Організаційно-адміністративні методи захисту інформації.
Вони регламентують процеси створення і експлуатації інформаційних об'єктів, а також взаємодія користувачів і систем таким чином, щоб захистити інформацію ставав або неможливим, або істотно мав труднощі.
Організаційно-адміністративні методи захисту інформації охоплюють всі компоненти автоматизованих інформаційних систем на всіх етапах їх життєвого циклу: проектування систем, будівництва будівель, приміщень і споруд, монтажу та наладки обладнання, експлуатації та модернізації систем. До організаційно-адміністративних заходів захисту інформації відносяться:
- виділення спеціальних захищених приміщень для розміщення ЕОМ і засобів зв'язку та зберігання носіїв інформації;
- виділення спеціальних ЕОМ для обробки конфіденційної інформації;
- організація зберігання конфіденційної інформації на спеціальних промаркованих магнітних носіях;
- використання в роботі з конфіденційною інформацією технічних і програмних засобів, що мають сертифікат захищеності і встановлених в атестованих приміщеннях;
- організація спеціального діловодства для конфіденційної інформації, що встановлює порядок підготовки, використання, зберігання, знищення та обліку документованої інформації;
- організація регламентованого доступу користувачів до роботи на ЕОМ, засобів зв'язку і до сховищ носіїв конфіденційної інформації;
- встановлення заборони на використання відкритих каналів зв'язку для передачі конфіденційної інформації;
- розробка і впровадження спеціальних нормативно-правових та розпорядчих документів з організації захисту конфіденційної інформації, які регламентують діяльність усіх ланок об'єкта захисту в процесі обробки, зберігання, передачі і використання інформації;
- постійний контроль за дотриманням встановлених вимог щодо захисту інформації.
Організаційно-технічні методи захисту інформації.
Вони охоплюють всі структурні елементи автоматизованих інформаційних систем на всіх етапах їх життєвого циклу. Організаційно-технічний захист інформації забезпечується здійсненням наступних заходів:
- обмеження доступу сторонніх осіб всередину корпусу обладнання за рахунок установки механічних запірних пристроїв або замків;
- відключення персональних комп'ютерів від локальної обчислювальної мережі або мережі віддаленого доступу (регіональні і глобальні обчислювальні мережі) при обробці на ній конфіденційної інформації, крім випадків передачі цієї інформації по каналах зв'язку;
- використання для відображення конфіденційної інформації рідкокристалічних, а для друку - струменевих принтерів або термопечати з метою зниження витоку інформації по електромагнітному каналу. При використанні звичайних дисплеїв і принтерів з цією ж метою рекомендується включати пристрої, що створюють додатковий шумовий ефект (фон), - генератори шуму, кондиціонер, вентилятор, або обробляти іншу інформацію на поруч стоїть персональний комп'ютер;
- установка клавіатури і друкуючих пристроїв на м'які прокладки з метою зниження витоку інформації по акустичному каналу;
- розміщення обладнання для обробки конфіденційної інформації на відстані не менше 2,5 м від пристроїв освітлення, кондиціонування, зв'язку, металевих труб, теле- і радіоапаратури;
- організація електроживлення персональних комп'ютерів від окремого блоку живлення (з захистом від побічних електромагнітних випромінювань або від загальної електромережі через фільтр напруги);
- використання безперебійних джерел живлення (БІП) персональних комп'ютерів для силових електричних мереж з нестійким напругою і плаваючою частотою.
Основне призначення безперебійних джерел живлення - підтримка роботи комп'ютера після зникнення напруги в електричній мережі. Це забезпечується за рахунок вбудованих акумуляторів, які зарядили під час нормальної роботи. БІП миттєво попередить свого власника про аварію електроживлення і дозволить йому протягом деякого часу (від декількох хвилин до декількох годин) акуратно закрити файли і закінчити роботу. Крім звичайних для БІП функцій вони можуть виконувати функцію висококласного стабілізатора напруги і електричного фільтра. Важливою особливістю пристрою є можливість безпосереднього зв'язку між ним і мережевою операційною системою.
Страхування як метод захисту інформації.
Визначення захисних властивостей технічних засобів здійснюється шляхом безпосередніх випробувань. Висновок (сертифікат) банківського сертифікаційного центру повинно стати основою для системи страхових гарантій. Для запобігання банківських інформаційних ризиків необхідно страхування:
- електронного документообігу при укладанні та виконанні договорів за участю банків, при оформленні первинних платіжних документів із застосуванням цифрової (електронної) підписи;
- від несанкціонованого доступу в інформаційну мережу;
- від руйнування або втрати інформації в результаті програмних або апаратних збоїв;
- від прямих збитків, пов'язаних з незаконним використанням програмних і апаратних засобів інформаційної системи;
- від втрат робочого часу і погіршення якості обслуговування клієнтів, викликаних поломками або некоректним функціонуванням апаратних засобів.