Защита на информацията в телекомуникациите и медиите
Съществена страна при защитата на ИКС (в една корпоративна фирма ) е да бъдат предвидени, още при проектирането й, нейната уязвимост и възможните заплахи. Нарастващите и все по-злонамерени атаки изискват решения (специфични мерки), които да се противопоставят на визираните по-горе заплахи. В тази връзка осигуряването на ефективна защита на информацията, изисква спазване на процедурите за сигурност, а именно:
определяне на ресурсите и обектите на ИКС, които трябва да се защитят.
разкриване на пълното множество потенциално възможни заплахи и канали за изтичане на информацията.
оценка на уязвимите страни и рисковете за информацията при разкритите заплахи и канали за изтичане на информацията. определяне на изискванията към системата за защита на информацията.
избор на средствата за защита и техните характеристики. внедряване и организация на използването на избраните мерки, методи и средства за защита.
контрол на целостта и управление на защитата. Правилата за сигурност, от своя страна, включват всички аспекти свързани с организацията на сигурността, а те са:
Физическа сигурност;
Персонална сигурност;
Документална сигурност;
Компютърна сигурност;
Комуникационна сигурност;
Криптографска защита;
Защита на АИС или мрежи;
Защита от електромагнитни излъчвания;
Индустриална сигурност.
По време на своето съществуване: създаване, обработване, съхраняване, пренасяне и унищожаване, информацията се защитавана по два основни фактора: защита от разрушаване и защита от нерегламентиран (неоторизиран ) достъп. Първият включва: антивирусна защита, контрол за автентичност на данните и програмите, защита от хардуерни и софтуерни грешки, както и от грешки на персонала, а вторият се отнася до контрола на регламентирания достъп и криптографската защита на информацията.
Политика за сигурност, критерии и стандарти.
Политиката за сигурност е множеството от правила, които определят как една организация управлява, защитава и разпределя класифицирана и друга важна информация. Това е рамката, в която 2"Нерегламентиран достъп до класифицирана информация е разгласяване, злоупотреба, промяна, увреждане, предоставяне, унищожаване на класифицирана информация, както и всякакви други действия, водещи до нарушаване на защитата й или до загубване на такава информация. " (Закон за защита на класифицираната информация, ДВ, бр. 45/2002)
Защитата от нерегламентиран достъп се базира на криптографските методи за защита на информацията.
Една система осигурява защитата и се изразява в описанието на средствата за защита, обектите на защита, служби и механизми и основни практически принципи. Гарантирането на сигурността на информацията във всяка фирма започва с подготовката на документ, наречен “Политика по сигурността”. Този документ обикновено обхваща мерки най-малко в следните области:
физическа защита на отделните работни места и мрежата; организационни мерки, определяне на правата и задълженията на персонала;
мерки за документална сигурност;
политика на достъп до ресурсите (нива на достъп, пароли);
използване на криптиращи методи, средства и устройства;
мониторинг и санкции за нарушенията на политиката на сигурност и др.
Критериите и стандартите за оценка степента на защита се развиват непрекъснато. Например „Оранжевата книга”, издадена през август 1983 г. от Националния център за компютърна сигурност (NCSC - част от Националната агенция за сигурност на САЩ, NSA), дефинира основните класове, понятия и критерии за оценка на сигурността на компютърните системи. Нивата за отговорности на системите за сигурност в компютърните системи са следните:
D - минимална сигурност
C - разумна сигурност
B - мандатна (временна) сигурност
А - доказана сигурност
Всеки клас може да съдържа един или повече подкласове, дефиниран посредством множество от критерии. На базата на националните критерии на няколко европейски страни са разработени „Критерии за оценка на сигурността на информационни технологии” (Information Technology Security Evaluation Criteria, ITSEC) като един стандарт за международна сигурност. ITSEC е познат като европейската „Бяла книга”. При разработването на системите за информационна сигурност и оценка на защитеността на информационните системи се използват редица стандарти.
Един от международнопризнатите е широкоприложимия стандарт BS7799/ISO 17799 е, чиято основна цел е постигане на сигурност и защита на информацията в една организация. В настоящия момент като основни документи за управление на информационната сигурност са в сила: ISO/IEC 27001:2005, ISO/IEC 17799:2005 и BS7799-3:2006 като допълнение на първите два международни стандарта. Над 80 000 фирми в света са сертифицирани по тези стандарти, сред тях са Fujitsu Ltd, Marconi Secure System, Samsung Electronics Co Ltd, Sony Bank Inc и др.