Средства защиты в автоматизированных системах обработки данных:

1. Пароли.

2. Голос человека.

3. Отпечатки пальцев.

4. Геометрия рук.

5. Рисунок сетчатки глаза.

6. Личная подпись человека. Идентифицируемые характеристики – графика написания букв, динамика подписи, давление пишущего инструмента.

7. Фотография человека.

8. Персональные карточки, содержащие идентифицирующую информацию.

Защита компьютерных систем подразделяется на: законодательные (правовые), административные (организационные), процедурные и программно-технические.

К законодательным мерам защиты относятся действующие в стране нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Важное значение имеют стандарты «Оранжевая книга», рекомендации X.800 и «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation).

Осенью 2006 г. в России был принят национальный стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология – Практические правила управления информационной безопасностью», соответствующий международному стандарту ИСО 17799. Стандарт представляет собой перечень мер, необходимых для обеспечения информационной безопасности организации, включая действия по созданию и внедрению системы управления информационной безопасности, которая строится таким же образом и на тех же принципах, что и система менеджмента качества, и совместима с ней.

Административные меры защиты — меры организационного характера, регламентирующие процессы функционирования автоматизированных ИС, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:

1. Подбор и подготовку персонала системы.

2. Организацию охраны и пропускного режима.

3. Организацию учета, хранения, использования и уничтожения документов и носителей с информацией.

4. Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. д.).

В составе административных мер защиты важную роль играет формирование программы работ в области информационной безопасности и обеспечение ее выполнения (для этого необходимо выделять необходимые ресурсы и контролировать состояние дел). Основой программы является политика безопасности организации — совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которыми руководствуется организация в своей деятельности. Разработка политики безопасности включает определение следующих основных моментов:

1) какие данные и насколько серьезно необходимо защищать;

2) кто и какой ущерб может нанести организации в информационном аспекте;

3) основные риски и способы их уменьшения до приемлемой величины.

Политику безопасности условно делят на три уровня: верхний, средний и нижний.

К верхнему уровню относятся решения, затрагивающие организацию в целом (как правило, носят общий характер и исходят от руководства). Например, цели организации в области информационной безопасности, программа работ в области информационной безопасности (с назначением ответственных за ее реализацию).

К среднему уровню относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией (например, использование на работе персональных ноутбуков, установка непроверенного программного обеспечения, работа с Интернетом и т. д.).

Политика безопасности нижнего уровня касается конкретных сервисов и должна быть наиболее детальной. Часто правила достижения целей политики безопасности нижнего уровня заложены в эти сервисы на уровне реализации.

Меры процедурного уровня — отдельные мероприятия, выполняемые на протяжении всего жизненного цикла автоматизированных ИС. Они ориентированы на людей (а не на технические средства) и подразделяются на:

1) управление персоналом;

2) физическая защита;

3) поддержание работоспособности;

4) реагирование на нарушения режима безопасности;

5) планирование восстановительных работ. Программно-технические меры защиты основаны на использовании специальных аппаратных средств и программного обеспечения, входящих в состав автоматизированных ИС и выполняющих функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и удаление вирусов и т. д.