Что не относится к числу основных аспектов информационной безопасности
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?
«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.
Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.
Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.
Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.
В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.
Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.
Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.
Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.
Угрозы информационной безопасности, которые наносят наибольший ущерб
Рассмотрим ниже классификацию видов угроз по различным критериям:
Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.
На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.
Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.
Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.
Угрозы непосредственно информационной безопасности
К основным угрозам доступности можно отнести
Основные угрозы целостности
Можно разделить на угрозы статической целостности и угрозы динамической целостности.
Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.
С целью нарушения статической целостности злоумышленник может:
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Для наглядности данные виды угроз так же схематично представлены ниже на рис 1. 
Рис. 1. Классификация видов угроз информационной безопасности
Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.
Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:
Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».
Что не относится к числу основных аспектов информационной безопасности
Сложность обеспечения информационной безопасности является следствием:
В число универсальных сервисов безопасности входят:
В число принципов управления персоналом входят:
Комплексное экранирование может обеспечить:
Уровень безопасности C, согласно «Оранжевой книге», характеризуется:
Перехват данных является угрозой:
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
В число целей политики безопасности верхнего уровня входят:
В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
Оценка рисков позволяет ответить на следующие вопросы:
В число этапов управления рисками входят:
Агрессивное потребление ресурсов является угрозой:
В рамках программы безопасности нижнего уровня определяются:
«Общие критерии» содержат следующие виды требований:
В законопроекте «О совершенствовании информационной безопасности» (США, 2001 год) особое внимание обращено на:
Что из перечисленного относится к числу основных аспектов информационной безопасности:
Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:
На современном этапе развития законодательного уровня информационной безопасности в России важнейшее значение имеют:
Меры информационной безопасности направлены на защиту от:
Совместно с криптографическими сервисами туннелирование может применяться для достижения следующих целей:
В число возможных стратегий нейтрализации рисков входят:
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
Согласно стандарту X.700, в число функций управления безопасностью входят:
Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:
Риск является функцией:
В число этапов жизненного цикла информационного сервиса входят:
В число классов функциональных требований «Общих критериев» входят:
Доступность достигается за счет применения мер, направленных на повышение:
Уголовный кодекс РФ не предусматривает наказания за:
Сложность обеспечения информационной безопасности является следствием:
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
В число принципов физической защиты входят:
Туннелирование может применяться для достижения следующих целей:
Самыми опасными угрозами являются:
Достоинствами асинхронного тиражирования являются:
Компьютерная преступность в мире:
В число классов мер процедурного уровня входят:
Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:
В число возможных стратегий нейтрализации рисков входят:
Уголовный кодекс РФ не предусматривает наказания за:
Что понимается под информационной безопасностью:
В число направлений повседневной деятельности на процедурном уровне входят:
В число направлений физической защиты входят:
Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
Управление рисками включает в себя следующие виды деятельности:
После идентификации угрозы необходимо оценить:
В число этапов жизненного цикла информационного сервиса входят:
Аутентификация на основе пароля, переданного по сети в зашифрованном виде и снабженного открытой временной меткой, плоха, потому что не обеспечивает защиты от:
Большинство людей не совершают противоправных действий потому, что это:
Сложность обеспечения информационной безопасности является следствием:
Средний ущерб от компьютерного преступления в США составляет примерно:
В число уровней, на которых группируются меры обеспечения информационной безопасности, входят:
Каркас необходим системе управления для придания:
Нужно ли включать в число ресурсов по информационной безопасности серверы с законодательной информацией по данной тематике:
Выявление неадекватного поведения выполняется системами управления путем применения методов, типичных для:
В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:
Интенсивности отказов независимых компонентов:
Эффективность информационного сервиса может измеряться как:
Доступность достигается за счет применения мер, направленных на повышение:
Информационный сервис считается недоступным, если:
Системы анализа защищенности помогают:
На межсетевые экраны целесообразно возложить следующие функции:
Экранирование на сетевом уровне может обеспечить:
Сигнатурный метод выявления атак хорош тем, что он:
Протоколирование само по себе не может обеспечить неотказуемость, потому что:
Криптография необходима для реализации следующих сервисов безопасности:
Цифровой сертификат содержит:
При использовании описанного в курсе подхода к разграничению доступа в объектной среде правила разграничения доступа задаются в виде:
Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:
При использовании версии сервера аутентификации Kerberos, описанной в курсе:
При использовании сервера аутентификации Kerberos пароли по сети:
Важнейшие аспекты информационной безопасности: 3 основы
Информационная безопасность — это процесс обеспечения сохранности и защищенности информации или ее частей, а также оборудования, при помощи которого эта информация сохраняется и обрабатывается. Этот процесс включает в себя соблюдение комплекса мер, методов, стандартов и технологий, которые и обеспечивают должную защиту конкретному ресурсу.
Цель создания информационной безопасности — это обезопасить информацию и оборудование от злоумышленного или непреднамеренного вмешательства со стороны сторонних лиц с целью заполучить или уничтожить данные.
Основные аспекты информационной безопасности
Для обеспечения успешной защищенности ресурса и построения правильной стратегии защиты выделяют 3 основных аспекта информационной безопасности:
Конфиденциальный аспект. Означает, что нужно тщательно контролировать работу с данными, чтобы устранить возможность их утечки, а также предотвратить несанкционированный доступ к ним со стороны неизвестных людей. Конфиденциальность должна присутствовать на всех этапах: при разработке ресурса, при работе с данными, при их сохранении, внесении в базу и транзите.
Целостностный аспект. Это комплексная работа при защите данных, которая обеспечит защиту от сбоев в работе и уничтожения самих данных. Целостность больше связана с системой управления ресурсом, а не с его технической частью.
