Дипломная работа на тему: информационная безопасность

Оглавление:

У вас нет времени на дипломную работу или вам не удаётся написать дипломную работу? Напишите мне в whatsapp — согласуем сроки и я вам помогу!

В статье «Как научиться правильно писать дипломную работу», я написала о правилах и советах написания лучших дипломных работ, прочитайте пожалуйста.

Собрала для вас похожие темы дипломных работ, посмотрите, почитайте:

Дипломная работа на тему: информационная безопасность

Введение

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендаций и нормативно-правовой базы действующих в России руководств. Поэтому решение о разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев и показателей безопасности, а также эффективности системы информационной безопасности предприятия. В результате, помимо требований и рекомендаций стандартов, Конституции, законов и других авторитетных документов, необходимо сослаться на ряд международных рекомендаций. К ним относятся адаптация к национальным условиям и практическое применение методов международных стандартов, таких как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и других, а также применение методов управления информационными рисками в сочетании с оценкой затрат и выгод инвестиций в корпоративную информационную безопасность. Современные методы управления рисками позволяют решить ряд задач стратегического развития современного предприятия.

Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что требует выявления рисков на правовом, организационном, административном, технологическом, а также техническом уровнях информационной безопасности.

Во-вторых, разработать политику безопасности и планы по совершенствованию системы защиты информации компании для достижения приемлемого уровня защиты информационных активов компании. Для этого нужно:

— Обосновать и рассчитать финансовые вложения в безопасность на основе технологий анализа рисков, соотнести затраты на безопасность с потенциальным ущербом и вероятностью его возникновения;

— Выявление и определение приоритетности устранения наиболее опасных уязвимостей перед атакой на уязвимые ресурсы;

— определить функциональные взаимосвязи и сферы ответственности по мере взаимодействия департаментов и отдельных лиц в целях обеспечения информационной безопасности организации; создать необходимый пакет организационно-административной документации; и

— Разработать и согласовать со службами организации и регулирующими органами проект внедрения необходимых систем защиты с учетом современного уровня и тенденций развития информационных технологий;

— Обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями организации, регулярное внесение изменений в организационно-распорядительную документацию, изменение технологических процессов и модернизацию технических средств защиты.

Решение вышеперечисленных проблем открывает новые возможности для менеджеров различного уровня.

Топ-менеджеры имеют возможность объективно и самостоятельно оценивать текущий уровень информационной безопасности предприятия, обеспечивать формирование единой стратегии безопасности, рассчитывать, согласовывать и обосновывать необходимые затраты на защиту предприятия. На основе полученной оценки руководители подразделений и служб смогут разработать и продемонстрировать необходимые организационные меры (структура и состав службы информационной безопасности, правила конфиденциальности бизнеса, набор должностных инструкций и инструкций по действиям в чрезвычайных ситуациях). Руководители смогут сделать обоснованный выбор средств защиты информации, а также адаптировать количественные показатели оценки информационной безопасности, методы оценки и управления безопасностью с учетом экономической эффективности предприятия и использовать их в своей работе.

Практические рекомендации по нейтрализации и локализации выявленных системных уязвимостей, полученные в результате аналитического исследования, помогут в работе с проблемами информационной безопасности на различных уровнях и, самое главное, в определении основных зон ответственности, в том числе материальной, за ненадлежащее использование информационных активов предприятия. При определении зоны материальной ответственности за причиненный работодателю ущерб, в том числе за разглашение коммерческой тайны, должны соблюдаться соответствующие положения Трудового кодекса.

Концепция информационной безопасности

Информационная безопасность — это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Информационная безопасность — это сложная задача обеспечения безопасности, которая решается путем внедрения систем безопасности. Проблема информационной безопасности является многоаспектной и сложной и включает в себя ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества техническими средствами обработки и передачи данных, и особенно компьютерными системами.

