Защита информации ориентирована на борьбу с так называемыми умышленными угрозами, то есть с теми, которые, в отличие от непреднамеренных случайных угроз (ошибок пользователя, сбоев оборудования, неправильных действий пользователей или администрации и др.), преследуют цель нанести ущерб пользователям систем.

Умышленные угрозы подразделяются на активные и пассивные. Пассивная угроза - несанкционированный доступ к информации без изменения состояния системы, активная - несанкционированное изменение системы. Пассивные атаки труднее выявить, так как они не влекут за собой никаких изменений данных. Защита против пассивных атак базируется на средствах их предотвращения.

Можно выделить несколько типов угроз:

- хищение, т.е. совершение с корыстной целью противоправного безвозмездного изъятия и (или) обращения чужого имущества в пользу виновного или других лиц, причинивших ущерб собственнику или владельцу имущества;

- копирование компьютерной информации повторение и устойчивое запечатление информации на машинном или ином носителе;

- уничтожение внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводится в полную непригодность для использования по целевому назначению.

- уничтожение компьютерной информации стирание ее в памяти ЭВМ;

- повреждение изменение свойств имущества, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования;

- модификация компьютерной информации внесение любых изменений, связанных с адаптацией программы для ЭВМ или баз данных;

- блокирование компьютерной информации искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением;

- несанкционированное уничтожение, блокирование, модификация, копирование информации любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией;

- обман (отрицание подлинности, навязывание ложной информации) умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество, и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью ложных сведений.

Наиболее распространенная угроза - попытка проникновения в систему под видом легального пользователя, например попытки угадывания и подбора паролей. Более сложный вариант - внедрение в систему программы, которая выводит на экран слово login. Многие легальные пользователи при этом начинают пытаться входить в систему, и их попытки могут протоколироваться. Такие безобидные с виду программы, выполняющие нежелательные функции, называются «троянскими конями». Иногда удается торпедировать работу программы проверки пароля путем многократного нажатия клавиш Del, Break, Cancel и т. д. Для защиты от подобных атак ОС запускает процесс, называемый аутентификацией пользователя.

Угрозы другого рода связаны с нежелательными действиями легальных пользователей, которые могут, например, предпринимать попытки чтения страниц памяти, дисков и лент, которые сохранили информацию, связанную с предыдущим использованием. Защита в таких случаях базируется на надежной системе авторизации. В эту категорию также попадают атаки типа отказ в обслуживании, когда сервер затоплен мощным потоком запросов и становится фактически недоступным для отдельных авторизованных пользователей.

Наконец, функционирование системы может быть нарушено с помощью программ-вирусов или программ-»червей», которые специально предназначены для того, чтобы причинить вред или недолжным образом использовать ресурсы компьютера. Общее название угроз такого рода - вредоносные программы (malicious software). Обычно они распространяются сами по себе, переходя на другие компьютеры через зараженные файлы, диски или по электронной почте. Наиболее эффективный способ борьбы с подобными программами - соблюдение правил «компьютерной гигиены». Многопользовательские компьютеры меньше страдают от вирусов по сравнению с персональными, поскольку там имеются системные средства защиты.

Таковы основные угрозы, на долю которых приходится львиная доля ущерба, наносимого информационным системам.

Угрозы сами по себе не проявляются. Все угрозы могут быть реализованы только при наличии каких-нибудь слабых мест уязвимостей, присущих объекту информатизации. Уязвимость некая слабость, которую можно использовать для нарушения информационной автоматизированной системы или содержащейся в ней информации. (ГОСТ Р ИСО 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации»). Особое внимание при рассмотрении информационной безопасности должно уделяться источникам угроз, в качестве которых могут выступать как субъекты (личность), так и объективные проявления. Причем сами источники угроз могут находиться как внутри объекта информатизации внутренние, так и вне его внешние.

В качестве источников угроз могут быть: действия субъекта (антропогенные источники угроз); технические средства (техногенные источники угрозы); стихийные источники.