Аспект доступности. Включает в себя обеспечение надежного и эффективного доступа к защищаемой информации только проверенных лиц. Если защищаемая система была «взломана», то данный аспект гарантирует ее качественное восстановление и обеспечение работоспособности.
Все три аспекта тесно связаны между собой, и нарушение в работе одного из них обязательно приведет к сбою всей системы безопасности. Вероятность возникновения такого сбоя называют угрозой.
Угрозы информационной безопасности
Угрозы бывают 3-х видов:
Аппаратная. Когда существует вероятность нарушения работоспособности оборудования.
Вероятность утечки. Когда возможен несанкционированный доступ к данным и их потеря.
Нестабильность ПО. Когда есть вероятность некорректной работы программного обеспечения.
По степени происхождения угрозы информационной безопасности разделяют на следующие категории:
Искусственная. Данные угрозы, в свою очередь, делятся на 2 подкатегории: преднамеренная подкатегория — это действия хакеров, конкурентов, недобросовестных сотрудников и т. д., непреднамеренная — действия происходят из-за людей по их неосторожности.
Внутренняя. Угроза исходит изнутри самой системы.
Внешняя. Все угрозы, которые происходят вне системы.
По степени воздействия на информационную безопасность различают 2 вида угроз:
Пассивная. Это та угроза, которая не воздействует на систему и не изменяет ее структуру.
Активная. Это та угроза, которая воздействует на систему безопасности и способна изменить ее структуру.
Преднамеренные угрозы самые опасные из всех, так как их совершенство не стоит на месте, как и информационные технологии в целом. Киберпреступники с целью выкрасть информацию или навредить ресурсу постоянно придумывают новые способы организовывать качественные атаки.
Поэтому, чтобы эффективно отражать их атаки, постоянно нужно соблюдать основные аспекты информационной безопасности и применять популярные и новейшие средства информационной защиты.
Средства защиты информации
Средства защиты информации — это комплекс технических мер, устройств, программного обеспечения, технологий и др., которые обеспечивают должную информационную безопасность.
Средства обеспечения информационной безопасности бывают следующих категорий:
Организационные. Сюда вход я т: обеспечение качественного помещения для размещения серверов, качественное оборудование, продуманная кабельная система, организация правового статуса ресурса или компании и др.
Программные. Сюда входит весь перечень программного обеспечения, который поможет обеспечить должную информационную безопасность ресурса.
Аппаратные. Сюда входят сами приборы и устройства, которые обеспечивают защиту информации.
Рекомендуемые средства информационной защиты:
Программы-антивирусы. Борются с самыми распространенными вирусами, также способны восстанавливать поврежденные файлы.
CloudAV. Это облачные решения для обеспечения антивирусной защиты вашего ресурса.
DLP-решения. Это специальные технологии, которые предотвращают потерю конфиденциальной информации. Как правило, данная технология используется большими предприятиями, так как требует больших финансовых и трудоресурсных затрат.
Брандмаузер и фаервол. Это специализированные средства, которые контролируют выход во всемирную паутину, при необходимости фильтруют или блокируют сетевой трафик.
SIEM-системы. Они собирают информацию о возможных угрозах из различных источников: файервол, антивирус, межсетевой экран и др., потом проводят анализ и могут среагировать на вероятность возникновения потенциальной угрозы, предупредив о ней заранее.
Советы по обеспечению информационной безопасности
Зарываться в технологиях по защите информации можно очень глубоко. «Глубина» будет зависеть от важности сохраняемой информации и от ее объема. Однако всегда есть риск изначально «заложить» возможные уязвимости еще на стадии разработки.
Всегда используйте только проверенные решения. Первая строчка кода уже должна быть максимально безопасной. Еще на стадии выбора языка программирования нужно задаться вопросом, насколько надежен тот или иной язык в конкретном вашем случае. Не всегда нужно гнаться за скоростью и выбирать язык, на котором вы напишите свой веб-ресурс быстрее. Запаздывание со сроками реализации не так критично, как отсутствие надежной защиты уже на уровне языка программирования из-за его недочетов или недостатков. Подход должен быть серьезным.
Думайте о своих пользователях. Идентифицировать и аутентифицировать своих пользователей нужно максимально продуманным и безопасным способом. Потому что киберпреступникам не всегда нужны только деньги, часто им нужна информация о клиентах того или иного ресурса или приложения.
Создавайте копии. Не всегда ваш веб-проект может быть взломан, иногда он просто будет служить платформой для распространения вредоносных файлов — рассылать их вашим пользователям. Найти зараженный скрипт не всегда получ ае тся быстро. Но если у вас есть здоровая рабочая версия своего ресурса, то вы всегда сможете откатить его до безопасного состояния.
Шифруйте и защищайте. Если есть возможность использовать шифрование данных — не пренебрегайте ею.
Заключение
Мы будем очень благодарны
если под понравившемся материалом Вы нажмёте одну из кнопок социальных сетей и поделитесь с друзьями.
Основы информационной безопасности. Часть 2. Информация и средства её защиты
В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.
Информация и ее классификация
Существует достаточно много определений и классификаций «Информации». Наиболее краткое и в тоже время емкое определение дано в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 2: Информация – это сведения (сообщения, данные) независимо от формы их представления».
Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.
Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:
Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:
Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:
Персональные данные
Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.
Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).
Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.
Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.
Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.
Основные носители информации:
Классификация средств защиты информации
В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
Средства защиты информации
Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты информации
Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.
Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.
Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:
Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.
В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.
Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.
Формальные средства защиты информации
Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.
Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.
Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.
Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.
К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.
Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.
Примером комплексных решений служат DLP-системы и SIEM-системы.
DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.
SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.
Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.
Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.
Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.
Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.
В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.
Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.
Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.
Рисунок 2. Классификация средства защиты информации.