Термин «информационная безопасность» только недавно вошел в общий язык, хотя деятельность современных предприятий немыслима без персональных компьютеров. Этому есть простое объяснение: объем данных, обработанных и сохраненных в электронном виде, в миллионы раз превышает «бумагу» для среднего предприятия. Установленные на компьютеры программы сложно сконфигурировать, создана сложная для воссоздания схема взаимодействия компьютеров и программ, которые обычные пользователи обрабатывают огромные объемы данных. Понятно, что любое нарушение выстроенной технологической цепочки приводит к определенным потерям для компании. Под информационной безопасностью (ИБ) мы понимаем защиту информационной среды компании от внешних и внутренних угроз при ее создании, использовании и развитии.

Крупные компании имеют специальные службы со значительным бюджетом, в задачи которых входит обеспечение ИБ, выявление, локализация и устранение угроз корпоративной ИБ. Они используют специализированное, дорогостоящее программное и аппаратное обеспечение, которое может быть настолько сложным в обслуживании, что для его эксплуатации требуется специальная подготовка персонала. Задачи управления ИБ в таких организациях часто сводятся к выдаче инструкций с модными словами: «углубить», «повысить», «улучшить», «обеспечить» и т.д. Вся работа по ИБ проводится незамеченной менеджерами соответствующих служб, а описание того, как они работают, является темой одной из длинных собственных статей.

В то же время в небольших компаниях с небольшим количеством рабочих мест для специалистов (часто не более 50) ИБ уделяется мало внимания. Однако нынешняя организационно-техническая ситуация такова, что большинство существующих ИБ-угроз становятся актуальными в связи с высоким уровнем защиты для небольших компаний. Как правило, такие компании имеют достаточно скромный IT-бюджет, что позволяет им покупать только необходимое оборудование и программное обеспечение и нанимать единого системного администратора.

С сегодняшней точки зрения, для обеспечения информационной безопасности сформулированы три основных принципа:

-Хранение целостности данных -Защита от ошибок, приводящих к потере информации, и защита от несанкционированного создания или уничтожения данных;

-Конфиденциальность информации;

Конфиденциальность информации; -Доступность информации для всех уполномоченных пользователей.

Выделяются другие категории модели безопасности, которые не всегда являются обязательными:

— неопровержимость или поражение — невозможность опровергнуть авторство;

-подотчетность — обеспечение идентификации субъекта доступа и регистрация его действий;

-Аутентичность — свойство соответствия предполагаемому поведению или результату;

-Аутентичность — свойство, обеспечивающее идентичность предмета или ресурса тому, что заявлено.

Концепция политики безопасности

Политика информационной безопасности (ISP) _ набор политик безопасности, правил, процедур и практик, направленных на защиту ценной информации.

Цель политики информационной безопасности :

— Сформулировать цели организации в области информационной безопасности с точки зрения бизнеса (позволяет определить их для руководства и демонстрирует управленческую поддержку важности ИБ),

— Установление правил организационной работы в компании с целью минимизации рисков информационной безопасности и повышения эффективности бизнеса.

Требования политики информационной безопасности:

— Политика должна быть утверждена высшим органом управления компании (генеральным директором, советом директоров и т.д.), чтобы продемонстрировать исполнительную поддержку.

— Политика ИС должна быть написана на языке, который может быть понятен конечным пользователям и высшему руководству, и должна быть как можно более лаконичной.

— Политика в области ИУ должна определять цели ИУ, то, как они будут достигаться, и обязанности. Техническая информация о том, как будут применяться эти методы, содержится в инструкциях и правилах, на которые делается ссылка в политике.

— Свести к минимуму влияние политики безопасности на производственный процесс.

— Непрерывное обучение сотрудников и руководства.

— Постоянный контроль за соблюдением политики безопасности во время реализации и после.

— Постоянное совершенствование политики безопасности.

— Согласованность взглядов и создание культуры безопасности в компании.

