Задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.
Методы повышения сохранности информации в зависимости от вида их реализации можно разделить наорганизационные и аппаратно-программные.
Организационные методы повышения сохранности состоят
в создании и использовании технологии эксплуатации информации, предусматривающей меры по снижению искажений информации и по обеспечению своевременного предоставления необходимой информации для автоматизированного решения задач. Основными из них являются:
- учет и хранение информации в базах данных;
- профотбор, обучение, контроль качества работы и стимулирование операторов и обслуживающего персонала;
- контроль износа и старения, а также правильности эксплуатации технических средств автоматизированных систем;
- организация труда персонала автоматизированной системы, обеспечивающая уменьшение возможностей нарушения им требований сохранности информационных массивов (минимизация сведений и данных, доступных персоналу, минимизация связей (контактов) персонала, дублирование контроля важных операций);
- обеспечение противопожарной защиты и температурно-влажностного режима.
На сегодняшний день существует большой арсеналаппаратно-программных методов обеспечения информационной безопасности:
- средства идентификации и аутентификации пользователей (так называемый комплекс 3А);
- средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
- виртуальные частные сети;
- средства контентной фильтрации;
- инструменты проверки целостности содержимого дисков;
- средства антивирусной защиты;
- системы обнаружения уязвимостей сетей и анализаторы сетевых атак.
Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности
и конфигурации, не зависящих от используемых платформ.
«Комплекс 3А»
Включает аутентификацию (или идентификацию),авторизацию
и администрирование. Идентификация и авторизация – это ключевые элементы информационной безопасности.
Идентификация – отождествление анализируемого объекта с одним из известных.
Виды идентификаторов: пароль; реквизиты магнитной или компьютерной карточки; специфические особенности голоса человека; отпечатки пальцев; радужная оболочка глаз; электронная цифровая подпись.
Аутентификация – возникает в результате проведения идентификации, представляет установление подлинности обращающегося к информационному ресурсу пользователя либо программы.
При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: «Кто вы?» и «Где вы?» – являетесь ли вы авторизованным пользователем сети.
Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ.
Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.