Опыт применения систем ЗИ (СЗИ) показывает, что эффективной может быть лишь комплексная система защиты информации (КСЗИ), сочетающая следующие меры.
1. Правовые (законодательные).
2. Морально-этические.
3. Физические.
4. Организационные (административные).
5. Аппаратные.
6. Программные.
7. Криптографические.
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
К морально-этическим мерам противодействия относятся нормы поведения или этические правила, сложившиеся в обществе или в данном коллективе, соблюдение которых способствует защите информации. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Весьма важным является создание и поддержание на объекте такой моральной атмосферы, в которой нарушение регламентированных правил поведения оценивалось бы большинством сотрудников резко негативно.
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.
Организационные меры — это мероприятия организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.
По мнению специалистов, организационные мероприятия играют большую роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.
Влияние этих аспектов практически невозможно избежать с помощью технических средств, программно-математических методов и физических мер.
Организационная защита обеспечивает:
- организацию охраны, режима, работу с кадрами, с документами;
- использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
К основным организационным мероприятиям можно отнести:
- организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
- организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
- организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
- организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
- организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
- организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
Аппаратно-программные средствапредставляют собой аппаратное и программное обеспечение, специально предназначенное для выполнения функций защиты информации в компьютерных системах. К данному классу средств защиты относятся: антивирусные, криптографические средства, системы разграничения доступа, системы аутентификации, межсетевые экраны, системы обнаружения вторжений и т.п.
К техническим средствам относятся механические, электромеханические, электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации.
Эти средства применяются для решения следующих задач:
— препятствия визуальному наблюдению и дистанционному подслушиванию;
— нейтрализации паразитных электромагнитных излучений и наводок (ПЭМИН);
— обнаружению технических средств подслушивания и магнитной записи, несанкционированно устанавливаемых или проносимых в организацию;
— защиты информации, передаваемой в средствах связи и системах автоматизированной обработки информации.
По своему предназначению аппаратные средства подразделяются на средства выявления и средства защиты от несанкционированного доступа.
К классу защитной спецтехники относится огромное количество аппаратов, устройств и систем, которые условно можно разделить на несколько групп. Например, на такие как:
— приборы обнаружения и нейтрализации подслушивающих и звукозаписывающих устройств;
— средства защиты абонентской телефонной сети;
— средства защиты съема информации из помещений;
— приборы для обнаружения лазерного и видеонаблюдения и др.
.К специфическим средствам защиты информации относятся криптографические методы защиты информации.
