Информация, хранимая внутри компьютерных систем, может быть утрачена в результате уничтожения или неисправности соответствующего оборудования. Кроме того, она может быть похищена в результате преступных действий. Чтобы обезопасить хранимые данные, необходимо внедрить комплекс систем и методов защиты информации, который будет включать в себя использование аппаратных устройств, специализированного программного обеспечения, а также технических средств целевого назначения.

Способы получения несанкционированного доступа к данным

Чтобы успешно бороться с неправомерным доступом к конфиденциальным данным, а также их перехватом сторонними организациями, необходимо четко представлять себе, через какие каналы могут осуществляться преступные действия. Это поможет разработать и подобрать максимально эффективную систему и методы защиты информации для вашего предприятия.

Работа компьютеров базируется на интегральных схемах, создающих изменения уровня токов и напряжения высокочастотного характера. Соответствующие колебания распространяются по системе проводов, с возможностью их трансформации в форму, доступную для понимания компьютерными устройствами и программным обеспечением. В то же время, данные принципы ложатся в основу работы специальных устройств, направленных на перехват конфиденциальной информации. Злоумышленники могут установить перехватывающие устройства в монитор или компьютер, чтобы иметь возможность видеть все, что вводится с клавиатуры или выводится на дисплей. Имеется возможность осуществить перехват информации по телефонной линии или по любым другим внешним каналам связи.

Методы защиты информации в информационных системах

• На практике специалистами применяется несколько групп механизмов защиты информации в информационных системах, к числу которых относятся:
• Программные или физические средства, создающие препятствия на пути злоумышленника.
• Инструменты управления или воздействия на защитные элементы системы.
• Маскировка или шифрование информации, как правило, криптографическими методами защиты информации в программных системах.
• Разработка системы мер и нормативно-правовых актов, направленных на регламентацию правильного поведения пользователей, имеющих доступ к защищенным базам данных.
• Принуждение пользователей к соблюдению правил и принципов комплексной системы защиты информации, осуществляющееся путем создания соответствующих рабочих условий.
• Побуждение пользователей к действиям, описанным в предыдущем пункте.

Каждый из представленных методов защиты информации в информационных системах может быть реализован с помощью разных средств технического или организационного характера.

Организационные способы защиты информации в компьютерных системах

Разработка организационного комплекса защитных средств, направленных на предотвращение получения стороннего доступа к конфиденциальной информации, ложится на плечи специалистов службы безопасности. К организационным механизмам защиты информации в информационных системах относится:

• Разработка эффективной внутренней документации, в соответствии с которой устанавливаются правила эксплуатации компьютерной техники и работы с защищенными данными.
• Проведение регулярного инструктажа, касающегося знакомства с основными методами защиты информации в автоматизированных системах. Проведение регулярных проверок сотрудников предприятия, инициация подписания персоналом дополнительных соглашений по работе с конфиденциальной информацией, прилагаемых к основным трудовым договорам. В указанных соглашениях прописывается ответственность за неправомерное использование или разглашение данных, полученных в рамках осуществления рабочего процесса.
• Разграничение зон ответственности среди сотрудников. Этот механизм защиты информации в автоматизированных системах позволяет избежать ситуаций, при которых большие массивы конфиденциальной информации находятся в ведении одного конкретного сотрудника. В рамках данного этапа также проводится организация эффективной работы в совместно используемых программах ведения документооборота. Специалисты службы безопасности должны следить за тем, чтобы наиболее важная информация не хранилась за пределами защищенных сетевых дисков.
• Внедрение специализированного программного обеспечения, позволяющего защитить конфиденциальную информацию от копирования или удаления определенными пользователями, даже теми из них, которые относятся к управленческому аппарату предприятия.
• Проработка процедуры восстановления системы, если она вышла из строя по тем или иным причинам.

Если предприятие не располагает отдельной службой информационной безопасности и не руководствуется эффективными методиками построения корпоративной системы защиты информации, можно пригласить соответствующего высококлассного специалиста в рамках аутсорсингового соглашения. Удаленный сотрудник поможет провести аудиторскую проверку информационной инфраструктуры предприятия, а также предоставить важные рекомендации, касаемые внедрения особых принципов комплексной системы защиты информации, направленных на работу с внутренними или внешними угрозами безопасности. Кроме того, аутсорсинг в сфере информационной безопасности может предполагать применение специализированного программного обеспечения, предназначенного для защиты информации корпоративного характера.

Технические способы защиты информации в компьютерных системах

Технический комплекс основных методов защиты информации в автоматизированных системах совмещает в едином поле следующие программные и аппаратные средства.

• Резервное копирование критически важных информационных массивов, а также их удаленное хранение в компьютерной системе.
• Резервирование и дублирование всех сетевых подсистем, имеющих важное значение для обеспечения сохранности информации.
• Наличие возможности перераспределения сетевых ресурсов в случаях, когда отдельные элементы сети сталкиваются с нарушениями работоспособности по тем или иным причинам.
• Гарантия возможности задействования резервных схем электропитания.
• Гарантия безопасности защищаемых данных при возникновении пожаров и подтоплений водой.
• Установка специализированного ПО, гарантирующего защищенность баз данных и прочей важной информации от незаконного доступа.

В технический комплекс методик построения корпоративной системы защиты информации также входят те из них, которые гарантируют физическую недоступность сетевых объектов для злоумышленников. К примеру, помещение с оборудованием может оснащаться сигнализацией и камерами наблюдения.

Идентификация и аутентификация

Аутентификация и идентификация – это два основных метода защиты информации в программных системах, с помощью которых можно будет исключить факт несанкционированного доступа к защищаемым данным.

Под идентификацией подразумевается присвоение пользователю уникального образа или имени, с помощью которого будет осуществляться процесс взаимодействия с данными.

Под аутентификацией подразумевается механизм защиты информации в автоматизированных системах, основанный на внедрении проверки совпадения образа конкретного пользователя с образом, прописанным в системе и имеющим разрешение по допуску.

Указанные методы защиты информации в автоматизированной информационной системе направлены либо на предоставление доступа, либо на его запрещение. При этом подлинность образа пользователя может проверяться программным способом, аппаратным способом или непосредственно человеком. Объектом аутентификации может выступать либо человек, либо данные, либо техническое средство, такое как носитель, монитор, компьютер и т.д. Самым простым методом защиты информации в автоматизированной информационной системе является установка пароля.