Проблема защиты информации (ЗИ) в локальных сетях стоит очень остро, особенно в организациях, для которых конфиденциальность информации имеет первостепенное значение.
Внутри локальной сети актуальна задача надежной аутентификации пользователей: зачастую недобросовестные пользователи оставляют информацию с логином и паролем доступа к информации на видном месте (например, записанными на прикрепленном к монитору листе бумаги). Часто также не придается значения разграничению доступа между легальными пользователями или при отправке компьютера на ремонт в сервис-центр информация не удаляется с дисков должным образом.
Методы ЗИ в локальных сетях
Для обеспечения безопасности информации используются следующие методы:
Препятствие – физическое преграждение пути к защищаемой информации (к техническому оборудованию, носителям информации и т.д.).
Управление доступом – методы ЗИ через регулирование использования ресурсов информационных технологий и информационной системы. Управление доступом должно препятствовать абсолютно всем возможным путям несанкционированного доступа к защищаемой информации.
ЗИ с помощью управления доступом происходит через идентификацию пользователей и персонала (присвоение персонального идентификатора), опознание объекта по идентификатору, проверку полномочий доступа к информации или объекту, регистрацию обращений к информации, реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.
Криптографические методы ЗИ – шифрование информации. Методы шифрования широко применяются при обработке и хранении информации. Особенно надежным данный метод является при передаче информации по сети.
Защиту от атак вредоносных программ призван обеспечить комплекс различных методов организационного характера и использование антивирусных программ, результатом чего является снижение вероятности заражения информационной системы, определение фактов инфицирования системы, снижение или предотвращение последствий информационных заражений, уничтожение вирусов, последующее восстановление информации.
Регламентация – ограничение времени работы, ограниченный доступ людей к информации, ограничение доступа по определенным дням, времени суток, часам и т.п. Создание таких условий работы с защищаемой информацией нормы и стандарты по защите будут выполняются в наибольшей степени.
Принуждение – метод ЗИ, при котором пользователи и персонал информационной системы соблюдают правила работы с защищаемой информацией под угрозой ответственности (материальной, административной или уголовной).
Побуждение – метод, который побуждает (за счет соблюдения уже сложившихся морально-этических норм) субъектов информационной системы не нарушать установленные порядки.
Средства ЗИ
Технические средства ЗИ делятся на аппаратные и физические:
К аппаратным средствам относятся устройства, которые встраиваются непосредственно в техническое оборудование информационной системы или связываются с ним по стандартному интерфейсу.
К физическим средствам относят инженерные устройства и сооружения, которые препятствуют физическому проникновению на объекты защиты и осуществляют защиту персонала, материальных, информационных и других ценностей (например, решетки, замки, сейфы, сигнализация и т.п.).
Также широко используются программные средства, предназначенные для ЗИ в информационной системе. К ним относятся программы паролирования, антивирусные программы, программы ограничения доступа, программы шифрования (криптографии).
Организационные средства обеспечивают мероприятия, которые делают невозможными или затрудняют разглашение, утечку, несанкционированный доступ к информации на нормативно-правовой основе.
Законодательные средства ЗИ регламентируют правила работы с информацией и устанавливают порядок ответственности за их нарушение. Законодательные средства ЗИ определяются законодательными актами страны.
Морально-этические средства защиты включают нормы поведения, которые могут быть неписанными (например, честность) или оформленными в виде правил и предписаний. Как правило, они не утверждены законодательством, но считаются обязательными для исполнения. Примером таких правил может быть свод этических правил общения в сети и т.п.