Предлагается следующая структура ПИБ:

— Общие положения (ссылки на законы, постановления и другие регулирующие документы, которыми руководствуется организация),

— Утверждение важности ИБ для организации и формулирование целей информационной безопасности, связанных с деятельностью организации (выполнение требований законодательства и других нормативных актов, удовлетворение ожиданий клиентов и партнеров, повышение конкурентоспособности, финансовой стабильности и имиджа организации).

— Описание стратегии организации в области информационной безопасности (например, соблюдение нормативных требований, оценка и управление рисками).

— Сфера деятельности провайдера (например, является обязательной для всех сотрудников и руководства организации, или для одного офиса, или для сотрудников, использующих ноутбуки).

— Описание объекта защиты (охраняемые ресурсы — информация различных категорий, информационная инфраструктура и т.д.).

— Цели информационной безопасности (например, снижение ИБ-угроз до приемлемого уровня, выявление потенциальных ИБ-угроз и уязвимостей, предотвращение инцидентов, связанных с ИБ).

— Угрозы и модель преступника, применимые к организации (по источнику, по методу осуществления, по направленности)

— Краткое объяснение принципов политики ИС:

o Подход к построению ISMS,

o Требования к обучению и осведомленности сотрудников в области ИС,

o Последствия и ответственность за нарушение ИСУС,

o Подход к управлению рисками,

o Определение организационной структуры, общих и конкретных обязанностей по управлению ИУ, включая отчетность об инцидентах,

o Ссылки на документацию, которая может поддержать эту политику, например, политику и процедуры частной защиты для конкретных информационных систем или правила защиты, которые должны соблюдаться пользователями.

o Механизмы контроля за соблюдением правил провайдера,

o Процедуры рассмотрения и принятия изменений в политике.

Как только политика ИС будет утверждена, это необходимо:

— Сделать положения политики ИБ, инструкций, процедур и инструкций доступными для подписи рядовых сотрудников во время их первоначального и последующего периодического обучения и инструктажа;

— Разработать процедуры, инструкции и т.д., уточняющие и дополняющие политику (для специалистов по ИС);

— Периодически пересматривать политику в целях поддержки ее адекватности и эффективности;

— Проводить периодические аудиторские проверки соблюдения сотрудниками этой политики и отчитываться перед руководством организации.

— Кроме того, обязанности по обеспечению информационной безопасности должны быть включены в должностные инструкции ответственных сотрудников, правила службы и контрактные обязательства организации.

Таким образом, результатом является не только документированная основа СМИС, но и реальное распределение ответственности за информационную безопасность среди сотрудников организации.

Жизненный цикл политики безопасности:

1. планирование

Первоначальный обзор безопасности

— Провести опрос,

— Определите угрозы безопасности,

— …определить ресурсы, которые нуждаются в защите…

— Оценка риска.

В ходе аудита анализируется текущее состояние информационной безопасности, выявляются существующие уязвимости, наиболее критические операционные области и наиболее чувствительные бизнес-процессы к угрозам безопасности.

Разработка политики безопасности:

— Основные требования, требования и базовая система мер информационной безопасности в организации определены с целью снижения рисков до приемлемого уровня.

— оформляются в виде решений, согласованных в рамках рабочей группы, и утверждаются руководством организации.

2. внедрение ПИУ

— решать технические, организационные и дисциплинарные вопросы.

3. проверка .

Тестирование и проверка.

4. настройка.

Периодический обзор и корректировка, а также при изменении исходных данных.

Информационная система компьютерной защиты.

Современные средства физической, аппаратной и программной защиты информации

Основной целью любой системы информационной безопасности является обеспечение устойчивого функционирования объекта: предотвращение угроз его безопасности, защита законных интересов владельца информации от противоправных нарушений, в том числе преступных деяний в сфере отношений, предусмотренных Уголовным кодексом, обеспечение нормальной оперативной деятельности всех подразделений объекта. Еще одной задачей является повышение качества предоставляемых услуг и обеспечение безопасности имущественных прав и интересов клиентов. Для этого необходимо:

— Классифицировать информацию как информацию с ограниченным доступом (официальные секреты);

— Предвидеть и своевременно выявлять угрозы безопасности информационных ресурсов, причины и условия, способствующие причинению финансового, материального и морального ущерба, а также нарушению их нормального функционирования и развития.

