Программные средства непосредственной защиты информации

Третья группа мероприятий по защите: программные средства непосредственной защиты информации. К ним относим:

· криптографические средства - электронную подпись и шифрование (как отдельных файлов, так и целых баз данных);

· системы аутентификации, построенные на криптогра­фии.

Приступая к реализации этих мероприятий, следует по­мнить, что это - последний (и, как правило, не очень нужный) слой защиты информации, так называемый последний рубеж. Применение его необходимо, когда предполагается наличие внутреннего нарушителя (в случае внутрикорпоративного до­кументооборота), либо когда обмен информацией ведется с внешними организациями без возможности защиты каналов передачи этой информации. Все, от чего данные меры защитят, так это от того, что злоумышленник не сможет ознакомиться с информацией или исказить ее. Но эти меры (при «забывании» руководством о первых двух группах мероприятий) не поме­шают ему эту информацию, скажем, удалить, тем самым пара­лизовав работу организации.

Резюмируя обсуждение третьей группы мероприятий, сле­дует заметить: так же, как и прочих технических мер обеспе­чения защиты, использование программных средств еще больше снижает эффективность и скорость работы. Например, при обмене данными отправителю придется их зашифро­вывать, получателю - расшифровывать, а на это требуется время и действия.

Подводя итог, хотим еще раз отметить, что подход к за­щите электронного документооборота должен быть комплекс­ным. Необходимо трезво оценивать вероятные угрозы и риски и величину возможных потерь от реализации этих угроз.

Вообще же, выбирая методы организации защищенного документооборота, следует искать разумный баланс между необходимостью и возможностью, между безопасностью данных и стоимостью решения по их защите. Обеспечивать защиту документооборота только ради самого факта наличия защиты не только лишено смысла, но и вредно, т. к. может существен­но осложнить деятельность организации с документами и ин­формацией.

Ну и, конечно, ни в коем случае нельзя забывать о главном недостатке любой защиты: абсолютной защиты не бывает, бывает лишь усложнение защиты настолько, чтобы ее взлом стоил дороже, чем защищаемая информация.