Розділ «2. СУТНІСТЬ ІНФОРМАЦІЙНИХ СИСТЕМ В УПРАВЛІННІ ОРГАНІЗАЦІЄЮ»

Примус – метод захисту, при якому користувачі та персонал ІС змушені дотримуватися правил обробки, передачі і використання інформації, що захищається під загрозою матеріальної, адміністративної чи кримінальної відповідальності.

Спонукання – метод захисту, що спонукає користувачів і персонал ІС не порушувати встановлені порядки за рахунок дотримання сформованих моральних і етичних норм.

Вся сукупність технічних засобів захисту поділяється на апаратні і фізичні.

Апаратні засоби – пристрої, що вбудовуються безпосередньо в обчислювальну техніку, або пристрої, які сполучаються з нею по стандартному інтерфейсу.

Фізичні засоби включають різні інженерні пристрої і споруди, що перешкоджають фізичному проникненню зловмисників на об'єкти захисту та здійснюють захист персоналу (особисті засоби безпеки), матеріальних засобів і фінансів, інформації від протиправних дій. Приклади фізичних коштів: замки на дверях, грати на вікнах, засоби електронного охоронної сигналізації тощо.

Програмні засоби – це спеціальні програми і програмні комплекси, призначені для захисту інформації в ІС. Як зазначалося, багато з них злиті з ПЗ самої ІС.

Із засобів ПЗ системи захисту виділимо ще програмні засоби, що реалізують механізми шифрування (криптографії). Криптографія – це наука про забезпечення таємності і / або автентичності (справжності) переданих повідомлень.

Організаційні засоби здійснюють своїм комплексом регламентацію виробничої діяльності в ІС та взаємовідносини виконавців на нормативно – правовій основі таким чином, що розголошення, витік і несанкціонований доступ до конфіденційної інформації стає неможливим або істотно ускладнюється за рахунок проведення організаційних заходів. Комплекс цих заходів реалізується групою інформаційної безпеки, але повинен перебувати під контролем першого керівника.

Законодавчі засоби захисту визначаються законодавчими актами країни, якими регламентуються правила користування, обробки і передачі інформації обмеженого доступу і встановлюються міри відповідальності за порушення цих правил.

Морально – етичні засоби захисту включають всілякі норми поведінки (які традиційно склалися раніше). Вони складаються в міру поширення ІС та IT в країні і в світі або спеціально розробляються. Морально – етичні норми можуть бути неписані (наприклад чесність) або оформлені в якийсь звід (статут) правил чи приписів. Ці норми, як правило, не є законодавчо затвердженими, але оскільки їх недотримання призводить до падіння престижу організації, вони вважаються обов'язковими для виконання. Характерним прикладом таких приписів є Кодекс професійної поведінки членів Асоціації користувачів ПК США.

При використанні будь-якої інформаційної технології слід звертати увагу на наявність засобів захисту даних, програм, комп'ютерних систем.

Безпека даних включає забезпечення достовірності даних і захист даних і програм від несанкціонованого доступу, копіювання, зміни.

Достовірність даних контролюється на всіх етапах технологічного процесу експлуатації ІС. Розрізняють візуальні і програмні методи контролю. Візуальний контроль виконується на до машинному і заключному етапах. Програмний – на внутрішньо машинному етапі. При цьому обов'язковий контроль при введенні даних, їх коригування, тобто скрізь, де є втручання користувача в обчислювальний процес. Контролюються окремі реквізити, записи, групи записів, файли. Програмні засоби контролю достовірності даних закладаються на стадії робочого проектування.

Захист даних і програм від несанкціонованого доступу, копіювання, зміни реалізується програмно – апаратними методами і технологічними прийомами. До програмно – апаратних засобів захисту відносять паролі, електронні ключі, електронні ідентифікатори, електронний підпис, засоби кодування, декодування даних. Для кодування, декодування даних, програм і електронного підпису використовуються криптографічні методи. Наприклад, в США застосовується криптографічний стандарт, розроблений групою IETF, він експорту не підлягає. Розроблено й вітчизняні електронні ключі, наприклад, Novex Key для захисту програм і даних в системах Windows, DOS, Netware. Засоби захисту аналогічні, за словами фахівців, дверному замку. Замки зламуються, але ніхто не прибирає їх з двері, залишивши квартиру відкритою.

Технологічний контроль полягає в організації багаторівневої системи захисту програм і даних як засобами перевірки паролів, електронних підписів, електронних ключів, прихованих міток файлу, використанням програмних продуктів, що задовольняють вимогам комп'ютерної безпеки, так і методами візуального та програмного контролю достовірності, цілісності, повноти даних.

Безпека обробки даних залежить від безпеки використання комп'ютерних систем. Комп'ютерною системою називається сукупність апаратних і програмних засобів, різного роду фізичних носіїв інформації, власне даних, а також персонал, що обслуговує перераховані компоненти.

В даний час в США розроблений стандарт оцінок безпеки комп'ютерних систем – критерії оцінок придатності. У ньому враховуються чотири типи вимог до комп'ютерних систем:

– вимоги до проведення політики безпеки (security policy);

– ведення обліку використання комп'ютерних систем (accounts);

– довіру до комп'ютерних систем;