К антропогенным источникам угроз относятся субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. К техногенным источникам угроз относятся источники, определяемые технократической деятельностью человека и развитием цивилизации. К стихийным источникам угроз относятся стихийные бедствия или иные обстоятельства, которые невозможно или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Однако наибольший ущерб информации и информационным системам наносят неправомерные действия сотрудников и компьютерные вирусы. Американские специалисты утверждают, что до 85% случаев промышленного шпионажа ведётся силами сотрудников компании, в которой это происходит. В 2005 г. более трети финансовых потерь и потерь данных в организациях происходило по вине их собственных сотрудников. Решение этих проблем относится к компетенции администрации и службы безопасности организации. При этом рекомендуется шифровать даже внутрифирменную переписку.

Вирусы представляют широко распространённое явление, отражающееся на большинстве пользователей компьютеров, особенно работающих в сетях и с нелицензионным программным обеспечением. Вирусы появились в результате создания самозапускающихся программ. Внешняя схожесть этих программ с биологией и медициной по характеру воздействия на программно-технические средства способствовала появлению таких терминов, как: вирус, заражение, лечение, профилактика, прививки, доктор и др. Процесс внедрения вирусом своей копии в другую программу (системную область диска и т.д.) называется заражением, а программа или иной объект - заражёнными. Вирусы - это класс программ, незаконно проникающих в компьютеры пользователей и наносящих вред их программному обеспечению, информационным файлам и даже техническим устройствам, например, жёсткому магнитному диску. С развитием сетевых информационных технологий вирусы стали представлять реальную угрозу для пользователей сетевых и локальных компьютерных систем.

Вирусы проникают и в карманные персональные компьютеры (КПК) Первая троянская программа для КПК (Backdoor.WinCE.Brador.a утилита скрытого дистанционного доступа) обнаружена в августе 2004 года. Она может добавлять, удалять файлы на КПК, а также пересылать их автору вируса. Программа-вирус обычно состоит из уникальной последовательности команд сигнатур (знаков) и поведений, что позволяет создавать обнаруживающие их программы-антивирусы. Некоторые вирусы не имеют уникальных сигнатур и поведения и могут видоизменять самих себя (полиморфные). Всё большую роль в области несанкционированных воздействий на информацию, здания, помещения, личную безопасность пользователя и обслуживающий персонал играют ошибочные (в т.ч. случайные) и преднамеренные действия людей.

Типичными причинами нарушения безопасности на объекте являются: ошибки индивидов или неточные их действия; неисправность и (или) отказ используемого оборудования; непредсказуемые и недопустимые внешние проявления; неисправность и (или) отсутствие необходимых средств защиты; случайные и преднамеренные воздействия на информацию, защищаемые элементы оборудования, человека и окружающую среду.

Установлено, что ошибочные действия людей составляют 50-80%, а технических средств 15-25% нарушений безопасности объектов и данных. Ошибочные и несанкционированные действия людей объясняются недостаточной их дисциплинированностью и подготовленностью к работе, опасной технологией и несовершенством используемой ими техники. Известно, что число связанных с человеческим фактором техногенных аварий и катастроф доходит до двух третей от общего их количества. Отрицательные информационные социально-психологические воздействия, в т.ч. дискомфорт, человек получает и в процессе работы с огромными массивами данных. Кроме стресса, он становится жертвой информационных перегрузок, информационного шума и т.п.

Как мы уже говорили, угрозы безопасности могут быть разделены на два вида: внутренние и внешние. Внутренние угрозы безопасности объекта защиты: неквалифицированная корпоративная политика по организации информационных технологий и управлению безопасностью корпорации; отсутствие должной квалификации персонала по обеспечению деятельности и управлению объектом защиты; преднамеренные и непреднамеренные действия персонала по нарушению безопасности; техногенные аварии и разрушения, пожары.

