Достоинства и недостатки различных видов мер защиты

Законодательные и морально-этические меры

Эти меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение.
Законодательные и морально-этические меры противодействия, являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и несанкционированного доступа к АС и информации. В некоторых случаях они являются единственно применимыми, как например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.

Организационные меры

Очевидно, что в организационных структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего, надо решить правовые и организационные вопросы.

Организационные меры играют значительную роль в обеспечении безопасности компьютерных систем. Организационные меры - это единственное, что остаётся, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако, это вовсе не означает, что систему защиты необходимо строить исключительно на их основе, как это часто пытаются сделать чиновники, далёкие от технического прогресса.

Этим мерам присуши серьёзные недостатки, такие как:

o низкая надежность без соответствующей поддержки физическими,техническими и программными средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, если толькоих можно нарушить);

o дополнительные неудобства, связанные с большим объемом рутинной и формальной деятельности.

Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надёжными физическими и техническими средствами.

Физические и технические средства защиты

Физические и технические средства защиты призваны устранить недостатки организационных мер, поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить возможность неумышленных (по ошибке или халатности) нарушений регламента со стороны персонала и пользователей АС.
Рассмотрим известное утверждение о том, что создание абсолютной (то есть идеально надёжной) системы защиты принципиально невозможно.

Даже при допущении возможности создания абсолютно надёжных физических и технических средств защиты, перекрывающих все каналы, которые необходимо перекрыть, всегда остаётся возможность воздействия на персонал системы, осуществляющий необходимые действия по обеспечению корректного функционирования этих средств (администратора АС, администратора безопасности и т.п.). Вместе с самими средствами защиты эти люди образуют так называемое «ядро безопасности». В этом случае, стойкость системы безопасности будет определяться стойкостью персонала из ядра безопасности системы, и повышать её можно только за счёт организационных (кадровых) мероприятий, законодательных и морально-этических мер.

Но, даже имея совершенные законы и проводя оптимальную кадровую политику, все равно проблему защиты до конца решить не удастся.

Во-первых, потому, что вряд ли удастся найти персонал, в котором можно было быть абсолютно уверенным, и в отношении которого невозможно было бы предпринять действий, вынуждающих его нарушить запреты.

Во-вторых, даже абсолютно надёжный человек может допустить случайное, неумышленное нарушение