Из изложенного также следует, что в обеспечение безопасности входит не только защита секретной, но и части несекретной информации.

Задачей защиты является создание в информационной системе единой системы взаимосвязанных преград, обеспечивающих надежное перекрытие возможных каналов несанкционированного доступа от воздействий, направленных на утрату, модификацию и утечку информации, т. е. набезопасность информации. Наступление одного из этих событий, не предусмотренных штатным режимом работы информационной системы, рассматривается как факт совершения несанкционированного доступа.

Анализ вышеприведенного подхода к принципам построения защиты говорит о ряде принципиальных свойств предмета защиты, потенциальных угроз и защитных преград, которые целесообразно учитывать при создании эффективной защиты.

При этом расчет прочности средств защиты производится по формулам (4) и (15), а расчет прочности системы защиты информации в информационной системе с централизованной обработкой данных — по формулам (16), (17), (18).

Приведенные модели защиты, построенные на основе принятой модели ожидаемого поведения потенциального нарушителя и пригодные в принципе для применения и в других системах, помимо информационных, для защиты другого предмета, дают формальное представление о механизме защиты и методах получения ее расчетных характеристик в качественном и количественном выражении с гарантированными результатами.

Для того чтобы обеспечить замыкание контура защиты из нескольких различных по исполнению преград, недостаточно только перекрытия в информационной системе всех возможных каналов несанкционированного доступа. Необходимо еще обеспечить их взаимодействие между собой, т.е. объединить их в единый постоянно действующий механизм. Эту задачу должны выполнять централизованные средства управления.

Кроме того, учитывая множество пользователей, допущенных к терминалам и информации внутри информационной системы, потребуется создание встроенной системы контроля и разграничение доступа. Разграничение доступа пользователей к информации информационной системы должно производиться в соответствии с выполняемыми ими функциональными обязанностями и полномочиями, которые можно изменять во время эксплуатации системы.

На контролируемых возможных каналах несанкционированного доступа все цепи и тракты контроля аппаратно, программно и организационно должны сходиться на одном рабочем месте службы безопасности информации или администратора информационной системы. Последний вариант предпочтителен для менее ответственных систем при защите информации от нарушителя 3-го и 4-го классов. На неконтролируемых возможных каналах несанкционированного доступа централизованное управление должно обеспечиваться аналогичным образом с тех же рабочих мест, но отдельной функциональной задачей.

Утратазаключается в стирании, искажении, уничтожении или хищении информации, находящейся в процессе обработки или хранения в информационной системе. Опасность ее заключается в безвозвратной потере ценной информации.

Модификациязаключается в изменении информации на ложную, которая корректна по форме и содержанию, но имеет другой смысл. Навязывание ложной информации при отсутствии законной и недоведение законной информации до получателя можно также считать ее модификацией. Примером модификации может служить изменение даты документа, количества сырья и материалов, денежной суммы и т. д. Опасность модификации заключается в возможности организации утечки секретной или (и) передачи ложной информации в дальнейшую обработку и использование.

Утечкаинформации заключается в несанкционированном ознакомлении постороннего лица с секретной информацией. Опасность утечки информации состоит в разглашении частной, коммерческой, служебной, военной или государственной тайны со всеми вытекающими отсюда последствиями.