СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Прочее
Артем
11.07.2020
#Dev#ИБ

Способы защиты информации

Способы защиты информации

Информация, которая хранится в компьютерных системах, может быть похищена, удалена, изменена из-за действий киберпреступников, неисправности оборудования. Чтобы защитить информацию, применяются различные программные и программно-аппаратные средства, техсредства.

Методы неправомерного доступа к данным

Чтобы эффективно бороться с несанкционированным доступом к данным, необходимо четко обозначить возможные каналы утечки.

Работа компьютерных устройств базируется на интегральной схеме, создающей высокочастотные изменения уровня напряжения и токов. Колебания, распространяющиеся по проводам, трансформируются в доступную форму, но и могут перехватываться с использованием специальных методов. В устройства могут быть установлены гаджеты для перехвата данных, выводимых на монитор или вводимых с клавиатуры. Перехватывать данные злоумышленники могут и при отправке данных по внешним каналам связи.

Способы защиты

Возможно применение различных способов защиты:

  • Побуждение, формирование условий, мотивирующих пользователей к правильному поведению.
  • Принуждение, формирование условий, в которых пользователи обязаны соблюдать регламенты взаимодействия с информацией.
  • Регламентация, формирование нормативных и правовых актов, перечня мер, направленных на побуждение пользователей, работающих с информацией, к необходимым нормам поведения.
  • Маскировка, преобразование информации (например, с использованием методов криптозащиты информации).
  • Управление, оказание воздействия на элементы защищаемой компьютерной системы.
  • Формирование барьеров на пути возможного злоумышленника, создающихся программным, физическим способами.

Каждый защитный способ может быть реализован с использованием разных групп защитных средств. Главные из них – технические и организационные.

Организационные средства защиты

Создание набора организационных средств защиты данных – это компетенция департамента безопасности компании. Сотрудники такого отдела обязаны решать следующие задачи:

  • Создание внутренних документов, устанавливающих регламенты и стандарты взаимодействия с компьютерным оборудованием, секретными данными.
  • Проведение инструктажа, систематические проверки работников компании, инициация заключения дополнительных соглашений с работниками, в которых прописывается ответственность за разглашение, незаконную эксплуатацию корпоративных данных.
  • Разграничение зон ответственности для исключения ситуаций, при которых большое количество информации находятся в распоряжении одного работника компании.
  • Организация деятельности сотрудников в общих программных продуктах по документообороту.
  • Отслеживание факта хранения критически важной информации только в корпоративной сети (к примеру, ее не должно быть на сетевых дисках).
  • Интеграция программного обеспечения для защиты информации от удаления или распространения работниками компании, в том числе и руководящим составом.
  • Разработка схем восстановления системы (если она выйдет из строя по различным причинам).

Технические средства защиты

Технические средства комбинируют в себе комплекс программных и аппаратных средств. Наиболее распространенные из них:

  • Инсталляция программных продуктов, защищающих базы данных и иные корпоративные сведения от несанкционированного доступа.
  • Соблюдение правил пожаробезопасности на объекте.
  • Использование на объекте вспомогательных систем электроснабжения.
  • Формирование возможностей по перераспределению ресурсов сети в ситуациях нарушения работоспособности некоторых ее составляющих частей.
  • Дублирование и резервирование подсистем, имеющих отношение к процессам сохранности корпоративной информации.
  • Резервное копирование, дистанционное хранение критически важной информации в системе (периодически).

Аутентификация и идентификация

Для недопущения несанкционированного доступа к данным используются механизмы идентификации и аутентификации. Несмотря на кажущуюся схожесть, они имеют существенные отличия:

  • Аутентификация – процесс проверки подлинности чего-либо (к примеру, сравнение введенного пароля с данными из БД).
  • Идентификация – процесс присвоения идентификационного имени или образа пользователям, взаимодействующим с информационной системой.

Основная задача применения подобных средств – предоставление или запрет допуска к данным.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: