Основні етапи побудови системи захисту такі: аналіз, розробка системи захисту (планування); реалізація системи захисту; супровід системи захисту.
За способами здійснення всі заходи забезпечення безпеки комп’ютерних систем поділяються на: правові, морально-етичні, адміністративні, фізичні і технічні (апаратні й програмні).
До правових заходів захисту відносяться чинні закони, укази, постанови й інші нормативні акти, що регламентують правила роботи з інформацією обмеженого використання і відповідальність за їх порушення. Вони перешкоджають несанкціонованому використанню інформації та є стимулюючим чинником для потенційних порушників.
До морально-етичних заходів протидії відносяться всілякі норми поведінки, що традиційно складаються в міру поширення ЕОМ у БСУ. Ці норми здебільшого не є обов’язковими як законодавчо затверджені, однак їхнє недотримання призводить зазвичай, до падіння авторитету, престижу людини чи групи осіб. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми честі, патріотизму і т.ін.), так і оформлені в кодекс чи правила. Найхарактернішим прикладом останніх є «Кодекс професійної поведінки членів Асоціації користувачів ЕОМ США». Зокрема, вважаються неетичними навмисні чи ненавмисні дії, що викликають додаткові невиправдані витрати ресурсів (машинного часу, пам’яті, каналів зв’язку тощо); порушують цілісність збереженої й оброблюваної інформації; зачіпають інтереси інших законних користувачів і т. ін.
Адміністративні заходи захисту — це заходи організаційного характеру, що регламентують процеси функціонування системи обробки інформації, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів із системою таким чином, щоб якнайбільше ускладнити чи унеможливити реалізацію загроз безпеці. Вони включають: розробку правил обробки інформації в АСОІБ; заходи, вжиті при проектуванні, будівництві й устаткуванні обчислювальних центрів та інших об’єктів АСОІБ (урахування впливу стихії, пожеж, охорона приміщень, організація захисту від установки апаратури, що прослухує, тощо); заходи, вживані при підборі й підготовці персоналу (перевірка нових співробітників; ознайомлення їх з порядком роботи з конфіденційною інформацією, з мірами відповідальності за порушення правил її обробки; створення умов, за яких персоналу було б невигідно припускатися зловживань і тощо); організацію обліку, збереження, використання та знищення документів і носіїв з конфіденційною інформацією.
Фізичні засоби захисту — це різного роду механічні, електро- чи електронні пристрої та обладнання, спеціально призначені для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів системи й інформації, що захищається, організація надійного пропускного режиму.
Технічними засобами захисту є різні електронні пристрої та спеціальні програми, що виконують (самостійно чи в комплексі з іншими засобами) функції захисту (ідентифікацію й аутентифікацію користувачів, розмежування доступу до ресурсів, реєстрацію подій, криптографічний захист інформації тощо).
Найкращі наслідки досягаються за системного підходу до питань забезпечення безпеки АСОІБ і комплексному використання різних засобів захисту на всіх етапах життєвого циклу системи, починаючи із самих ранніх стадій її проектування.
У цій сфері важливо відпрацювати управління засобами захисту і відновлення та політику безпеки.
Політика безпеки — це набір законів, правил і практичних рекомендацій, на основі яких будується управління, захист і розподіл критичної інформації в системі. Вона повинна охоплювати всі особливості процесу обробки інформації, визначаючи поведінку системи в різних ситуаціях.
Основними функціями, які мають виконувати ядро безпеки разом з іншими службами, є :ідентифікація, аутентифікація та авторизація; контроль входу користувача в систему і управління паролями; реєстрація і протоколювання, аудит; протидія «збору сміття»; контроль цілісності суб’єктів; контроль доступу.
» следующая страница »
1 ... 292 293 294 295 296 297298 299 300 301 302 ... 381