Построение систем обеспечения защиты информации могут быть успешны только при реализации комплексного подхода, обеспечивающего использование различных методов защиты информации. Существуют следующие методы защиты информации
o Правовые (законодательные) - меры контроля за исполнением нормативных актов общегосударственного значения, механизмы разработки и совершенствования нормативной базы, регулирующей вопросы защиты информации.
o Морально-этические - нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения компьютеров в стране
o Организационно-административные - заключаются в определении процедур доступа к защищаемой информации и строгом их выполнении. Регламентируют:
o процессы функционирования ИС;
o использование ресурсов ИС;
o деятельность персонала ИС;
o порядок взаимодействия пользователей с системой, с тем, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.
o Технические - механические, электро- и электромеханические устройства или сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа нарушителей (турникеты, колючая проволока, кодовые замки, системы охранно-пожарной сигнализации и т.п.).
|
|
o Программно-аппаратные - различные электронные устройства и специальные программы, которые реализуют самостоятельно или в комплексе с другими средствами следующие способы защиты:
o идентификацию и аутентификацию субъектов ИС;
o разграничение доступа к ресурсам ИС;
o контроль целостности данных;
o обеспечение конфиденциальности данных;
o аудит событий, происходящих в ИС;
o резервирование ресурсов и компонентов ИС.
Следует помнить, что безошибочно написанных программ, универсальных безупречных технологий и способов абсолютно верной настройки сложных программно-аппаратных комплексов не существует, поэтому полностью безопасные системы на практике отсутствуют. Обеспечение аспектов безопасности требует нахождений компромисса. Полное соблюдение политики конфиденциальности сильно ограничивает доступность данных; если все внимание отдается целостности — замедляется обработка данных, а полная доступность данных практически всегда означает нарушение политики безопасности. При обеспечении информационной безопасности стараются создать ситуацию, когда нарушение безопасности становится событием маловероятным и приносящим минимальный ущерб.