Организационная защита информации Лекция №4. Стратегии защиты информации и анализ информационных рисков

Вопросы лекции:

1. классификация основных способов и средств ЗИ

2. Стратегии применения средств защиты информации

3. Анализ информационных рисков, угрозы и уязвимости системы

1. Перечень основных средств ЗИ

Разнообразие средств защиты информации определяется, прежде всего, возможными способами воздействия на дестабилизирующие факторы или порождающие их причины, причем воздействие в направлении, способствующем повышению значений показателей защищенности или, по крайней мере, сохранению прежних, ранее достигнутых их значений.

Рассмотрим основные способы и средства обеспечения информационной безопасности.

Пассивные способы обеспечения ИБ заключаются в создании на пути возникновения или распространения дестабилизирующего фактора некоего барьера, не позволяющего соответствующему фактору принять опасные размеры. Например, различные блокировки, не позволяющие техническому устройству или программе выйти за опасные границы (разграничение доступа к областям памяти, файлам и т.п.); создание физических препятствий на пути злоумышленников, экранирование помещений и технических средств и т.п.

Активные способы включают в себя контур управления защитой, воздействующий на каждом шаге функционирования ИС на ее элементы с целью решения одной или нескольких задач защиты информации. Например, управление доступом на объект включает следующие функции защиты:

• идентификацию лиц, претендующих на доступ, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

• опознавание (установление подлинности) объекта или субъекта по предъявленному идентификатору;

• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• реагирование (сигнализация, отключение, задержка работ, отказ в процессе).

Рассмотренные ранее основные задачи систем защиты информации реализуются с применением различных методов и средств, которые проиллюстрированы на рис.1.

1.Физические средства механические, электрические и т.п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия.	1.Организационные средства специально предусмотренные в технологии функционирования предприятия организационно-технические мероприятия для решения задач защиты информации, осуществляемые в виде целенаправленной деятельности людей.
2. Аппаратные средства различные электронные и электронно-механические устройства, схемно встраиваемые в аппаратуру системы обработки данных (например, генераторы шума, используемые для защиты от утечки по техническим каналам).	2.Законодательные средства существующие нармативно-правовые акты, с помощью которых регламентируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функционированию системы, а также установлению ответственности за нарушение правил обработки информации.
3.Программные средства специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации (например, программы криптографической защиты файлов, антивирусные пакеты и т.п.).	3.Морально-этические нормы сложившиеся в обществе или коллективе моральные и этические нормы, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.