Под защитой информации в информационных системах понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации, хранимой и обрабатываемой с использованием средств информационных систем.
При выборе стратегии защиты информационных систем предприятию необходимо учитывать то, что информационная система – это по сути своего рода здание только виртуальное, которое необходимо защищать. Использовать для этого можно те же средства и механизмы, что и для физической безопасности, но лишь с той разницей, что они должны быть спроецированы с учетом информационных технологий.
Наиболее важными объектами защиты информационных систем являются защита персонального компьютера и защита информации в сетях ЭВМ.
Основные виды угроз защиты информации на предприятии можно разделить на пассивную и активную.
Пассивный риск информационной безопасности направлен на внеправовое использование информационных ресурсов и не нацелен на нарушение функционирования информационной системы. К пассивному риску информационной безопасности можно отнести, например, доступ к БД или прослушивание каналов передачи данных.
Активный риск информационной безопасности нацелен на нарушение функционирования действующей информационной системы путем целенаправленной атаки на ее компоненты.
К активным видам угроз компьютерной безопасности относится, например, физический вывод из строя компьютера или нарушение его работоспособности на уровне программного обеспечения.
К методам и средствам защиты информации относят организационно-технические и правовые мероприятия информационной защиты и меры защиты информации (правовая защита информации, техническая защита информации, защита экономической информации и т.д.).
Как показывает практика, одну из наиболее серьезных угроз представляет несанкционированный доступ. Что дает возможность злоумышленникам завладеть защищаемой информацией.
В связи с этим пользователи, которые желают сохранить конфиденциальность той или иной информации, должны позаботиться о высокоэффективных средствах защиты ПК от несанкционированного доступа сторонних лиц.
Основными механизмами защиты ПК от несанкционированного доступа, к примеру, могут быть следующие:
- физическая защита ПК и носителей информации;
- опознавание (аутентификация) пользователей и используемых компонентов обработки информации;
- разграничение доступа к элементам защищаемой информации;
- криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных);
- криптографическое закрытие защищаемой информации в процессе непосредственной ее обработки;
- регистрация всех обращений к защищаемой информации.
На предприятии персональные компьютеры, в которых содержится информация лучше размещать в надежно запираемом помещении, причем, в рабочее время помещение должно быть закрыто или ПК должен быть под наблюдением законного пользователя. При обработке закрытой информации в помещении могут находиться только лица, допущенные к обрабатываемой информации. В целях повышения надежности физической защиты в нерабочее время ПК следует хранить в опечатанном сейфе.
Кроме того, система защиты должна надежно определять законность каждого обращения к ресурсам, а законный пользователь должен иметь возможность убедиться, что ему предоставляются именно те компоненты, которые ему необходимы.
Для опознавания пользователей к настоящему времени разработаны и нашли практическое применение следующие способы:
- с использованием простого пароля;
- в диалоговом режиме с использованием нескольких паролей и/или персональной информации пользователей;
- по индивидуальным особенностям и физиологическим характеристикам человека (отпечатки пальцев, геометрия руки, голос, персональная роспись, структура сетчатки глаза, фотография и некоторые другие);
- с использованием радиокодовых устройств;
- с использованием электронных карточек.
Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.
На сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности конфиденциальной информации имеет особое значение. К таким информационным системам можно отнести, например, банковские или юридические системы безопасного документооборота и другие информационные системы, для которых обеспечение защиты информации является жизненно важным для защиты информации в информационных системах.
В заключении хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях.
В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надежность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в нее изменений неуполномоченными лицами, и сохранение тайны переписки в электронной связи. Разумеется, во всех цивилизованных странах на безопасности граждан стоят законы, но в вычислительной технике правоприменительная практика пока не развита, а законотворческий процесс не успевает за развитием технологий, и надежность работы компьютерных систем во многом опирается на меры самозащиты.
Итак, можно привести массу фактов, свидетельствующих о том, что угроза информационному ресурсу возрастает с каждым днем, подвергая в панику ответственных лиц в банках, на предприятиях и в компаниях во всем мире.