Внешние угрозы безопасности объекта защиты: негативные воздействия недобросовестных конкурентов и государственных структур; преднамеренные и непреднамеренные действия заинтересованных структур и лиц (сбор информации, шантаж, искажение имиджа, угрозы физического воздействия и др.); утечка конфиденциальной информации из носителей информации и обусловленных каналов связи; несанкционированное проникновение на объект защиты; несанкционированный доступ к носителям информации и обусловленным каналам связи с целью хищения, искажения, уничтожения, блокирования информации; стихийные бедствия и другие форс-мажорные обстоятельства; преднамеренные и непреднамеренные действия системных интеграторов и поставщиков услуг по обеспечению безопасности, поставщиков технических и программных продуктов, кадров.

При комплексном подходе к анализу угроз информационной безопасности объекта информатизации необходимо провести: описание объекта; классификацию источников угроз; классификацию уязвимостей; классификацию методов реализации угроз; ранжирование актуальных атак; классификацию методов парирования угроз.

Структурированное описание объекта информатизации, представленное в виде типовых структурных компонентов информационной системы и связей между ними, характеризующих направления циркуляции и параметры потоков информации в совокупности с текстовыми пояснениями, позволяет выявить точки возможного применения угроз или вскрыть существующие уязвимости.

Анализ и оценка возможностей реализации угроз должны быть основаны на построении модели угроз, классификации, анализе и оценки источников угроз, уязвимостей и методов реализации. Моделирование процессов нарушения информационной безопасности может осуществляться на основе рассмотрения логической цепочки: угроза источник угрозы метод реализации уязвимость последствия. Каждый компонент рассматриваемой логической цепочки целесообразно описывать с необходимой подробностью.

Угрозы классифицируются по возможности нанесения ущерба при нарушении целей информационной безопасности; источники угроз по типу и местоположению носителя угрозы; уязвимости по принадлежности к источнику уязвимостей, возможным проявлениям. Классификация атак представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае несовпадения целей атаки с целью реализации угрозы сама атака рассматривается как этап подготовки к совершению действий, направленных на угрозы, то есть как «подготовка к совершению» противоправного действия. угроза вирус нелицензионный программный

Для создания безопасной системы необходимо, прежде всего, проанализировать возможные цели атакующих. Можно выделить следующие варианты:

- уничтожение информации; уничтожение информации для нанесения ущерба. Такой вариант не слишком вероятен, так как представить себе хранение важной информации без архивирования трудно. Также возможно уничтожение протоколов работы для затруднения определения источника атаки и способа взлома.

- искажение информации. Этот прием может применяться для компрометации компании, предоставляющей информацию. Достаточно регулярно вносить в информацию правдоподобно выглядящие ошибки, чтобы значительно снизить доверие к компании. Искажение может применяться как способ уничтожения архивируемой информации. Например, можно испортить содержимое файла, не меняя имени. Через некоторое время в архивах будет храниться испорченный файл, а нормальный будет потерян.

- хищение информации. Хищение информации самая очевидная атака. Имеет явную аналогию с кражей. В отличие от кражи предмета, успешные кражи информации долгое время могут оставаться незамеченными.

- саботаж. Атака, направленная на то, чтобы клиенты не могли использовать предоставляемый сервис. В качестве примеров: замена содержимого Web-сайта на порнографические изображения, блокирование каналов связи, целенаправленное завешивание серверов.

На основе проведенной классификации, ранжирования, анализа и определения актуальных угроз, источников угроз и уязвимостей определяются варианты возможных атак, которые позволяют оценить состояние информационной безопасности и оптимизировать выбор методов парирования угроз.

Таким образом, для получения доступа к защищенной системе могут быть использованы разнообразные средства: от перехвата информации путем ее съема с кабельной сети и до методов социальной инженерии.

Меры, принимаемые для обеспечения безопасности системы, должны быть комплексными: от обеспечения физической недоступности сервера и до тщательной регламентации работы пользователей системы.

