Существует четыре уровня защиты компьютерных и информационных ресурсов:
Предотвращение предполагает, что только авторизованный персонал имеет доступ к защищаемой информации и технологии.
Обнаружение предполагает раннее раскрытие преступлений и злоупотреблений, даже если механизмы защиты были обойдены.
Ограничение уменьшает размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению.
Восстановление обеспечивает эффективное воссоздание информации при наличии документированных и проверенных планов по восстановлению.
Меры защиты — это меры, вводимые руководством, для обеспечения безопасности информации. К мерам защиты относят разработку административных руководящих документов, установку аппаратных устройств или дополнительных программ, основной целью которых является предотвращение преступлений и злоупотреблений.
Формирование режима информационной безопасности — проблема комплексная. Меры по ее решению можно разделить на четыре уровня:
— законодательный:законы, нормативные акты, стандарты и т. п.;
— административный: действия общего характера, предпринимаемые руководством организации;
— процедурный: конкретные меры безопасности, имеющие дело с людьми;
— программно-технический: конкретные технические меры.
В настоящее время наиболее подробным законодательным документом России в области информационной безопасности является Уголовный кодекс. В разделе Преступления против общественной безопасности имеется глава Преступления в сфере компьютерной информации. Она содержит три статьи — Неправомерный доступ к компьютерной информации, Создание, использование и распространение вредоносных программ для ЭВМ и Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Уголовный кодекс стоит на страже всех аспектов информационной безопасности — доступности, целостности, конфиденциальности, предусматривая наказания за уничтожение, блокирование, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Рассмотрим некоторые меры защиты информационной безопасности компьютерных систем.
1. Аутентификация пользователей. Данная мера требует, чтобы пользователи выполняли процедуры входа в компьютер, используя это как средство для идентификации в начале работы. Для аутентификации личности каждого пользователя нужно использовать уникальные пароли, не являющиеся комбинациями личных данных пользователей, для пользователя. Необходимо внедрить меры защиты при администрировании паролей, и ознакомить пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению. Если в компьютере имеется встроенный стандартный пароль, его нужно обязательно изменить.
Еще более надёжное решение состоит в организации контроля доступа в помещения или к конкретному компьютеру сети с помощью идентификационных пластиковых карточек с встроенной микросхемой — так называемых микропроцессорных карточек (smart — card). Их надёжность обусловлена в первую очередь невозможностью копирования или подделки кустарным способом. Установка специального считывающего устройства таких карточек возможна не только на входе в помещения, где расположены компьютеры, но и непосредственно на рабочих станциях и серверах сети.
Существуют также различные устройства для идентификации личности по биометрической информации — по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д.
Защита пароля.
Следующие правила полезны для защиты пароля:
- нельзя делится своим паролем ни с кем;
- пароль должен быть трудно угадываемым;
- для создания пароля нужно использовать строчные и прописные буквы, а еще лучше позволить компьютеру самому сгенерировать пароль;
- не рекомендуется использовать пароль, который является адресом, псевдонимом, именем родственника, телефонным номером или чем-либо очевидным;
- предпочтительно использовать длинные пароли, так как они более безопасны, лучше всего, чтобы пароль состоял из 6 и более символов;
- пароль не должен отображаться на экране компьютера при его вводе;
- пароли должны отсутствовать в распечатках;
- нельзя записывать пароли на столе, стене или терминале, его нужно держать в памяти;
- пароль нужно периодически менять и делать это не по графику;
- на должности администратора паролей должен быть самый надежный человек;
- не рекомендуется использовать один и тот же пароль для всех сотрудников в группе;
- когда сотрудник увольняется, необходимо сменить пароль;
- сотрудники должны расписываться за получение паролей.
Процедуры авторизации.
В организации, имеющей дело с критическими данными, должны быть разработаны и внедрены процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям.
В организации должен быть установлен такой порядок, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля требуется разрешение тех или иных начальников.
Если информация обрабатывается на большом вычислительном центре, то необходимо контролировать физический доступ к вычислительной технике. Могут оказаться уместными такие методы, как журналы, замки и пропуска, а также охрана. Ответственный за информационную безопасность должен знать, кто имеет право доступа в помещения с компьютерным оборудованием и выгонять оттуда посторонних лиц.