Стратегія і тактика захисту інформації полягають у попередженні, контролі, своєчасному знаходженні і блокуванні несанкціонованого доступу. Реалізація стратегії і тактики захисту інформації у комп'ютерних системах полягає у системному підході і вирішенні таких завдань на етапах проектування й експлуатації: на етапі проектування:
· визначення переліку і вартості даних, що підлягають захисту;
· аналіз системи як об'єкта захисту та визначення в ній максимально можливої кількості каналів несанкціонованого доступу до інформації і можливих впливів випадкового характеру;
· розробка засобів захисту, що перекривають виявлені канали несанкціонованого доступу і забезпечують заданий рівень безпеки інформації;
· розробка засобів функціонального контролю системи, підвищення вірогідності і резервування інформації;
· оцінка рівня очікуваної ефективності захисту на відповідність заданим вимогам;
· на етапі експлуатації:
· контроль і підтримка функціонування системи безпеки інформації у даній ІС;
· своєчасне попередження, виявлення і блокування несанкціонованого доступу;
· реєстрація та облік усіх звернень до інформації, яка підлягає захисту, документування, ведення статистики і прогнозування несанкціонованого доступу.
Пропоновані принципи дозволяють чітко поставити завдання і знайти шляхи щодо його вирішення: знайти предмет і об'єкт захисту, потенційні загрози, збудувати на шляху порушника систему взаємопов'язаних перепон з можливістю одержання розрахункових характеристик її очікуваної ефективності.
Існує декілька видів засобів захисту інформації у комп'ютерах:
· організаційні;
· законодавчі;
· фізичні;
· програмно-апаратні засоби.
Організаційні - охоплюють порядок роботи з конфіденційною інформацією: регламентація доступу у приміщення і безпосередньо до обчислювальної техніки, додержання певних норм і протоколів і відповідальність за їх порушення. Організаційні заходи захисту включають:
· організовування секретного (конфіденційного) діловодства;
· розмежування доступу до інформації: кожний співробітник підприємства повинен володіти тільки тими відомостями, що містять комерційну таємницю, які необхідні йому для виконання своїх обов'язків; дозвіл на доступ до такої інформації надається керівником підприємства, при цьому співробітник несе відповідальність за розголошення одержаних відомостей;
· встановлення такого порядку використання технічних засобів і приміщень, який би унеможливлював витік відомостей;
· встановлення порядку роботи з відвідувачами - їх облік у спеціальному журналі, визначення приміщень для прийому відвідувачів, їх супроводження при відвідуванні основних робочих приміщень;
· навчання співробітників підприємства заходам захисту комерційної інформації, підвищення їх відповідальності за ненавмисне розголошення комерційної таємниці.
Законодавчі методи захисту - акти, якими регламентуються правила використання та обробки інформації обмеженого доступу та встановлюються міри відповідальності за їх порушення.
Фізичні методи захисту - охорона, сигналізація, створення екранованих приміщень для захисту від витікання інформації по каналах випромінювання, перевірка апаратури, що поставляється, на відповідність її специфікаціям та відсутність апаратних „жучків".
Засоби охорони території підприємства формують собою різні типи обмежень і контролюючих систем, включаючи огорожі з автоматичною системою сигналізації, системи телевізійного контролю території, різні електронно-оптичні засоби охорони. До них можна віднести засоби розмежування доступу співробітників у приміщення з різним ступенем секретності.
Основними засобами захисту інформації при використанні технічних засобів є:
· - пошук закладних (підслуховуючих або записуючих) пристроїв;
· забезпечення прихованості передавання інформації по телефонно-телеграфних каналах шляхом їх шифрування;
· спеціальний захист апаратури від випромінювань за допомогою захисних блоків;
· створення штучних перешкод щодо перехвату електричних або акустичних сигналів.
Програмно-апаратні засоби реалізують технічні ("електронний ключ") і криптографічні методи захисту.
Стрижнем будь-якого захисту електронної інформації є криптографічні засоби, які використовуються для таких цілей:
· Шифрування інформації для захисту як від несанкціонованого доступу з боку користувача-порушника, так і від комп'ютерних вірусів.
· Контроль цілісності даних та програм з метою виявлення випадкових та навмисних спотворень.
· Аутентифікація повідомлень, що передаються з метою перевірки цілісності їх вмісту та підтвердження істинності авторства.
· Аутентифікація документів з метою вирішення спірних питань щодо авторства документів на основі цифрового підпису.
Концепція аутентифікації на основі цифрового підпису полягає у тому, що кожний користувач мережі має свій секретний ключ, необхідний для формування підпису. Відкритий ключ, відповідний цьому секретному ключу, призначений для перевірки підпису, відомий всім іншим користувачам мережі. Згідно з термінологією, затвердженою ISO, під поняттям «цифровий підпис», розуміють методи, які дозволяють встановлювати істинність автора повідомлення (документа) при виникненні суперечки щодо авторства цього повідомлення. Основна галузь застосування цифрового підпису - це ІС, в яких відсутня взаємна довіра сторін (фінансові системи, системи контролю за дотримуванням міжнародних договорів тощо).
Криптографічний захист не вирішує всіх проблем, і захистити інформацію від знищення за допомогою лише криптографічних методів неможливо. Використання криптографічних методів знижує продуктивність обчислювальної системи.
В Україні значимість криптографічних засобів у загальній системі захисту є вищою, ніж у зарубіжних країнах, оскільки неефективно діє законодавчий захист інформації. Для боротьби з комп'ютерним піратством (несанкціонованим копіюванням та перепродажем програм) застосовуються спеціальні програмні та апаратно-програмні засоби. Програмні засоби засновані на особливостях операційних систем та архітектури ПК. Апаратно-програмні засоби базуються на застосуванні електронних пристроїв, які підключаються або до внутрішньої шини комп'ютера, або до його зовнішнього підєднання. Використовуються електронні ключі, які дозволяють організувати надійний захист. Це компактний прилад, який приєднується до ПК і не впливає на взаємодію комп'ютера із зовнішніми пристроями. У програмі, що захищається, використовується спеціальний алгоритм взаємодії з ключем, який не дозволяє виконувати програму без нього. У цьому випадку кожний екземпляр програми надається разом з електронним ключем. Електронні ключі можуть застосовуватись для вирішення таких задач: захист програм від несанкціонованого розповсюдження; захист даних від розкриття інформації, що міститься у них, захист комп'ютерів від доступу до них сторонніх осіб.
Зі збільшенням надійності захисту системи обробки інформації зростає її ціна. Витрати на придбання і експлуатацію системи захисту повинні бути меншими, ніж збитки від втрати інформації.