3. Методы парирования угроз

Средства и методы защиты информации обычно делят на две большие группы: организационные и технические. Под организационными подразумеваются законодательные, административные и физические, а под техническими аппаратные, программные и криптографические мероприятия, направленные на обеспечение защиты объектов, людей и информации. С целью организации защиты объектов используют системы охраны и безопасности объектов это совокупность взаимодействующих радиоэлектронных приборов, устройств и электрооборудования, средств технической и инженерной защиты, специально подготовленного персонала, а также транспорта, выполняющих названную функцию. При этом используются различные методы, обеспечивающие санкционированным лицам доступ к объектам и информационным ресурсам. К ним относят аутентификацию и идентификацию пользователей.

Аутентификация это метод независимого от источника информации установления подлинности информации на основе проверки подлинности её внутренней структуры («это тот, кем назвался?»).

Авторизация в информационных технологиях это предоставление определённых полномочий лицу или группе лиц на выполнение некоторых действий в системе обработки данных. («имеет ли право выполнять данную деятельность?»). Посредством авторизации устанавливаются и реализуются права доступа к ресурсам.

Идентификация это метод сравнения предметов или лиц по их характеристикам, путём опознавания по предметам или документам, определения полномочий, связанных с доступом лиц в помещения, к документам и т.д. («это тот, кем назвался и имеет право выполнять данную деятельность?»).

В современных информационных технологиях для эффективного использования этих методов, кроме физических мер охраны объектов, широко применяются программно-технические средства, основанные на использовании биометрических систем, криптографии и др.

Эффективность защиты информации в значительной степени зависит от своевременности обнаружения и исключения воздействий на неё, а, при необходимости, восстановления программ, файлов, информации, работоспособности компьютерных устройств и систем. Важной составляющей выполнения подобные действия являются программные и технические средства защиты.

Программные средства защиты - это самый распространённый метод защиты информации в компьютерах и информационных сетях. Обычно они применяются при затруднении использования некоторых других методов и средств. Проверка подлинности пользователя обычно осуществляется операционной системой. Пользователь идентифицируется своим именем, а средством аутентификации служит пароль.

Программные средства защиты представляют комплекс алгоритмов и программ специального назначения и общего обеспечения работы компьютеров и информационных сетей. Они нацелены на: контроль и разграничение доступа к информации, исключение несанкционированных действий с ней, управление охранными устройствами и т.п. Программные средства защиты обладают универсальностью, простотой реализации, гибкостью, адаптивностью, возможностью настройки системы и др.

Широко применяются программные средства для защиты от компьютерных вирусов. Для защиты машин от компьютерных вирусов, профилактики и «лечения» используются программы-антивирусы, а также средства диагностики и профилактики, позволяющие не допустить попадания вируса в компьютерную систему, лечить заражённые файлы и диски, обнаруживать и предотвращать подозрительные действия. Антивирусные программы оцениваются по точности обнаружения и эффективному устранение вирусов, простое использование, стоимость, возможности работать в сети.

Наибольшей популярностью пользуются программы, предназначенные для профилактики заражения, обнаружения и уничтожения вирусов. Среди них отечественные антивирусные программы DrWeb (Doctor Web) И. Данилова и AVP (Antiviral Toolkit Pro) Е. Касперского. Они обладают удобным интерфейсом, средствами сканирования программ, проверки системы при загрузке и т.д. В России используются и зарубежные антивирусные программы.

Абсолютно надёжных программ, гарантирующих обнаружение и уничтожение любого вируса, не существует. Только многоуровневая оборона способна обеспечить наиболее полную защиту от вирусов. Важным элементом защиты от компьютерных вирусов является профилактика. Антивирусные программы применяют одновременно с регулярным резервированием данных и профилактическими мероприятиями. Вместе эти меры позволяют значительно снизить вероятность заражения вирусом.

Основными мерами профилактики вирусов являются:

1) применение лицензионного программного обеспечения;

2) регулярное использование нескольких постоянно обновляемых антивирусных программ для проверки не только собственных носителей информации при переносе на них сторонних файлов, но и любых «чужих» дискет и дисков с любой информацией на них, в т.ч. и переформатированных;

3) применение различных защитных средств при работе на компьютере в любой информационной среде (например, в Интернете). Проверка на наличие вирусов файлов, полученных по сети;

4) периодическое резервное копирование наиболее ценных данных и программ.