— Создание функциональных условий с наименьшей вероятностью реализации угроз безопасности информационных ресурсов и нанесения различного рода ущерба;

— Создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективного пресечения вмешательства в ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

— Создать условия для максимально возможной компенсации и локализации ущерба, причиненного незаконными действиями физических и юридических лиц, и тем самым смягчить возможные негативные последствия нарушений информационной безопасности.

При разработке политики безопасности можно использовать следующую модель (рис. 1), основанную на адаптации общих критериев (ISO 15408) и анализе рисков (ISO 17799). Данная модель соответствует специальным нормативным документам по информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационные технологии — методы защиты — критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью».

Представленная модель представляет собой компиляцию объективных внешних и внутренних факторов и их влияния на состояние информационной безопасности на сайте и на безопасность материальных или информационных ресурсов.

Учитываются следующие объективные факторы:

— Угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

— Уязвимость информационной системы или системы противодействия (системы информационной безопасности), влияющая на вероятность угрозы; — Риск — фактор, отражающий потенциальный ущерб организации в результате угрозы информационной безопасности: Утечка информации и неправомерное использование (риск в конечном итоге отражает вероятные финансовые потери — прямые или косвенные).

Для создания эффективной политики безопасности сначала необходимо провести анализ рисков информационной безопасности. Затем определите оптимальный уровень риска для организации на основе заранее определенного критерия. Политика безопасности и соответствующая система информационной безопасности компании должны быть построены таким образом, чтобы достичь заданного уровня риска.

Предлагаемая методика разработки политики информационной безопасности современного предприятия позволяет в полной мере анализировать и документировать требования информационной безопасности, избежать затрат на избыточные меры безопасности, что возможно при субъективной оценке рисков, помочь спланировать и внедрить защиту на всех этапах жизненного цикла информационных систем, обеспечить выполнение работ в сжатые сроки, дать обоснование выбора контрмер, оценить эффективность

В ходе работы должна быть определена сфера охвата расследования. Для этого необходимо выделить ресурсы информационной системы, для которых будут получены дальнейшие оценки рисков. Здесь необходимо разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть компьютерное оборудование, программное обеспечение, данные, а также информационные ресурсы — отдельные документы и их индивидуальная компоновка, документы и компоновка в информационных системах (библиотеках, архивах, коллекциях, базах данных, других информационных системах). Примерами внешних элементов являются сети связи, внешние службы и т.д.

При построении модели учитываются взаимосвязи между ресурсами. Например, отказ одного устройства может привести к потере данных или выходу из строя другого критического элемента системы. Такие взаимосвязи формируют основу для построения модели организации с точки зрения ИС.

Эта модель построена в соответствии с предлагаемой методикой следующим образом: Для уступленных ресурсов их стоимость определяется как с точки зрения возможных финансовых потерь, связанных с ними, так и с точки зрения ущерба для репутации организации, нарушения ее деятельности, нематериального ущерба в результате раскрытия конфиденциальной информации и т.д. Затем описываются взаимосвязи между ресурсами, выявляются угрозы безопасности и оценивается их вероятность.

На основе созданной модели можно обоснованно выбрать систему контрмер, которая снижает риски до приемлемого уровня и является наиболее рентабельной. Частью системы контрмер будут рекомендации по проведению регулярных обзоров эффективности системы защиты.

Обеспечение повышенных требований к ИБ подразумевает принятие соответствующих мер на всех этапах жизненного цикла информационных технологий. Эти мероприятия будут запланированы после завершения этапа анализа рисков и выбора контрмер. Обязательной частью этих планов является периодический обзор соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям конкретного стандарта безопасности.

