Естественно, что не существует каких-либо причин, по которым в системах машинной обработки данных, базирующихся на современных средствах вычислительной техники, невозможно было бы обеспечить большую степень сохранности данных, чем в обычных системах сбора, накопления и обработки информации. Система должна защищать своих пользователей друг от друга как от случайных, так и целенаправленных угроз нарушения сохранности информации. Кроме того, принятые механизмы обеспечения сохранности должны предоставлять пользователю средства для защиты его программ и данных от него самого. На рубеже 50-60-х годов еще не осознавалось, что ЭВМ могут вызывать самые различные ненамеренные ошибки и быть предметом разнообразных злоупотреблений. В дальнейшем большая концентрация массивов информации, отсутствие элементарного контроля за ее сохранностью и относительно низкий уровень надежности технических средств стали вызывать у зарубежных специалистов тревогу в обеспечении сохранности информации. С появлением ЭВМ, работающих в режиме разделения времени, и вычислительных сетей, объединяющих такие ЭВМ, значительно возросло число лиц, имеющих доступ к вычислительным средствам. Это не только пользователи и обслуживающий персонал ВЦ, но и административный и вспомогательный персонал.
Совершенствование технологии обработки информации привело к созданию информационных баз данных, содержащих большие объемы разнообразной информации, что тоже предъявляет дополнительные требования к обеспечению сохранности информации. Современные информационные системы обеспечивают одновременный доступ к вычислительным ресурсам для многих пользователей с территориально удаленных терминалов. В связи с этим возникла и новая проблема обеспечить сохранность программ и данных пользователя от неавтоматизированного воздействия со стороны других пользователей информационной системы во время передачи информации по каналам связи.. Основными путями утечки информации ограниченного использования они считают хищение носителей информации и документов, получаемых в результате работы информационных систем; копирование информации на ЭВМ; несанкционированное подключение к аппаратуре и линиям связи; перехват электромагнитных излучений в процессе обработки информации. В зарубежной литературе приводится большое количество примеров, позволяющих судить о серьезности и важности проблемы обеспечения безопасности информации в информационных системах. Исходя из анализа возможных путей утечки информации разрабатываются специальные методы и средства защиты информации. Защита информации обычно сводится к выбору средств контроля за выполнением программ, имеющих доступ к информации, хранимой в СОД. Иногда под термином "защита" подразумеваются средства, ограничивающие последствия непреднамеренных ошибок в программном обеспечении или правилах его использования. Действительно, такие случайности необходимо исключить, однако это имеет практически мало общего с задачей защиты от преднамеренных нарушений безопасности информации. Таким образом, в более узком смысле защита представляет собой совокупность методов и средств, позволяющих управлять доступом выполняемых программ к хранящейся информации в СОД.[7]
Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.
Федеральный закон "Об информации, информатизации и защите информации", определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:
-предотвращение утечки, хищения, искажения, подделки информации;
-предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;
-сохранение государственной тайны, конфиденциальности документированной информации.
Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.
Отдельный раздел законопроекта "О коммерческой тайне", посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите:
-установление особого режима конфиденциальности;
-ограничение доступа к конфиденциальной информации;
-использование организационных мер и технических средств защиты информации;
-осуществление контроля за соблюдением установленного режима конфиденциальности.
Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации. Как правило, особый режим конфиденциальности подразумевает:
-организацию охраны помещений, в которых содержатся носители конфиденциальной информации;
-установление режима работы в помещениях, в которых содержатся носители конфиденциальной информации;
-установление пропускного режима в помещения, содержащие носители конфиденциальной информации;
-закрепление технических средств обработки конфиденциальной информации за сотрудниками, определение персональной ответственности за их сохранность;
-установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность);
-организацию ремонта технических средств обработки конфиденциальной информации;
-организацию контроля за установленным порядком.
Ограничение доступа к конфиденциальной информации способствует созданию наиболее эффективных условий сохранности конфиденциальной информации. Необходимо четко определять круг сотрудников, допускаемых к конфиденциальной информации, к каким конкретно сведениям им разрешен доступ и полномочия сотрудников по доступу к конфиденциальной информации.
Созданием органов защиты информации на предприятии завершается построение системы защиты информации, под которой понимается совокупность органов защиты информации или отдельных исполнителей, используемые ими средства защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.[9]
При рассмотрении проблем защиты данных в сети, прежде всего возникает вопрос о классификации сбоев и нарушений, прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных «угроз» можно выделить:
1. Сбои оборудования:
-сбои кабельной системы;
-перебои электропитания;
-сбои дисковых систем;
-сбои архивации данных;
-сбои работы серверов, рабочих станций, сетевых карт и т.д.
2. Потери информации из-за некоторой работы ПО:
-потеря или изменение данных при ошибках ПО;
-потеря при заражении системы компьютерными вирусами;
3. Потери, связанные с несанкционированным доступом:
-несанкционированное копирование, уничтожение или подделка информации;
-ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц;
-Потери информации, связанные с неправильным хранением архивных данных;
4. Ошибки обслуживающего персонала и пользователей:
-случайное уничтожение или изменение данных;
-некоторое использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.
В зависимости от возможных видов нарушений работы сети многочисленные виды защиты информации объединяются в три основных класса:
1. Средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т. д.
2. Программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.
3. Административные меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действия в чрезвычайных ситуациях и т. д.
Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания програм-мных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д.
Концентрация информации в компьютерах - аналогично концентрации наличных денег в банках - заставляет все более усиливать контроль в целях защиты информации. Юридические вопросы, частная тайна, национальная безопасность- все эти соображения требуют усиления внутреннего контроля в коммерческих организациях. Работы в этом направлении привели к появлению новой дисциплины: безопасность информации. Специалист в области безопасности информации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности, направленной на поддержание целостности, пригодности и конфиденциальности накопленной в организации информации. В его функции входит обеспечение физической (технические средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.