Организационно-правовая защита информации
Основные методы и средства организации защиты информации от несанкционированного доступа
Организационно-правовое обеспечение информационной безопасности
Комплексные системы защиты информации
Поскольку потенциальные угрозы безопасности информации весьма многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации (КСЗИ), под которой понимается совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в КС.
Основные требования к комплексной системе защиты информации:
• разработка на основе положений и требований существующих законов, стандартов и нормативно-методических документов по обеспечению информационной безопасности;
• использование комплекса программно-технических средств и организационных мер для защиты КС;
• надежность, производительность, конфигурируемость;
• экономическая целесообразность (поскольку стоимость КСЗИ включается в стоимость КС, стоимость средств защиты не должна быть выше возможного ущерба от потери информации);
• выполнение на всех этапах жизненного цикла обработки информации в КС (в том числе при проведении ремонтных и регламентных работ);
• возможность совершенствования;
• обеспечение разграничения доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию (обеспечение не только пассивной, но и активной защиты);
• взаимодействие с незащищенными КС по установленным для этого правилам разграничения доступа;
• обеспечение проведения учета и расследования случаев нарушения безопасности информации в КС;
• сложная для пользователя (не должна вызывать у него психологического противодействия и стремления обойтись без применения ее средств);
• возможность оценки эффективности ее применения.
К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.
Основные свойства методов и средств организационной защиты:
• обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);
• объединение всех используемых в КС средств в целостный механизм защиты информации.
Методы и средства организационной защиты информации включают в себя:
• ограничение физического доступа к объектам КС и реализация режимных мер;
• ограничение возможности перехвата ПЭМИН;
• разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);
• резервное копирование наиболее важных с точки зрения утраты массивов документов;
• профилактику заражения компьютерными вирусами.