— физическая защита, позволяющая предотвращать проникновение злоумышленника в те места, откуда возможны несанкционированные действия;
— запрещение доступа к информации в случае любого сбоя средства защиты, не предусмотренного разработчиками;
— надежность системы защиты: она должна быть полностью специфицирована, протестирована как по отдельным компонентам, так и в комплексе;
— гибкость и адаптивность системы защиты, в частности, невозможность целенаправленного изменения параметров системы со стороны администрации, что делает ее более эффективной;
— система защиты должна проектироваться в расчете на возможность несанкционированных действий;
— наиболее важные решения должны приниматься человеком, т. к. компьютерная система не может предусмотреть все возможные ситуации;
— существование средств контроля не должно бросаться в глаза и подлежит сокрытию от тех, к кому они применяются;
— разработка комплекса мер безопасности по каждому новому изделию, продукции еще на стадии начала их разработок в научно-исследовательских подразделениях.
Система защиты информации предусматривает два основных направления в области защиты информации: контроль доступа и засекречивание данных.
Служба контроля доступа направлена на нейтрализацию попыток несанкционированного использования любых ресурсов информационной системы. Контроль доступа должен осуществляться проверкой полномочий объектов по доступу к ресурсам информационной системы на основе идентификации и аутентификации.
Идентификация осуществляется на основе передачи открытого имени объекта. Аутентификация осуществляется на основе кодированной передачи контрольных параметров объекта и обеспечивается средствами криптообработки. На приемной стороне выполняется дешифрация криптосообщения на основе ключей, присваиваемых по его идентификатору, и сверка контрольных параметров объекта. При совпадении полученных контрольных параметров с известными принимается решение о прохождении контроля и соответствии объекта заявленному идентификатору. Весь процесс идентификации и аутентификации носит название авторизации.
Засекречивание данных (шифрование) направлено на их защиту от несанкционированного доступа модификации и навязывания ложной информации. Шифрование обеспечивается программными, аппаратными и аппаратно-программными средствами непосредственно на рабочих местах. Предпочтительно использовать стандартизованные алгоритмы шифрования.
Формы зашиты, используемые для систем на базе отдельного персонального компьютера, предусматривают:
— авторизацию пользователя, получающего доступ к данному персональному компьютеру (ПК);
— распознание прав доступа пользователя к ресурсам данного ПК;
— защиту программного обеспечения ПК от несанкционированных действий с ним;
— защиту данных, содержащихся на жестких и гибких носителях ПК, от несанкционированных действий;
— аудит доступа пользователя ПК к программам и данным.
Функции и возможности системы защиты компьютерной информации от несанкционированного доступа могут быть следующими:
— запрет загрузки ПК с жесткого диска неавторизированным пользователем;
— аппаратный метод — установка в ПК дополнительного аппаратного модуля;
— программный метод — процесс авторизации пользователя выполняется программным обеспечением системы защиты до загрузки операционной системы;
— запрет загрузки ПК с гибкого магнитного диска (ГМД) неавторизованным пользователям;
— аппаратный метод — выполняется блокировка возможности загрузки с дискеты при установленном модуле;
— программный метод — несанкционированная загрузка с дискеты приводит к «зависанию» ПК;
— обеспечение надежности авторизации пользователя:
а) идентификационная информация вводится с физического идентификатора и недоступна пользователю при модификации;
б) аутентификационная информация вводится с клавиатуры ПК непосредственно пользователем и доступна для изменения. В открытом виде идентификационная и аутентификационная информации не должны быть доступны даже администратору системы;
в) возможность установки авторизационных характеристик пользователя на нескольких ПК;
г) возможность использования одного ПК несколькими пользователями;
— количество уровней разграничения полномочий пользователя по доступу к ресурсам ПК;