Как уже говорилось выше защита информации - это обязанность каждого субъекта, который ей обладает, исходя из того насколько данная информация ценна, какие угрозы для нее могут возникать. Эти меры, как правило, фиксируются в Политике информационной безопасности (документ, который должен быть на каждом предприятии). Болванкой является Стандарт ГОСТ ИСО/МЭК 17799-2005.
Политика информационной безопасности должна обеспечивать:
- Идентификацию лиц осуществляющих доступ к информации;
- Разделение полномочий по доступу;
- Регистрацию и учет доступа;
- Обеспечение антивирусной защиты;
- Периодическую проверку целостности информации;
- Шифрование отдельных видов и применение цифровой подписи (при необходимости).
В Политике, кроме того, должны быть закреплены практические приемы и правила, с помощью которых вы собираетесь обеспечить информационную безопасность. Это и есть методы защиты информации .
Они бывают:
• Правовые - принятие нормативных актов, с помощью которых устанавливаются правила работы с информацией. С их помощью надо установить:
- распределение информации по категориям доступности - какая информация подлежит защите (в стандарте 3 категории – открытая, для внутреннего использования и конфиденциальная), по жизни бывает 2 – (открытая и конфиденциальная), нужно определить критерий, на основании которого информацию относят к защищаемой (способ 1: составить конкретный перечень конфиденциальной информации, способ 2: разработать критерий, в соответствии с которым информация является конфиденциальной);
- определение полномочий по доступу к информации (у каких субъектов будут права на доступ к информации, права на изменение таких полномочий);
- установление санкций за нарушение правил работы с информацией;
- включение соответствующих оговорок в договоры.
• Организационные - мероприятия организационного характера, направленные на обеспечение информационной безопасности и выполнение вышеуказанных документов
- проведение инструктажа персонала;
- обозначение защищаемой информации с помощью специальных меток (штампики, грифы);
- ведение реестров лиц, обладающих категорией доступа
• Технические
- антивирусные программные средства;
- паролирование и шифрование;
- организация хранилищ конфиденциальной информации (например, можно выделить для нее специальное место на диске).