Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации ИС.

Создание базовой системы защиты информации в ИС основывается на следующих принципах;

1. Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий, означающий оптимальное сочетание программно-аппаратных средств и организационных мер защиты.

2. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т.е. предоставление пользователям минимума строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автономной обработки доступной им конфиденциальной информации.

3. Полнота контроля и регистрация попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИС без ее предварительной регистрации.

4. Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей или обслуживающего персонала.

5. Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

6. Экономическая целесообразность использования системы защиты, выражающаяся в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации ИС без системы защиты информации.

При реализации перечисленных принципов в практической деятельности используются следующие методы обеспечения безопасности информации.

Препятствие – метод физического преграждения путем злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.).

Управление доступом – метод защиты информации регулированием использования всех ресурсов ИС, включает следующие функции защиты:

а) идентификацию пользователей, персонала и ресурсов системы;

б) опознание объекта или субъекта по предъявленному им идентификатору;

в) проверку полномочий;

г) разрешение и создание условий работы в пределах установленного регламента;

д) регистрацию обращений к защищаемым ресурсам;

е) регулирование при попытках несанкционированных действий (сигнализация, отключение, задержка работ, отказ в запросе).

Маскировка – метод защиты информации путем ее криптографического закрытия. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Регламентация – метод защиты информации создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение – метод защиты информации, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – метод защиты информации, который побуждает пользователей ИС не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм, как регламентированных, так и неписаных.

Рассмотренные методы обеспечения безопасности информации реализуются на практике за счет применения различных средств защиты.

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические.

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу (устройства для сканирования отпечатков пальцев, сетчатки глаза и т.п.).

Физические средства реализуются в виде автономных устройств и систем (замки, решетки, электромеханическое оборудование охранной сигнализации).

Программные средства представляют ПО, специально предназначенное для выполнения функций защиты информации.

Организационные средства защиты представляю собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Эти мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование ИС, монтаж и наладка оборудования, испытания, эксплуатация).

Законодательные средства определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения ВТ и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета и престижа человека.

Все рассмотренные средства защиты разделены на формальные, которые выполняют защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека, и неформальные, которые определяются целенаправленной деятельностью человека либо регламентируют эту деятельность.