З позицій системного підходу до захисту інформації висуваються певні вимоги. Захист інформації повинен бути:
безупинним. Ця вимога виникає з того, що зловмисники тільки і шукають можливість, як би обійти захист цікавлячої їхньої інформації;
плановим. Планування здійснюється шляхом розробки кожною службою детальних планів захисту інформації в сфері її компетенції з урахуванням загальної мети підприємства (організації);
цілеспрямованим. Захищається те, що повинно захищатися в інтересах конкретної мети, а не все підряд;
конкретним. Захисту підлягають конкретні дані, об'єктивно підлягаючій охороні, утрата яких може заподіяти організації певний збиток;
активним. Захищати інформацію необхідно з достатнім ступенем наполегливості;
надійним. Методи і форми захисту повинні надійно перекривати можливі шляхи неправомірного доступу до охоронюваних секретів, незалежно від форми їхнього представлення, мови вираження і виду фізичного носія, на якому вони закріплені;
універсальним. Вважається, що в залежності від виду каналу витоку або способу несанкціонованого доступу його необхідно перекривати, де б він ні проявився, розумними і достатніми засобами, незалежно від характеру, форми і виду інформації;
комплексним. Для захисту інформації у всім різноманітті структурних елементів повинні застосовуватися усі види і форми захисту в повному обсязі. Неприпустимо застосовувати лише окремі форми чи технічні засоби. Комплексний характер захисту виникає з того, що захист — це специфічне явище, що є складною системою нерозривно взаємозв’язаних і взаємозалежних процесів, кожний з який у свою чергу має безліч різних сторін, властивостей, тенденцій.
Вимоги до системи захисту інформації
Закордонний і вітчизняний досвід показує, що для забезпечення виконання настільки багатогранних вимог безпеки система захисту інформації повинна задовольняти таким умовам:
охоплювати весь технологічний комплекс інформаційної діяльності;
бути різноманітною за використовуваними засобами, багаторівневою з ієрархічною послідовністю доступу;
бути відкритою для зміни і доповнення заходів забезпечення безпеки інформації;
бути нестандартною, різноманітною. Вибираючи засоби захисту не можна розраховувати на непоінформованість зловмисників щодо її можливостей;
бути простою для технічного обслуговування і зручною для експлуатації користувачами;
бути надійною. Будь-які несправності технічних засобів є причиною появи неконтрольованих каналів витоку інформації;
бути комплексною, мати цілісність, що означає, що жодна її частина не може бути вилучена без втрат для всієї системи.
До системи безпеки інформації висуваються також певні вимоги:
чіткість визначення повноваження і прав користувачів на доступ до визначених видів інформації;
надання користувачу мінімальних повноважень, необхідних йому для виконання дорученої роботи;
облік випадків і спроб несанкціонованого доступу до конфіденційної інформації;
забезпечення оцінки ступеня конфіденційної інформації;
забезпечення контролю цілісності засобів захисту і негайне реагування на їхній вихід з ладу.
Побудова підсистеми інформаційної безпеки та комерційні вимоги
Корпоративні інформаційні системи (КІС) відносяться до розподілених комп'ютерних систем, що здійснюють автоматизовану обробку інформації.
При створенні або модернізації корпоративної мережі необхідно поклопотатися про створення або модернізацію підсистеми інформаційної безпеки (ПІБ) своєї КС. Поняття ПІБ включає весь комплекс засобів і заходів по захисту інформації в КС.
Для успішного виконання поставленої задачі проектувальник ПІБ, перш за все, повинен чітко уявляти собі цю систему на найзагальнішому, концептуальному рівні з тим, щоб правильно визначити основні пріоритети її побудови і взаємозв'язок між її окремими компонентами.
Побудова будь-якої КС починається з установки робочих станцій, отже, ПІБ КС починається із захисту саме цих об'єктів. Для цього можна використовувати відомі штатні засоби захисту операційних систем, антивірусні пакети, додаткові пристрої автентифікації користувача і засобу захисту робочих станцій від НСД, засоби шифрування прикладного рівня і т.д.
На базі перерахованих засобів захисту інформації (СЗІ) будується перший рівень ПІБ КС – рівень захисту робочих станцій мережі (рис. 5). Рисунок 5. Чотирьохрівнева модель підсистеми інформаційної безпеки