Читайте также:
|
Программно-технические способы и средства обеспечения информационной безопасности. Основные понятия программно-технического уровня информационной безопасности.
Программно-технические методы и средства являются технической ОСНОВОЙ системы защиты информации. Применение таких средств осуществляется СТРУКТУРНЫМИ органами в соответствии с принятой политикой информационной безопасности, описанной в нормативно-методических документах.
Программно-технические методы и средства следует использовать в СЗИ по следующим НАПРАВЛЕНИЯМ:
• Зашита объектов корпоративных систем;
• Защита процессов, процедур и программ обработки информации;
• Защита каналов связи;
• Подавление побочных электромагнитных излучений;
• Управление системой зашиты.
Для того, чтобы сформировать оптимальный комплекс (набор) программно-технических методов и средств защиты информации, необходимо пройти следующие ЭТАПЫ:
• Определение информационных и технических ресурсов, подлежащих защите;
• Выявление полного множества потенциально возможных угроз и каналов утечки информации;
• Проведение опенки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки:
• Определение требовании к системе зашиты;
• Осуществление выбора средств зашиты информации и их характеристик;
• Внедрение и организация использования выбранных мер, способов и средств зашиты;
• Осуществление контроля целостности и управление системой защиты.
Совокупность защитных методов и средств включает в себя программные методы, аппаратные средства, защитные преобразования, а также организационные мероприятия (Рис. 9.1)
Сущность аппаратной или схемной защиты состоит в том, что в устройствах и технических средствах обработки информации предусматривается наличие специальных технических решений, обеспечивающих защиту и контроль информации, например экранирующие устройства, локализующие электромагнитные излучения или схемы проверки информации на четность, осуществляющей контроль за правильностью передачи информации между различными устройствами ИС.
Программные методы защиты — это совокупность алгоритмов и программ, обеспечивающих разграничение доступа и исключение несанкционированного использования информации.
Сущность методов защитных преобразований состоит в том, что информация, хранимая в системе и передаваемая по каналам связи, представляется в некотором коде, исключающем возможность ее непосредственного использования.
Организационные мероприятия по защите включают в себя совокупность действий по подбору и проверке персонала, участвующего в подготовке и эксплуатации программ и информации, строгое регламентирование процесса разработки и функционирования ИС.
Службы и механизмы защиты
Служба защиты — совокупность механизмов, процедур и других управляющих воздействий, реализованных для сокращения риска, связанного с угрозой.
Некоторые службы защиты:
• идентификация и установление подлинности —служба безопасности, гарантирующая, что в ИС работают только авторизованные лица.
• управление доступом — служба безопасности, гарантирующая, что ресурсы ИС используются разрешенным способом.
• конфиденциальность данных и сообщений — служба безопасности, гарантирующая, что данные ИС, программное обеспечение и сообщения закрыты для неавторизованных лиц.
• целостность данных и сообщений — служба безопасности, гарантирующая, что данные ИС, программное обеспечение и сообщения не изменены неправомочными лицами.
• контроль участников взаимодействия — служба безопасности, гарантирующая, что объекты, участвующие во взаимодействии, не смогут отказаться от участия в нем. В частности, отправитель не сможет отрицать посылку сообщения (контроль участников взаимодействия с подтверждением отправителя) или получатель не сможет отрицать получение сообщения (контроль участников взаимодействия с подтверждением получателя).
• регистрация и наблюдение — служба безопасности, с помощью которой может быть прослежено использование всех ресурсов ИС.
Дата добавления: 2015-01-30; просмотров: 181 | Поможем написать вашу работу | Нарушение авторских прав |