Одним из наиболее известных способов защиты информации является её кодирование (шифрование, криптография). Оно не спасает от физических воздействий, но в остальных случаях служит надёжным средством. Код характеризуется: длиной - числом знаков, используемых при кодировании и структурой - порядком расположения символов, используемых для обозначения классификационного признака. Средством кодирования служит таблица соответствия (например, кодовая таблица ASCII).

Общие методы криптографии существуют давно. Она считается мощным средством обеспечения конфиденциальности и контроля целостности информации. Пока альтернативы методам криптографии нет. Стойкость криптоалгоритма зависит от сложности методов преобразования. Вопросами разработки, продажи и использования средств шифрования данных и сертификации средств защиты данных занимается Гостехкомиссия РФ. Если использовать 256 и более разрядные ключи, то уровень надёжности защиты данных составит десятки и сотни лет работы суперкомпьютера. Для коммерческого применения достаточно 40-, 44-х разрядных ключей.

Одной из важных проблем информационной безопасности является организация защиты электронных данных и электронных документов. Для их кодирования, с целью удовлетворения требованиям обеспечения безопасности данных от несанкционированных воздействий на них, используется электронная цифровая подпись (ЭЦП).

Цифровая подпись представляет последовательность символов. Она зависит от самого сообщения и от секретного ключа, известного только подписывающему это сообщение. Первый отечественный стандарт ЭЦП появился в 1994 году. Вопросами использования ЭЦП в России занимается Федеральное агентство по информационным технологиям (ФАИТ).

Технические средства защиты используются в различных ситуациях, входят в состав физических средств защиты и программно-технических систем, комплексов и устройств доступа, видеонаблюдения, сигнализации и других видов защиты. В простейших ситуациях для защиты персональных компьютеров от несанкционированного запуска и использования, имеющихся на них данных предлагается устанавливать устройства, ограничивающие доступ к ним, а также работать со съёмными жёсткими магнитными и магнитооптическими дисками, самозагружающимися компакт-дисками, флеш-памятью и др.

Для охраны объектов с целью защиты людей, зданий, помещений, материально-технических средств и информации от несанкционированных воздействий на них, широко используют системы и меры активной безопасности. Общепринято для охраны объектов применять системы управления доступом (СУД). Подобные системы обычно представляют собой автоматизированные системы и комплексы, формируемые на основе программно-технических средств.

В большинстве случаев для защиты информации, ограничения несанкционированного доступа к ней, в здания, помещения и к другим объектам приходится одновременно использовать программные и технические средства, системы и устройства.

В качестве технического средства защиты применяют различные электронные ключи, например, HASP (Hardware Against Software Piracy), представляющие аппаратно-программную систему защиты программ и данных от нелегального использования и пиратского тиражирования. Электронные ключи Hardlock используются для защиты программ и файлов данных. В состав системы входит собственно Hardlock, крипто-карта для программирования ключей и программное обеспечение для создания защиты приложений и связанных с ними файлов данных.

К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности информационных ресурсов, относятся:

- аутентификация пользователя и установление его идентичности;

- управление доступом к БД;

- поддержание целостности данных;

- защита коммуникаций между клиентом и сервером;

- отражение угроз, специфичных для СУБД и др.

Поддержание целостности данных подразумевает наличие не только программно-аппаратных средств поддержки их в рабочем состоянии, но и мероприятия по защите и архивированию информационных ресурсов, дублированию их и т.п. Наибольшую опасность для информационных ресурсов, особенно организаций, представляет несанкционированное воздействие на структурированные данные БД. В целях защиты информации в БД важнейшими являются следующие аспекты информационной безопасности (европейские критерии):

- условия доступа (возможность получить некоторую требуемую информационную услугу);

- целостность (непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения);

- конфиденциальность (защита от несанкционированного прочтения).

Эти аспекты являются основополагающими для любого программно-технического обеспечения, предназначенного для создания условий безопасного функционирования данных в компьютерах и компьютерных информационных сетях. Контроль доступа это процесс защиты данных и программ от их использования объектами, не имеющими на это права.

