На сегодняшний день универсальное средство защиты информации не существует.
Согласно «Критериям оценки безопасности компьютерных систем» система считается защищенной, если при использовании программных и аппаратных средств она управляет доступом к информации таким образом, что только авторизованные пользователи или процессы, которые действуют от их имени, имеют право удалять, создавать, писать и читать информацию. Однако завершенной защита является только тогда, когда создана и принята заказчиком система безопасности информации, которая неразрывно связана с определенной информационной технологией, с индивидуальной ее обработкой и управлением в организации потребителя.
Виды угрозы безопасности
Выделяют 3 основных вида угроз безопасности:
- Угроза раскрытия, сильно возросшая в настоящее время вследствие широкого распространения персональных компьютеров и значительного уменьшения объема носителей информации. Обычно угрозе раскрытия подвержены по большей части государственные структуры.
- Угроза целостности представляет собой любое умышленное изменение данных. Угрозу целостности, которой подвержены коммерческие и деловые структуры, в настоящее время довольно эффективно устраняют с помощью использования электронной подписи.
- Угроза отказа в обслуживании наиболее часто встречается в глобальных сетях, в результате которой блокируется доступ к какому-то ресурсу вычислительной системы.
Угрозы целостности и раскрытия являются наиболее частыми в локальных сетях.
Сегодня производители отказались от чисто программных реализаций систем защиты. Программные средства в крупных компаниях, которые работают в сфере информационных технологий, используются сегодня только в качестве источника информации, которая в реальном времени анализирует ответственное за безопасность информации должностное лицо. Результатом такого анализа является вывод о существующей угрозе безопасности и принятие соответствующих мер по предотвращению данной угрозы.
Помимо ограничения допуска пользователей к данным и программам, системы безопасности должны определять аномальное использование ресурсов, выявлять и делегировать полномочия в совместном решении задач, выполнять прогноз аварийных ситуаций и устранять их последствия.
Обратим внимание, что применение тех или иных мер обеспечения безопасности информации должны быть экономически адекватными существующим угрозам.
Сегодня существуют подходы к обеспечению защиты информации, которые отличаются от существовавших ранее. Главным отличием является переход на комплексную систему защиты информации, которая включает в себя:
- исполнителей и органы;
- методы, способы и средства защиты;
- нормативно-правовой базис защиты информации.
В практической деятельности защита информации является комплексом регулярно используемых методов и средств, осуществляемых мероприятий и принимаемых мер для систематического обеспечения нужной надежности информации, которая генерируется, хранится и обрабатывается на объекте, а также передается по каналам.
Защита должна быть системной, т.е. чтобы получить наилучшие результаты, все отдельные виды защиты информации необходимо объединить в одно целое и обеспечить функционирование в составе единой системы, которая представляет собой слаженный механизм взаимодействующих элементов.
Кроме того, комплексная система защиты информации должна обеспечить функционирование надежных механизмов защиты с одной стороны, и управление механизмами защиты информации – с другой. Для этого необходимо предусмотреть организацию отлаженной и четкой системы управления защитой информации.
