цКЮБМЮЪ ЯРПЮМХЖЮ яКСВЮИМЮЪ ЯРПЮМХЖЮ
йюрецнпхх:
юБРНЛНАХКХюЯРПНМНЛХЪаХНКНЦХЪцЕНЦПЮТХЪдНЛ Х ЯЮДдПСЦХЕ ЪГШЙХдПСЦНЕхМТНПЛЮРХЙЮхЯРНПХЪйСКЭРСПЮкХРЕПЮРСПЮкНЦХЙЮлЮРЕЛЮРХЙЮлЕДХЖХМЮлЕРЮККСПЦХЪлЕУЮМХЙЮнАПЮГНБЮМХЕнУПЮМЮ РПСДЮоЕДЮЦНЦХЙЮоНКХРХЙЮоПЮБНоЯХУНКНЦХЪпЕКХЦХЪпХРНПХЙЮяНЖХНКНЦХЪяОНПРяРПНХРЕКЭЯРБНрЕУМНКНЦХЪрСПХГЛтХГХЙЮтХКНЯНТХЪтХМЮМЯШуХЛХЪвЕПВЕМХЕщЙНКНЦХЪщЙНМНЛХЙЮщКЕЙРПНМХЙЮ
оБЩИЕ ПОЛОЖЕНИЯ
|
|
Мы переходим к рассмотрению практических подходов к созданию и поддержанию информационной безопасности. Прежде всего, поясним это понятие.
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.
Во введении отмечался комплексный характер проблемы обеспечения безопасности, необходимость сочетания законодательных, организационных и программно-технических мер. К сожалению, законодательная база отстает от потребностей практики. Имеющиеся в России законы и указы [6], [7] носят в основном запретительный характер. В то же время следует учитывать, что в данном случае от государства требуется в первую очередь поддержка, организация и координация работ. В других странах это поняли довольно давно. Так, в США в 1987 году был принят закон о компьютерной безопасности (Computer Security Act, вступил в силу в сентябре 1988 года). Этот закон предусматривает комплекс мер по обучению пользователей, имеющих дело с критичной информацией, по подготовке разъяснительных руководств и т.д., без чего сознательное поддержание режима безопасности просто невозможно. И данный закон на самом деле выполняется.
Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов. Главное, что должен сделать управленческий уровень, — это выработать политику безопасности, которая задает общее направление работам в данной области. Мы рассмотрим управленческие регуляторы безопасности в Разд. Управленческие меры обеспечения информационной безопасности.
Операционные регуляторы применяются к окружению компьютерных систем и прежде всего к людям. Имеются в виду способы подбора персонала, его обучения, обеспечения дисциплины. Сюда же относятся меры по физической защите помещений и оборудования и некоторые другие. Операционные регуляторы будут рассмотрены в Разд. Операционные регуляторы.
Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т.п.). Программно-техническим мерам посвящен Разд. Основные программно-технические меры. Напомним названия ключевых механизмов безопасности:
· идентификация и аутентификация;
· управление доступом;
· протоколирование и аудит;
· криптография;
· экранирование.
Строго говоря, всем защитным мерам должен предшествовать анализ угроз. Этой теме посвящен Разд. Наиболее распространенные угрозы.