Практика организации защиты вычислительной техники свидетельствует о необходимости придерживаться следующих принципов обеспечения безопасности информации:
— простота защиты. Простые методы защиты являются, как правило, и более надежными;
— открытость проектирования и функционирования средств безопасности. Эффективность защиты не должна зависеть от секретности разработки, т. к. это позволит быстрее выявить «узкие места» и не даст возможности злоумышленнику использовать их в своих интересах;
— минимизация привилегий по доступу к информации для всех, у кого нет необходимости обладать ею;
— установка ловушек для провоцирования несанкционированных действий, когда, например, регистрируются все, кто пытается обойти систему защиты через специально оставленное «окно»;
— независимость системы управления доступом от пользователей. Все лица, связанные с разработкой и функционированием защиты, не должны быть пользователями системы;
— всеобщность применения средств разграничения доступа ко всему множеству контролируемых субъектов и объектов. Любое исключение из этого множества снижает безопасность;
— приемлемость защиты для пользователей, т. к. в противном случае будут предприниматься попытки обхода;
— устойчивость защиты по времени при неблагоприятных обстоятельствах;
— подконтрольность системы защиты;
— особая личная ответственность лиц, обеспечивающих безопасность информации;
— глубина защиты, т. е. дублирование и перекрытие защиты;
— изоляция и разделение объектов защиты на группы таким образом, чтобы нарушение защиты для одной из групп не повлияло на безопасность других;
— минимизация общих механизмов защиты, что уменьшает возможность нарушения работоспособности всей системы защиты в результате выхода из строя общего механизма защиты, используемого различными пользователями;
— физическая защита, позволяющая предотвращать проникновение злоумышленника в те места, откуда возможны несанкционированные действия;
— запрещение доступа к информации в случае любого сбоя средств защиты, не предусмотренного разработчиками;
— надежности системы защиты: она должна быть полностью специфицирована, протестирована как по отдельным компонентам, так и в комплексе;
— гибкость и адаптивность системы защиты, в частности, возможность целенаправленного изменения параметров системы со стороны администрации, что делает ее более эффективной;
— система защиты должна проектироваться в расчете на возможность несанкционированных действий;
— наиболее важные решения должны приниматься человеком, т. к. компьютерная система не может предусмотреть все возможные ситуации;
— существование средств контроля не должно бросаться в глаза и подлежит сокрытию от тех, к кому они применяются.
Одна из методик ведения промышленного шпионажа предусматривает рассылку по определенным фирмам и организациям специально подготовленного вопросника, ответы на которые позволяют затем в результате обобщения и анализа полученных данных получить секретную информацию по различным вопросам.
Наиболее характерными видами нарушения валютного законодательства и незаконного перевода валютных ценностей за границу являются:
— необоснованный перевод валютных средств иностранным юридическим и физическим лицам (фиктивные контракты, особенно в виде оплаты услуг, проплата штрафов и т. п.);
— перечисление иностранной валюты и перевод имущества субъектами предпринимательской деятельности за границу в качестве взноса в уставной фонд иностранного предприятия без получения на то специальной лицензии;
— полное или частичное неперечисление в установленные законодательством сроки, а также припрятывание валютной выручки от экспорта продукции резидентами;
— превышение установленных законодательством сроков поступления в страну товаров по импортным контрактам со 100-процентной предоплатой.
Иностранная помощь в реализации конверсионных проектов, совместные программы по выходу страны из экономического кризиса и продвижение товаров на мировые рынки могут в любой момент превратиться в откровенное изучение возможностей этой страны, получение маркетинговой и научно-технической информации. Получение такой информации позволяет проводить эффективные мероприятия по предотвращению выхода страны на мировые рынки в качестве возможного конкурента.
Современные системы и средства защиты представляют собой: