Система захисту інформації

Існуючий на теперішній час значний практичний досвід у сфері захисту інформації показує, що потрібна прозора і цілеспрямована організація процесу захисту інформаційних ресурсів. Причому в цьому повинні активно брати участь професійні фахівці, адміністрація, співробітники і користувачі, що і визначає підвищену значимість організаційної сторони питання.

Відповідно до цього захист будується на основі системного підходу до інформаційної безпеки.

Система захисту інформації – це організована сукупність спеціальних установ, засобів, методів і заходів, що забезпечують захист інформації від внутрішніх і зовнішніх загроз.

Досвід показує, що забезпечення безпеки інформації не може бути одноразовим актом. Це неперервний процес, який полягає в обґрунтуванні і реалізації найбільш раціональних методів, способів і шляхів удосконалення та розвитку системи захисту, неперервному контролі її стану, виявленні її вузьких і слабких місць, а також протиправних дій.

Безпека інформації може бути забезпечена лише при комплексному використанні всього арсеналу наявних засобів захисту в усіх структурних елементах виробничої системи і на всіх етапах технологічного циклу обробки інформації. Найбільший ефект досягається тоді, коли всі використовувані засоби, методи і заходи поєднуються в єдиний цілісний механізм – систему захисту інформації (СЗІ). При цьому функціонування системи повинно контролюватися, обновлятися і доповнюватися залежно від зміни зовнішніх і внутрішніх умов.

Ніяка СЗІ не може забезпечити необхідного рівня безпеки інформації без належної підготовки користувачів і дотримання ними всіх установлених правил, спрямованих на її захист.

Вимоги до захисту інформації

З позицій системного підходу до захисту інформації висуваються певні вимоги. Захист інформації повинен бути:

  • неперервним.Ця вимога виникає з того, що зловмисники тільки і шукають можливість, як би обійти захист інформації, що цікавить їх;

  • плановим. Планування здійснюється шляхом розробки кожною службою детальних планів захисту інформації у сфері її компетенції з урахуванням загальної мети підприємства (організації);

  • цілеспрямованим. Захищається тільки те, що повинно захищатися в інтересах конкретної мети, а не все підряд;

  • конкретним. Захисту підлягають конкретні дані, що об’єктивно вимагають охорони, втрата яких може заподіяти організації певний збиток;

  • активним. Захищати інформацію необхідно з достатнім ступенем наполегливості;

  • надійним. Методи і форми захисту повинні надійно перекривати можливі шляхи неправомірного доступу до охоронюваних секретів, незалежно від форми їхнього представлення, мови вираження і виду фізичного носія, на якому вони закріплені;

  • універсальним. Вважається, що залежно від виду каналу витоку або способу несанкціонованого доступу його необхідно перекривати, де б він не проявився, розумними і достатніми засобами, незалежно від характеру, форми і виду інформації;

  • комплексним. Для захисту інформації повинні застосовуватися всі види і форми захисту в повному обсязі. Неприпустимо застосовувати лише окремі форми чи технічні засоби. Комплексний характер захисту виникає з того, що захист – це специфічне явище, що є складною системою нерозривно взаємопов’язаних і взаємозалежних процесів, кожний з яких, у свою чергу, має безліч різних сторін, властивостей, тенденцій.

Закордонний і вітчизняний досвід показує, що для забезпечення виконання багатогранних вимог безпеки система захисту інформації повинна задовольняти такі умови:
    • охоплювати весь технологічний комплекс інформаційної діяльності;
    • бути різноманітною за використовуваними засобами, багаторівневою з ієрархічною послідовністю доступу;
    • бути відкритою для зміни і доповнення заходів забезпечення безпеки інформації;
    • бути нестандартною, різноманітною. Вибираючи засоби захисту не можна розраховувати на непоінформованість зловмисників щодо її можливостей;
    • бути простою для технічного обслуговування і зручною для експлуатації користувачами;
    • бути надійною. Будь-які несправності технічних засобів є причиною появи неконтрольованих каналів витоку інформації;
    • бути комплексною, мати цілісність, що означає, що жодна її частина не може бути вилучена без втрат для всієїсистеми.

      • До системи безпеки інформації висуваються також певні вимоги:

    • чіткість визначення повноважень і прав користувачів на доступ до певних видів інформації;
    • надання користувачу мінімальних повноважень, необхідних йому для виконання дорученої роботи;
    • зведення до мінімуму кількості спільних для декількох користувачів засобів захисту;
    • облік випадків і спроб несанкціонованого доступу до конфіденційної інформації;
    • забезпечення оцінювання ступеня конфіденційної інформації;
    • забезпечення контролю цілісності засобів захисту і негайне реагування на вихід їх з ладу.



    Доступність
    Скинути все

    Шрифти

    Розмір шрифта

    1

    Колір тексту

    Колір тла

    Кернінг шрифтів

    Видимість картинок

    Інтервал між літерами

    0

    Висота рядка

    1.2