совершенствования;

      · создание  организационно-правовых  механизмов  обеспечения информационной безопасности;

     · формирование  правового статуса всех  субъектов в системе информационной безопасности и определение их ответственности за обеспечение информационной безопасности;

     · разработка организационно-правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учетом всех категорий информации;

     · разработка  законодательных  и  других  нормативных  актов,  регулирующих  порядок ликвидации последствий воздействий угроз, восстановление права и ресурсов, реализации компенсационных мер.

     Исполнительная  и правоприменительная  деятельность включает:

     · разработку  составов  правонарушений  с  учетом  специфики  уголовной,  гражданской, административной и дисциплинарной ответственности;

     · разработку процедур применения  законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с закрытой информацией.

     Деятельность  по  правовому  обеспечению  информационной  безопасности  строится на трех фундаментальных  положениях:

     1. Соблюдение законности (предполагает  наличие законов и иных нормативных  документов, их применение и исполнение  субъектами права в области информационной безопасности);

     2. Обеспечение  баланса  интересов   отдельных  субъектов  и   государства  (предусматривает приоритет  государственных интересов как общих интересов всех субъектов). Ориентация на свободы, права и интересы граждан не принижает роль государства в обеспечении национальной  безопасности  в  целом  и  в  области  информационной  безопасности  в  частности;

     3. Неотвратимость  наказания  (выполняет   роль  важнейшего  профилактического   инструмента в решении вопросов  правового обеспечения).

     Среди организационных методов защиты информации выделяют:

     1. Государственное регулирование в области защиты информации. Государство занимает важное место в системе защиты информации в любой стране, в том числе и в Беларуси.

     Государственная политика обеспечения информационной безопасности исходит из следующих положений:

     · ограничение доступа к информации есть исключение из общего принципа открытости информации, и осуществляется только на основе законодательства;

     · доступ к какой-либо информации, а также вводимые ограничения доступа осуществляются с учетом определяемых законом прав собственности на эту информацию;

     · юридические и физические  лица,  собирающие,  накапливающие и обрабатывающие персональные данные, и конфиденциальную информацию, несут ответственность перед законом за их сохранность и использование;

     · государство формирует национальную программу информационной безопасности и  объединяет  усилия  государственных  организаций  и  коммерческих  структур  в  создании единой системы информационной безопасности страны;

     · государство  формирует  нормативно-правовую  базу,  регламентирующую  права, обязанности и ответственность всех субъектов, действующих в информационной сфере;

     · государство осуществляет  контроль  за  созданием  и  использованием  средств  защиты информации посредством их  обязательной  сертификации и  лицензирования  деятельности в области защиты информации;

     · государство прилагает усилия  для противодействия информационной  экспансии США и других развитых стран, поддерживает интернационализацию  глобальных информационных сетей и систем;

     · государство проводит протекционистскую политику, поддерживающую деятельность  отечественных  производителей  средств  информатизации  и  защиты  информации,  и осуществляет меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов [10, с. 15].

     2. Лицензирование деятельности юридических и физических лиц в области защиты информации. Деятельность юридических и физических лиц по  защите информации лицензируется. Положение о лицензировании в области защиты информации разработано Государственным центром безопасности информации при Совете Безопасности Республики Беларусь. Эта же организация и выдает лицензии.

     3. Сертификация и аттестация средств защиты информации.

     4. Организационно-административные методы защиты информации. Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие  пользователей и систем  таким образом,  чтобы  несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся. Организационно-административные  методы  защиты  информации  охватывают  все компоненты  автоматизированных  информационных  систем  на  всех  этапах  их  жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки  оборудования,  эксплуатации  и  модернизации  систем. 

     5. Организационно-технические методы защиты информации. Они охватывают  все структурные  элементы автоматизированных информационных систем на всех этапах их жизненного цикла.