- имеющие доступ в золу данных (баз данных, архивов и т. п.); - имеющие доступ в зону управления средствами обеспечения безопасности ИС. Система защиты — это совокупность специальных мер правового и административного характера, организационных мероприятий, программно-аппаратных средств защиты, а также специального персонала, предназначенных для обеспечения информационной безопасности. Для построения эффективной системы защиты необходимо провести следующие работы: - определить угрозы безопасности информации; - выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к данным; построить модель потенциального нарушителя; - выбрать соответствующие меры, методы, механизмы и средства защиты. Проблема создания системы защиты информации включает две задачи: разработка системы защиты информации; - оценка разработанной системы защиты информации. Вторая задача решается путем анализа технических характеристик системы с келью установления, удовлетворяет ли система защиты информации комплексу требований. Такая задача в настоящее время решается экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения. Рассмотрим основное содержание методов защиты информации. Создание препятствий — методы физического преграждения злоумышленнику пути к защищаемой информации (аппаратуре, носителям информации и т. д.). Управление доступом — метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств). Защита от несанкционированного доступа к ресурсам компьютера — это комплексная проблема, подразумевающая решение следующих вопросов: - присвоение пользователю, терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов); - выполнение процедур установления подлинности при обращениях к информационной системе, то есть проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует; - проверка полномочий, то есть проверка права пользователя на доступ к системе или запрашиваемым данным; - автоматическая регистрация в специальном журнале всех как удовлетворенных, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, то есть ведение аудита. Маскировка — метод защиты информации путем ее криптографического закрытия. Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Принуждение — метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких как технические, программные, организационные, законодательные. 177
RkJQdWJsaXNoZXIy MTExODQxMg==