В настоящее время выделяют три уровня средств обеспечения защиты:
юридические средства;
административные средства;
технические средства.
Юридические средства защиты.
Под юридическими средствами понимается нормативно-законодательный комплекс, включающий в себя документы и акты различных, регламентирующие вопросы защиты информации: мирового и межгосударственного, федерального (для Российской Федерации) и уровня субъекта Федерации. В частности, в Уголовном Кодексе Российской Федерации имеются следующие статьи:
Статья 272 (Неправомерный доступ к компьютерной информации), устанавливает ответственность за "неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".
Статья 273 (Создание, использование и распространение вредоносных программ для ЭВМ) устанавливает ответственность за "внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации".
Статья 274 (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети) предусматривает ответственность за "нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред". Понятие "существенности" вреда является оценочным и в каждом конкретном случае определяется индивидуально.
Наряду с УК РФ федеральными актами, регулирующими от части вопросы информационного права, являются "Закон об авторском праве и смежных правах" и "Закон о правовой охране программ для ЭВМ и баз данных".
Административные средства.
Административные средства, как правило, включают в себя комплекс мер, действующих в рамках организаций и предприятий и направленных на снижение ущерба, нанесенного реализацией какой-либо угрозы безопасности, например, заражением компьютерными вирусами. При разработке административных средств обычно планируют две группы мер: Меры, направленных на предупреждения угроз безопасности. Обычно к этой группе относятся меры следующего характера:
меры по внедрению и активному использованию технических средств предупреждения;
правила, ограничивающие свободу действий пользователей;
обучение неквалифицированных пользователей;
меры по упорядочиванию информационных потоков в корпоративной сети и прав доступа.
Меры по выявлению фактов реализации угроз безопасности. Наиболее значимые среди них:
внедрение, постоянная эксплуатация и обновление технических средств выявления фактов реализации угроз;
обучение пользователей.
Технические средства.
В настоящее время существует большое разнообразие технических средств защиты. К числу таких средств относятся программные, аппаратные и программно-аппаратные комплексы, обеспечивающие выполнение различных функций защиты информации.
К ним относятся:
Системы разграничения доступа и аудита доступа, обеспечивающие упорядочивание и отслеживание операций, производимых пользователями над объектами (файлами и папками). Подсистема безопасности ОС Windows обеспечивает разграничение доступа и аудит.
Криптографические средства, обеспечивающие шифрование информации и механизмы проверки подлинности (цифровая подпись и сертификаты). Windows содержит ряд средств, обеспечивающих криптографическую защиту.
Антивирусные мониторы, фильтры, сканеры.
Межсетевые экраны (брандмауэры) и шлюзы. Службы удаленного доступа (RRAS) и обеспечения общего доступа для подключения к Интернету (ICS) Windows выполняют функции межсетевых экранов.
Средства обеспечения отказоустойчивости и резервного копирования. В Windows имеется встроенная поддержка резервного копирования и отказоустойчивых дисковых массивов.
В следующих разделах более подробно рассматриваются средства защиты информации, встроенные в Windows.
Оценка защищенности операционных систем.
Для оценки защищенности операционных систем используются стандарты, разработанные для компьютерных систем вообще. Рассмотрим две наиболее часто применяемые в России системы стандартов такого рода.
"Оранжевая книга". Наиболее известным стандартом безопасности компьютерных систем является документ под названием "Критерии безопасности компьютерных систем" (Trusted Computer System Evaluation Criteria), разработанный Министерством обороны США в 1983 г. Этот документ более известен под неформальным названием Оранжевая книга. Согласно "Оранжевой книге" все защищенные компьютерные системы делятся на семь классов от D1 (минимальная защита, фактически отсутствие всякой защиты) до A1 (максимальная защита).
Руководящие документы Гостехкомиссии. В 1992 г. Гостехкомиссия при Президенте Российской Федерации опубликовала пять руководящих документов, посвященных вопросам защиты компьютерных систем. В документе "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" установлено семь классов защищенности средств вычислительной техники. Самые низкие требования предъявляются к классу 7, самые высокие - к классу 1. Требования этих классов в основном соответствуют аналогичным требованиям "Оранжевой книги".