Управление доступом служит для контроля входа/выхода работников и посетителей организации через автоматические проходные (турникеты, арочные металлодетекторы). Контроль их перемещения осуществляется с помощью систем видеонаблюдения. В управление доступом входят устройства и (или) системы ограждения для ограничения входа на территорию (охрана периметров). Используются также методы визуализации (предъявление вахтёру соответствующих документов) и автоматической идентификации входящих/выходящих работников и посетителей.

К мерам, обеспечивающим сохранность традиционных и нетрадиционных носителей информации и, как следствие, самой информации относят технологии штрихового кодирования. Эта известная технология широко используется при маркировке различных товаров, в том числе документов, книг и журналов.

В организациях применяют удостоверения, пропуска, читательские билеты и т.п., в том числе в виде пластиковых карт или ламинированных карточек, содержащих идентифицирующие пользователей штрих-коды. Для проверки штрих-кодов используют сканирующие устройства считывания бар-кодов сканеры. Они преобразуют считанное графическое изображение штрихов в цифровой код. Кроме удобства, штрих-коды обладают и отрицательными качествами: дороговизна используемой технологии, расходных материалов и специальных программно-технических средств; отсутствие механизмов полной защиты документов от стирания и пропажи.

Для защиты информации в информационных компьютерных сетях используют специальные программные, технические и программно-технические средства. С целью защиты сетей и контроля доступа в них используют: фильтры пакетов, запрещающие установление соединений, пересекающих границы защищаемой сети; фильтрующие маршрутизаторы, реализующие алгоритмы анализа адресов отправления и назначения пакетов в сети; шлюзы прикладных программ, проверяющие права доступа к программам.

В качестве устройства, препятствующего получению злоумышленником доступа к информации, используют Firewalls (англ. «огненная стена» или «защитный барьер» брандмауэр). Такое устройство располагают между внутренней локальной сетью организации и Интернетом. Оно ограничивает трафик, пресекает попытки несанкционированного доступа к внутренним ресурсам организации. Это внешняя защита. Современные брандмауэры могут «отсекать» от пользователей корпоративных сетей незаконную и нежелательную для них корреспонденцию, передаваемую по электронной почте. При этом ограничивается возможность получения избыточной информации и так называемого «мусора» (спама).

Другим техническим устройством эффективной защиты в компьютерных сетях является маршрутизатор. Он осуществляет фильтрацию пакетов передаваемых данных. В результате появляется возможность запретить доступ некоторым пользователям к определённому «хосту», программно осуществлять детальный контроль адресов отправителей и получателей. Так же можно ограничить доступ всем или определённым категориям пользователей к различным серверам, например, ведущим распространение противоправной или антисоциальной информации (пропаганда секса, насилия и т.п.).

Защита может осуществляться не только в глобальной сети или локальной сети организации, но и отдельных компьютеров. Для этой цели создаются специальные программно-аппаратные комплексы.

Для комплексной защиты информации, объектов и людей на различных предприятиях рекомендуется разрабатывать и внедрять соответствующие мероприятия. Комплексно мероприятия по обеспечению сохранности и защиты информации, объектов и людей включают организационные, физические, социально-психологические мероприятия и инженерно-технические средства защиты. Организационные мероприятия предполагают объединение всех составляющих безопасности. Во всём мире основную угрозу информации организации представляют её сотрудники, оказывающиеся психически неуравновешенными, обиженными или неудовлетворенными характером их работы, зарплатой, взаимоотношениями с коллегами и руководителями.

Социально-психологические мероприятия также относятся к организационным. Они включают регулярное проведение организационных мероприятий по недопущению отрицательных воздействий и явлений, по созданию работникам комфортных условий и нормального психологического климата. С этой целью в штат некоторых организаций входит психолог.

Физические мероприятия примыкают к организационным. Они заключаются в применении человеческих ресурсов, специальных технических средств и устройств, обеспечивающих защиту от проникновения злоумышленников на объект, несанкционированного использования, порчи или уничтожения ими материальных и людских ресурсов. Такими человеческими ресурсами являются лица ведомственной или вневедомственной охраны и вахтеры, отдельные, назначаемые руководством организации, сотрудники.

