Рівні захисту інформації: поняття, основні принципи, аналіз ризиків та їх усунення

Для початку визначимося з тим, що таке інформація і в чому полягає поняття - рівні захисту інформації? Інформація визначається як відображення реального (матеріального) світу в системах або в суб'єкті у вигляді сигналів і знаків. Вона існує в різних видах: як документ, малюнок або текст. А також в інших видах: сигнали звуку і світла, енергетичні та інші імпульси і т. п. Знання про довкілля, повідомлення про "світі", які сприймає людина, також сміливо можемо віднести до галузі інформації. Захист інформації або інформаційну безпеку (ІБ) можемо представити як сукупність заходів і технічних засобів, спрямованих на недопущення неправдивих спотворень, знищення та незаконного використання інформації, що може завдати шкоди користувачеві. Найважливіша мета інформаційної безпеки - це надання безпеки системи в цілому, її захист і гарантія точності. Якщо вона модифікується або руйнується, то ці руйнування треба мінімізувати.

Основні принципи

Всебічна захист інформації - це веління часу, і найважливіший напрям розвитку інтелектуальних систем. Вона повинна будуватися на комплексному підході. Це означає, що всі засоби захисту інформації повинні бути взяті в єдиному комплексі взаємодій.

Першою ознакою системної захисту інформації (СЗІ) від випадкових або цілеспрямованих загроз є принцип "розумної достатності". Так як 100% захисту ніде не існує, тому треба прагнути до мінімально необхідного рівня захисту від випадкових зовнішніх загроз. Принцип цілісності інформації виражається в збереженні змісту та структури її. Створювати і змінювати дані може тільки користувач. Конфіденційність вказує на обмеження доступу зовнішнім особам до фактичної інформації. Принцип доступності - це можливість отримати необхідну інформацію за певний час. Принцип достовірності виражається в тому, що інформація дійсна належить суб'єкту, від якого вона отримана.

Заходи захисту інформації. Політика безпеки

Щоб захищати інтереси суб'єктів, які об'єднані інформаційно, треба виділити і погодити наступні рівні захисту: Законодавчий рівень захисту інформації, що включає розробку законів і документів, які сприяють дотриманню правил безпеки. Адміністративний рівень ІБ (сюди включають накази та ефективні дії керівництва організацій з захисту інформаційних систем). Процедурний рівень системної захисту інформації, тобто заходи безпеки, орієнтовані виключно на людей.

Програмно-технічний рівень захисту інформації (ЗІ), що забезпечує контроль над інформаційними системами. Контроль реалізується апаратними та програмними засобами. Основою системно-об'єктного підходу для захисту інформації є політика безпеки. Вона будується на аналізі ризиків, притаманних системі організації. Якщо ризики і стратегія позначені, то складається програма захисту і методи виконання в області ІБ.

Формальні особливості захисту

Особливості дослідження проблем в цій області виявляються в тому, що рівні захисту інформації можемо представити у вигляді засобів ЗІ, так і у вигляді додаткових рівнів захисту. У даній статті розглядається перше. Згадані рівні засобів захисту інформації можна розділити на нормативні і технічні методи. До нормативних засобів відносяться морально-етичні чинники та адміністративні засоби. Технічні поділяються на фізичні, апаратні, програмні та криптографічні методи.

Безпека рівнів

Рівні забезпечення захисту інформації прийнято поділяти на: Нормативно-правове забезпечення (документи і положення, які є обов'язковими у сфері ЗВ). Організаційне забезпечення - охорона ІБ здійснюється службою безпеки організацій. Технічне забезпечення - використання технічних засобів для захисту інформації. Стратегічні рівні системи захисту інформації формулюються так:
Надання захисту особистості, суспільству і державі. Розробка програм і реалізація проблем управління державою. Встановлення перепон і заборон від небажаного доступу в сферу інформаційних систем.

Види рівнів. Програмний метод

Підсумуємо, що програмний рівень захисту інформації утворює основний і важливий рубіж в політиці актуальної інформаційної безпеки. Тільки програмно-технічні заходи здатні протистояти невігластві при використанні інформаційних засобів легальними користувачами. Програмний аспект захисту інформації явно передбачає такі заходи безпеки, як: Впізнавання і автентифікація (аутентифікація) усіх активних в плані освіти користувачів. Застосування міжмережевого екранування для захисту інформаційних каналів мережі від зовнішніх загроз. Управління доступом до інформації на рівні користувача та захист від вторгнень в інформаційну мережу. Криптографічні засоби захисту. Протоколювання і аудит захисту фактичної інформації. Захист від вірусів за допомогою антивірусних пакетів. Справжня класифікація рівнів захисту інформації поділяється за способами реалізації на апаратні та програмні методи; по способам захисту (прийоми, що сприяють функцій захисту даних); за етапами установки і виконання програм, які здійснюються засобами BIOS.
Вона здійснюється апаратними пристроями, які схематично вбудовуються в операційні системи іншими допоміжними прикладними програмами різного призначення.

Реалізація головних рівнів

Проаналізувавши основні рівні захисту інформації, можемо акцентувати увагу на тому, що завдання інформаційної захисту поділяються на такі контрольні види, як: Регламентована законом захист державної таємниці (секретної та іншої документальної інформації) від всіх видів руйнування і підміни, доступу до неї. Законом дозволяється захист прав людини (громадянина) на декларовану інформаційну власність. А також на розпорядження і управління конфіденційною інформацією. Законом передбачена захист прав підприємця при проведенні торговельної та іншої діяльності. Законом погоджувальна захист технологічних та програмних заходів інформатизації від зловмисних дій. Законом повідомна захист основних конституційних прав на таємницю ексклюзивної листування, на товариські переговори і особисту таємницю.

Аспекти визначення рівнів

Як фактор розуміння і результат здійснення заходів безпеки зазначимо, що рівні захисту інформації прийнято визначати в таких аспектах, як:

Системність, що передбачає облік усіх основних елементів, умов і ризиків, що впливають на рентабельність системи. Комплексність, що вимагає узгодженого застосування різних засобів для перекриття каналу зовнішніх загроз і знищення слабких місць в архітектурі системи. Безперервність, що передбачає прийняття функціональних заходів на всіх позиціях життєвого циклу захищається системи. Відкритість, що реалізує ефективність класів алгоритмів і механізмів захисту персональної (але паролі і ключі вписуються таємно). Вихідний код для всіх версій програм може бути представлений і у відкритому вигляді. Гнучкість управління і застосування, що є незаперечною перевагою для активного користувача. Простота застосування захисних криптознаков таким чином, що легальний користувач може і не мати спеціальних знань.

Висновок

Потрібно розуміти, що ніякі формальні рішення не зможуть забезпечити повну безпека у сферах інформаційних систем. Але в цілому ризики зовнішніх погроз можна суттєво зменшити. Визначення меж безпеки - це головна умова ЗВ. Підтримання системи в працездатному стані - це ще одна умова захисту. Ми сподіваємося, що дана стаття виявилася інформативною для наших читачів.