Меры обеспечения безопасности компьютерных систем

По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяют на [8,25]:

- правовые (законодательные);

- морально-этические;

- организационно-административные;

- физические;

- аппаратно-программные.

К правовым мерам защиты информации относятся действующие в стране законы, указы, положения, инструкции и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственности за их нарушения. Этим они препятствуют несанкционированному использованию информации и являются сдерживающим фактором для потенциальных нарушителей.

В РФ основы законодательного регулирования информационных отношений в обществе заложены в федеральных законах «О связи», «Об информации, информатизации и защите информации», «О государственной тайне», а также других законодательных и нормативных актах.

Российским законодателем определены составы преступлений в области компьютерной информации статьями уголовного кодекса 272, 273, 274.

К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения компьютеров в стране. Эти нормы бывают как неписанными (общепризнанные нормы честности, патриотизма и т.д.), так и оформленными в некий свод правил или предписаний.

Организационно-административные меры защиты регламентируют процессы функционирования АСОИ; использование ресурсов АСОИ; деятельность персонала АСОИ; порядок взаимодействия пользователей с системой, с тем, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Организационно-административные меры включают в себя [27]:

- разработку правил обработки информации в АСОИ;

- совокупность действий при проектировании и оборудовании вычислительных центров и других объектов АСОИ (учет влияния стихии, пожаров, охрана помещений и т.п.);

- совокупность действий при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки; создание условий, при которых персоналу было бы невыгодно допускать злоупотребления и т.д.);

- организацию надежного пропускного режима;

- организацию учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;

- распределение реквизитов разграничения доступа (паролей, полномочий и т.п.);

- организацию скрытого контроля за работой пользователей и персонала АСОИ;

- совокупность действий при проектировании, разработке, ремонте и модификации оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка на удовлетворение требованиям защиты, документальная фиксация изменений и т.п.).

К физическим мерам защиты относятся различные механические, электро- и электромеханические устройства или сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа нарушителей (турникеты, колючая проволока, кодовые замки, системы охранно-пожарной сигнализации и т.п.).

К аппаратно-программным мерам защиты относятся различные электронные устройства и специальные программы, которые реализуют самостоятельно или в комплексе с другими средствами следующие способы защиты:

- идентификацию и аутентификацию субъектов АСОИ;

- разграничение доступа к ресурсам АСОИ;

- контроль целостности данных;

- обеспечение конфиденциальности данных;

- аудит событий, происходящих в АСОИ;

- резервирование ресурсов и компонентов АСОИ.