Организационные методы предупреждения правонарушений в сфере информации состоят из совокупности мероприятий по подбору, проверке и инструктажу персонала; обеспечению программно-технического обслуживания; назначению лиц, ответственных за конкретное оборудование; осуществлению режима секретности; обеспечению физической охраны объектов; оборудованию помещений и пр. Организационные методы обычно включают в себя три следующие составляющие: ограничение доступа; разграничение доступа; контроль доступа.
Ограничение доступа – это создание некоторых замкнутых рубежей вокруг объекта защиты. Доступ любых лиц к объекту осуществляется в контролируемых условиях и лишь для выполнения ими функциональных обязанностей. Ограничение доступа в отношении компьютерной системы заключается в такой организации ее работы, чтобы был исключен доступ к ней посторонних лиц. Для этого в особо ответственных случаях следует разместить компьютеризованное рабочее место в отдельном изолированном помещении.
Разграничение доступа в компьютерной системе заключается в разделении информации на части и организации доступа к ней в соответствии с функциональными обязанностями и полномочиями пользователя. Задача разграничения доступа состоит в защите информации от нарушителя, который входит в круг лиц, допущенных к работе с информацией. При этом деление информации может выполняться в соответствии с различными критериями: по степени важности, секретности, функциональному назначению и пр. Обычно при организации разграничения доступа к компьютерному оборудованию следует придерживаться следующих правил: техническое обслуживание оборудования в процессе эксплуатации должно выполняться специальным персоналом без доступа к информации, подлежащей защите; любое изменение программного обеспечения должен выполнять выделенный специально для этой цели специалист.
Контроль доступа – это определение подлинности субъекта и фиксация факта доступа. При этом вначале каждому субъекту, который м.б. допущен к информации, присваивается уникальный образ, имя или число. Присвоение субъекту уникального образа, имени или числа называется идентификацией. Установление подлинности субъекта называется аутентификацией. Субъектами идентификации и аутентификации в компьютерной системе могут быть: человек (оператор, пользователь), техническое средство (компьютер, устройство), документ. Соответственно и аутентификация может проводиться в отношении человека, технических средств, документов. Наиболее распространенный метод при аутентификации человека – присвоение пароля и запрос его при входе в систему. При этом для большей надежности пароль м.б. разделен, напр., на две части: одну из них пользователь вводит вручную, а вторая размещается на специальном носителе. Еще один метод аутентификации называется «запрос-ответ». Он заключается в том, что при попытке пользователя включиться в работу ему задаются некоторые вопросы, на которые он должен правильно ответить. Примером аутентификации технических средств может служить установление подлинности терминала, с которого входит в систему пользователь. Аутентификация документов применяется для защиты от следующих преднамеренных несанкционированных действий: отказ отправителя от переданного документа; подделка или изменение документа получателем; маскировка отправителя под другого абонента. Обеспечение защиты с каждой стороны, участвующей в обмене, может осуществляться с помощью ЭЦП.