Методы и средства делятся на три группы (согласно ст. 16 Закона «Об информации»).
1) Правовые методы обеспечения информационной безопасности.
- Принятие нормативного акта, устанавливающего категории защищаемой информации. Всю информацию защищать не получится, да и смысла нет. Потому необходимо определиться, какие компоненты корпоративной информационной среды не подлежат разглашению, утечке и т.д.
- Издание нормативных и инструкционных материалов по работе с информацией. Т.е. люди должны знать, как надо обращаться с информацией, подлежащей защите. Что имеется в виду? Если юрист отвечает за это, то его задача – определить перечень конфиденциальных сведений – коммерческой тайны. Перечень должен быть предметный или должны быть разработаны правила и критерии, которые относят информацию к секретной. У каждого из методов есть свои достоинства и недостатки. Предметный – гораздо проще для использования, но такой перечень менее гибкий, может также не учитывать изменение определенных обстоятельств. Например, какое-то ноу-хау опубликовали в журналах, а оно может продолжать включаться в список конфиденциальной информации.
Способ с установлением критериев – более гибкий, однако, далеко не всем понятно, особенно если критерии изложены сложным языком. Потому разрабатываются критерии, и назначается ответственный, который, исходя из критериев, определяет конкретный перечень (в оперативном порядке).
2) Организационные средства обеспечения информационной безопасности.
- Определение уровней доступа к информации. Информация может быть общедоступной и ограниченного доступа. Ограниченного доступа информация может также иметь несколько уровней (совершенно секретно, секретно, особой важности). Следовательно, устанавливается уровень и круг лиц. Для каждого из этого круга должны существовать определенные правила поведения, которые также надо разработать (это уже правовая часть).
3) Технические.
Во-первых, технические средства должны обеспечивать защиту материальных носителей информации. Методы защиты материальных носителей включают в себя:
- Создание охраняемых помещений.
- Установление систем видеонаблюдения.
- Помещение материальных носителей информации в специальные хранилища.
- Создание системы регистрации лиц, получающих доступ к материальным носителям.
Во-вторых, они должны обеспечивать защиту информации от неправомерного доступа. Сюда включаются:
- Криптографическая защита – т.е. установление для доступа к информации определенных паролей.
- Программы-ревизоры и программы-часовые. Это, например, антивирусы, firewalls. Программа-ревизор по истечении определенного периода времени по программе начинает проверять диск на предмет несанкционированного доступа. Программа-часовой выстраивает систему защиты компьютера, реагирующую на прорыв. Антивирусы работают одновременно как ревизоры и как часовые.
- Программы, обеспечивающие возможность резервирования и дублирования информации.
Приказ ФСБ и ФСТЭК «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования» от 31.08.2010 №416/489 рекомендуется в качестве руководства к деятельности при создании системы защиты информации, хотя официально применяется только для федеральных информационных систем.
В этом документе к информационной системе сформулированы требования:
- Сохранность информации.
- Беспрепятственный доступ к информационной системе.
- Защита информации от действий, не предусмотренных правилами пользования.
Информационные системы, согласно вышеупомянутому приказу, делятся на два класса. В системах первого класса применяются меры защиты информации от повреждения, только те, которые прошли сертификацию ФСБ. Системы первого класса, это такие, в которых нарушение целостности информации может привести к угрозе безопасности РФ. Все остальные системы – это второй класс. Таким образом, разница состоит в угрозах при проникновении и сертификации в ФСБ.
В информационной системе должны быть обеспечены:
- Поддержка целостности и доступности информации.
- Предупреждение неблагоприятных последствий при нарушении порядка доступа к информации.
- Периодическое проведение мероприятий, направленных на предотвращение несанкционированных действий. Например, обновление паролей, смена антивирусов.
- Своевременное обнаружение фактов неправомерных действий в отношении информации.
- Недопущение воздействия на технические средства.
- Возможность оперативного восстановления информации. Т.е. информация, которая была утрачена и модифицирована, не должна существовать в единственном числе.
- Запись и хранение сетевого трафика. В приказе предусмотрено, что все запросы пользователей должны регистрироваться в электронном журнале сообщений.
- Регистрация действий обслуживающего персонала и пользователей. Т.е. каждое лицо, которое проникает к месту хранения или получает доступ должно быть зарегистрировано.
- Использование источников бесперебойного питания. В каждом серьезном предприятии всегда существует источник бесперебойного питания, работающий на солярке или других видах топлива, чтобы в случае перепадов энергии можно было сохранить необходимые файлы.
К техническим средствам защиты относятся:
- Криптографическая защита. Например, доступ с использованием ЭЦП.
- Антивирусное обеспечение.
- Средства фильтрации и блокировки сетевого трафика. Речь идет об анти - спаме.
- Программные средства для локализации и ликвидации последствий. Например, деление HDD на несколько дисков. Т.е. если происходит проникновение вируса на один диск, то вирус все уничтожит, а если много – то другие он не затронет.