Розділ 5. Захист інформації в світових інформаційних системах

У розв'язанні проблеми безпеки інформаційної системи склалися два підходи, які можна умовно назвати фрагментарним і комплексним.

Фрагментарний підхід, що зорієнтований на протидію строго визначеним загрозам за певних умов, передбачає застосування, наприклад, спеціалізованих та автономних засобів шифрування тощо. Шифруванням займається багато відомих міжнародних компаній, серед яких виділяються Cisco та RSA, послугами яких користується багато користувачів світу, і які об'єднали зусилля для виробництва нової технології у галузі інформаційної безпеки, за допомогою якої буде відбуватися управління процесом шифрування на різних пристроях збереження інформації: дисках, стрічкових накопичувачах та віртуальних бібліотеках. Ця технологія може успішно працювати у сітьовому режимі. Головна перевага фрагментарного підходу полягає в його високій варіативності захисту проти конкретної загрози. Але йому властивий і такий недолік, як локальність дії, тобто фрагментарні методи забезпечують ефективний захист конкретних об'єктів інформаційної системи від конкретної загрози, але не більше того. Навіть невеличка видозміна загрози призводить до втрати ефективності захисту.

За комплексного підходу поєднуються різнорідні заходи протидії загрозам (правові, організаційні, програмно-технічні і т. ін.) У цілому в комплексі усі ці заходи формують політику безпеки економічної інформації.

Комплексний підхід ефективний для захисту значних інформаційних систем, порушення безпеки яких може завдати величезного матеріального збитку. Але комплексний підхід придатний і для невеличких інформаційних систем, які обробляють особливо цінну інформацію або виконують відповідальні завдання.

Комплексного підходу дотримується більшість державних і значних комерційних підприємств і установ. Він знаходить висвітлення в різноманітних стандартах. Недоліками комплексного підходу є складність управління й обмеження на свободу дій користувачів інформаційної системи. Яскравим прикладом комплексного підходу до захисту інформаційної системи є сімейство продуктів для забезпечення безпеки бізнесу Microsoft Forefront для сітьової структури, створене міжнародною компанією Microsoft. Одною з переваг цього сімейства є інтеграція засобів забезпечення безпеки із серверними додатками Microsoft та існуючою інфраструктурою.

Побудова систем захисту передбачає ряд етапів, подібних до етапів створення самих інформаційних систем. Зокрема, до них належать:

- аналіз можливих загроз інформаційній системі;

- розробка системи захисту;

- реалізація системи захисту;

- супровід системи захисту.

На етапі аналізу можливих загроз безпеці інформаційній системі, виходячи з її стану на даний момент, визначають можливі збурюючи дії щодо кожного елементу системи захисту. Побудова абсолютно надійної системи захисту, напевно, неможлива. Тому з усієї множини впливів вибираються лише ті, що можуть реально відбутися і завдати найбільш серйозного збитку.

Управляти електронними ресурсами міжнародної компанії не можна без запобіжних заходів безпеки (рис. 5.2).

На етапі розробки можливе комплексне використання таких видів захисту, як правові, морально-етичні, адміністративні, фізичні та технічні правила.

До правових заходів належать чинні в країні закони, укази, положення міжнародних організацій, нормативні акти, що регламентують правила взаємодії з інформацією обмеженого використання і відповідальність за їх порушення. Ці заходи відіграють роль стримуючого чинника для потенційних порушень.

Рис. 5.2. Механізм управління електронними технологіями міжнародної компанії

До морально-етичних заходів протидії належать всілякі норми поведінки, що традиційно склалися раніше, виникають або спеціально розробляються в міру поширення ЕОМ та інформаційної системи в країні й у світі. Морально-етичні норми можуть бути неписані (наприклад, чесність) або оформлені у певний перелік правил чи розпоряджень. Ці норми, як правило, не є законодавчо затвердженими, але оскільки їхнє недотримання призводить до падіння престижу організації, вони є обов'язковими до виконання.

Адміністративні заходи захисту — це заходи організаційного характеру, що регламентують процеси функціонування інформаційної системи, використання її ресурсів, діяльність персоналу і т. ін. Мета цих заходів — найбільшою мірою виключити можливість реалізації загроз безпеці. До переліку адміністративних заходів можна віднести такі:

- розробка правил обробки інформації в інформаційній системі;

- організація захисту від установки апаратури прослухування в приміщеннях обчислювального центру або розташування АРМ;

- ретельний відбір персоналу;