В качестве технических средств используются решётки на окна, ограждения, металлические двери, турникеты, металлодетекторы и др. Программно-технические средства включают различные системы ограничения доступа на объект, сигнализации и видеонаблюдения.

Для комплексного обеспечения безопасности объекты оборудуются системами связи, диспетчеризации, оповещения, контроля и управления доступом; охранными, пожарными, телевизионными и инженерными устройствами и системами; охранной, пожарной сигнализацией и автоматикой. Успешному обеспечению безопасности способствуют заблаговременные мероприятия по выявлению и идентификации возможных угроз (опознание, предвидение, оценка, уменьшение вредного влияния на человека/среду обитания).

Взаимосвязь рассмотренных выше мер обеспечения безопасности приведена на рисунке 1.

Рисунок 1 - Взаимосвязь мер обеспечения информационной безопасности, где

1 Нормативные и организационно-распорядительные документы составляются с учетом и на основе существующих норм морали и этики.

2 Организационные меры обеспечивают исполнение существующих нормативных актов и строятся с учетом существующих правил поведения, принятых в стране и/или организации

3 Воплощение организационных мер требует разработки соответствующих нормативных и организационно-распорядительных документов

4 Для эффективного применения организационные меры должны быть поддержаны физическими и техническими средствами

5 Применение и использование технических средств защиты требует соответствующей организационной поддержки.

Список литературы

1. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. - Москва: Наука, 2015. - 552 c.

2. Бабаш, А. В. Информационная безопасность (+ CD-ROM) / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.

3. Безопасность России. Правовые, социально-экономические и научно-технические аспекты. Основы информационно-психологической безопасности: моногр. . - М.: Международный гуманитарный фонд "Знание", 2014. - 416 c.

4. Безопасность ребенка. Информационный стенд. - М.: Сфера, Ранок, 2013. - 787 c.

5. Васильков, А. В. Безопасность и управление доступом в информационных системах / А.В. Васильков, И.А. Васильков. - М.: Форум, 2015. - 368 c.

6. Гафнер, В. В. Информационная безопасность / В.В. Гафнер. - М.: Феникс, 2014. - 336 c.

7. Гришина, Н. В. Информационная безопасность предприятия. Учебное пособие / Н.В. Гришина. - М.: Форум, 2015. - 240 c.

8. Девянин, П.Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах / П.Н. Девянин. - М.: Радио и связь, 2013. - 176 c.

9. Ефимова, Л. Л. Информационная безопасность детей. Российский и зарубежный опыт / Л.Л. Ефимова, А С. А, Кочерга. - М.: Юнити-Дана, 2013. - 240 c.

10. Информационная безопасность открытых систем. В 2 томах. Том 1. Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников и др. - Москва: Машиностроение, 2016. - 536 c.

11. Информационная безопасность открытых систем. В 2 томах. Том 2. Средства защиты в сетях / С.В. Запечников и др. - Москва: СПб. [и др.] : Питер, 2014. - 560 c.

12. Мельников, В. П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - М.: Academia, 2017. - 336 c.

13. Мельников, В. П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - М.: Академия, 2013. - 336 c.

14. Мельников, В. П. Информационная безопасность и защита информации / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - Москва: Мир, 2013. - 336 c.

15. Мельников, В.П. Информационная безопасность и защита информации / В.П. Мельников. - М.: Академия (Academia), 2016. - 282 c.

16. Партыка, Т. Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: Форум, Инфра-М, 2016. - 368 c.

17. Партыка, Т.Л. Информационная безопасность / Т.Л. Партыка, И.И. Попов. - М.: ИНФРА-М, 2015. - 368 c.

18. Петров, Сергей Викторович; Кисляков Павел Александрович Информационная Безопасность / Александрович Петров Сергей Викторович; Кисляков Павел. - Москва: СПб. [и др.] : Питер, 2013. - 329 c.

Размещено на Allbest.ru