Для устранения возможности осуществления угроз информационной безопасности необзодимо выполнение определенных требований к ее защите.
Так, одним из существенных требований к системе обеспечения сохранности информации является отдельная идентификация индивидуальных пользователей, терминалов, индивидуальных программ (заданий) по имени и функции.
Также ограничить доступ к информации позволяет совокупность следующих способов:
- иерархическая классификация доступа;
- классификация информации по важности и месту ее возникновения;
- указание специфических ограничений и приложение их к специфическим объектам, например, пользователь может осуществлять только чтение файла без права записи в него;
- содержание данных или отдельных групп данных (нельзя читать информацию по отдельным объектам);
- процедуры, представленные только конкретным пользователям. Пользователи программ должны ограничиваться только одной или всеми привилегиями: чтением, записью, удалением информации.
При реализации записи данных предусматривается ее модификация (увеличение, уменьшение, изменение), наращивание (элемента, записи, файла) и введение (элемента, записи, файла). Система обеспечения сохранности информации должна гарантировать, что любое движение данных идентифицируется, авторизуется, обнаруживается и документируется.
Организационные требования к системе защиты реализуются совокупностью административных и процедурных мероприятий. Требования по обеспечению сохранности должны выполняться, прежде всего, на административном уровне. С этой целью:
- ограничивается несопровождаемый доступ к вычислительной системе (регистрация и сопровождение посетителей);
- осуществляется контроль за изменением в системе программного обеспечения;
- выполняется тестирование и верификация изменения в системе программного обеспечения и программах защиты;
- организуется и поддерживается взаимный контроль за выполнением правил обеспечения сохранности данных;
- осуществляется запись протокола о доступе к системе;
- гарантируется компетентность обслуживающего персонала.
Организационные мероприятия, проводимые с целью повышения эффективности обеспечения сохранности информации, могут включать следующие процедуры:
- разработку последовательного подхода к обеспечению сохранности информации для всей организации;
- организацию четкой работы службы ленточной и дисковой библиотек;
- комплектование основного персонала на базе интегральных оценок и твердых знаний;
- организацию системы обучения и повышения квалификации обслуживающего персонала.
С точки зрения обеспечения доступа к ИС необходимо выполнять следующие процедурные мероприятия:
- разработать и утвердить письменные инструкции на запуск и остановку системы;
- контролировать использование различных накопителей, порядок изменения программного обеспечения и доведение этих изменений до пользователя;
- разработать процедуру восстановления системы при сбойных ситуациях;
- установить политику ограничений и определить объем выдаваемой информации;
- разработать систему протоколирования использования данных ИС, ввода данных и вывода результатов;
- обеспечить проведение периодической чистки архивов и хранилищ, дисков, карт для исключения и ликвидации неиспользуемых;
- поддерживать документацию вычислительного центра в соответствии с установленными стандартами.
Помимо проведения данных мероприятий и выполнения всех требований по сохранности данных ИС необходимо также использовать и различные принципы и методы по их защите.