> адміністративний: дії загального характеру, що починаються керівництвом організації;
процедурний: конкретні заходи безпеки, що мають справу з людьми;
програмно-технічний: конкретні технічні заходи.
В даний час найбільш докладним законодавчим документом Росії в області інформаційної безпеки є Кримінальний кодекс. У розділі "Злочини проти громадської безпеки" є глава "Злочини у сфері комп'ютерної інформації ". Вона містить три статті - "Неправомірний доступ до комп'ютерної інформації "," Створення, використання і поширення шкідливих програм для ЕОМ "і" Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі ". Кримінальний кодекс стоїть на сторожі всіх аспектів інформаційної безпеки - доступності, цілісності, конфіденційності, передбачаючи покарання за "знищення, блокування, модифікацію і копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі ".
Розглянемо деякі заходи захисту інформаційної безпеки комп'ютерних систем.
1. Аутентифікація користувачів. Дана міра вимагає, щоб користувачі виконували процедури входу в комп'ютер, використовуючи це як засіб для ідентифікації на початку роботи. Для аутентифікації особистості кожного користувача потрібно використовувати унікальні паролі, які не є комбінаціями особистих даних користувачів, для користувача. Необхідно впровадити заходи захисту при адмініструванні паролів, і ознайомити користувачів з найбільш загальними помилками, що дозволяють здійснитися комп'ютерному злочину. Якщо в комп'ютері є вбудований стандартний пароль, його потрібно обов'язково змінити. p> Ще більш надійне рішення полягає в організації контролю доступу в приміщення або до конкретного комп'ютера мережі за допомогою ідентифікаційних пластикових карток з вбудованою мікросхемою - так званих мікропроцесорних карток (smart - Card). Їх надійність обумовлена ​​в першу чергу неможливістю копіювання або підробки кустарним способом. Установка спеціального зчитувального пристрою таких карток можлива не тільки на вході в приміщення, де розташовані комп'ютери, але і безпосередньо на робочих станціях і серверах мережі.
Існують також різні пристрої для ідентифікації особи по біометричної інформації - по райдужній оболонці ока, відбитками пальців, розмірами кисті руки і т.д.
2. Захист пароля. p> Наступні правила корисні для захисту пароля:
не можна ділиться своїм паролем ні з ким;
пароль повинен бути важко вгадуваним;
для створення пароля потрібно використовувати рядкові і прописні літери, а ще краще дозволити комп'ютеру самому згенерувати пароль;
не рекомендується використовувати пароль, який є адресою, псевдонімом, іменем родича, телефонним номером або чим-небудь очевидним;
переважно використовувати довгі паролі, так як вони більш безпечні, краще всього, щоб пароль складався з 6 і більше символів;
пароль не повинен відображатися на екрані комп'ютера при його введенні;
паролі мають бути відсутні в роздруківках;
не можна записувати паролі на столі, стіні або терміналі, його потрібно тримати в пам'яті;
пароль потрібно періодично міняти і робити це не за графіком;
на посади адміністратора паролів повинен бути найнадійніший чоловік;
не рекомендується використовувати один і той же пароль для всіх співробітників у групі;
коли співробітник звільняється, необхідно змінити пароль;
співробітники повинні розписуватися за отримання паролів.
3. Процедури авторизації. p> У організації, що має справу з критичними даними, повинні бути розроблені і впроваджені процедури авторизації, які визначають, хто з користувачів повинен мати доступ до тієї чи іншої інформації і додатків.
В організації повинен бути встановлений такий порядок, при якому для використання комп'ютерних ресурсів, отримання дозволу доступу до інформації і додаткам, і отримання пароля потрібен дозвіл тих чи інших начальників.
Якщо інформація обробляється на великому обчислювальному центрі, то необхідно контролювати фізичний доступ до обчислювальної техніки. Можуть виявитися доречними такі методи, як журнали, замки і пропуску, а також охорона. Відповідальний за інформаційну безпеку повинен знати, хто має право доступу в приміщення з комп'ютерним обладнанням та виганяти звідти сторонніх осіб.
4. Запобіжні заходи при роботі. p> Рекомендується:
відключати невикористовувані термінали;
закривати кімнати, де знаходяться термінали;
розгортати екрани комп'ютерів так, щоб вони не були видні з боку дверей, вікон та інших місць, які не контролюються;
встановити спеціальне обладнання, що обмежує число невдалих спроб доступу, чи робить зворотний дзвінок для перевірки особи користувачів, використовують телефони для доступу до комп'ютера
використовувати програми відключення терміналу після певного періоду невикористання; ...