По окончании можно будет определить меру безопасности информационной среды, основываясь на оценке, с которой информационной среде объекта можно доверять. Этот подход предполагает, что более высокий уровень безопасности вытекает из более широких усилий по оценке безопасности. Адекватность оценки основана на включении в процесс оценки большего количества элементов информационной среды объекта, глубине, достигаемой за счет использования большего количества проектных и исполнительных деталей при проектировании системы безопасности, строгости, присущей использованию большего количества поисковых инструментов и методов для выявления менее очевидных уязвимостей или снижения вероятности их наличия.

Важно помнить, что прежде чем внедрять какое-либо решение информационной безопасности, необходимо разработать политику безопасности, соответствующую целям современной организации. В частности, политика безопасности должна описывать то, как пользователь получает и использует привилегии доступа, а также требования к ответственности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (ISS) эффективна, когда она надежно поддерживает соблюдение правил политики безопасности и наоборот. Шагами создания политики безопасности являются внедрение структуры значений в описание объекта автоматизации и проведение анализа рисков, а также определение правил для каждого процесса использования данного типа доступа к ресурсам объекта автоматизации с заданным уровнем значений. Поэтому желательно создать политику безопасности в виде отдельного документа и утвердить ее руководством.

Определение проблемы

Для достижения поставленной цели необходимо решить следующие задачи:

— Определить цели и задачи защиты информации в компании.

— Выберите модель политики безопасности для организации.

— Создать матрицу доступа

— Определите набор требований к УЦ.

— Определите класс безопасности AS и его требования

— Определить ключевые объекты защиты в организации

— Определить объект защиты в организации

— Выявление возможных угроз для информации, защищаемой на предприятии, и его структуры.

— выявить источники, виды и способы дестабилизирующего воздействия на охраняемую информацию на предприятии

— идентификация каналов и способов несанкционированного доступа к охраняемой информации на предприятии

— Определение основных направлений, методов и средств защиты информации на предприятии

Целями защиты информации на предприятии являются

— Для предотвращения кражи, утечки, потери, фальсификации, подделки конфиденциальной информации (коммерческой тайны и персональных данных);

— Для предотвращения угроз индивидуальной и корпоративной безопасности;

— Предотвращение несанкционированных действий по уничтожению, модификации, фальсификации, копированию, блокированию конфиденциальной информации.

— Предотвращение других форм незаконного вмешательства в информационные ресурсы и системы и обеспечение правового режима документированной информации как объекта собственности.

— защита конституционных прав граждан на неприкосновенность частной жизни и конфиденциальность личной информации, имеющейся в информационных системах

— Сохранение конфиденциальности документированной информации в соответствии с законом.

Цели защиты информации в компании включают в себя:

1. Предоставление защищенной информационной услуги по управлению, финансовой и маркетинговой деятельности компании, т.е. обеспечение всех агентств, департаментов и должностных лиц необходимой информацией, как засекреченной, так и не засекреченной.

2. обеспечение безопасности информации и объектов, предотвращение утечки защищенной информации и предотвращение несанкционированного доступа к секретным информационным носителям. 3.

3. разработка механизмов немедленного реагирования на угрозы с использованием правовых, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности организации.

4. документирование процесса защиты информации, особенно информации, составляющей коммерческую тайну.

5. организация специального управления файлами, предотвращающего несанкционированное получение конфиденциальной информации.

Основными объектами охраны в студии являются:

— Персонал (поскольку эти лица уполномочены работать с охраняемой законом информацией (коммерческая тайна, персональные данные) или имеют доступ в помещение, где эта информация обрабатывается).

— Объекты информатизации — средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены,

— Ограниченная информация:

— Коммерческая тайна (сведения о первоначально применяемых методах управления, сведения о подготовке, принятии и исполнении тех или иных решений руководства по коммерческим, организационным и иным вопросам; сведения о фактах, целях, тематике и результатах совещаний и заседаний органов управления организации (управляющих партнеров и т.д.).

— Персональные данные о работниках (ФИО, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, судимость и некоторые другие сведения, требуемые работодателем в связи с трудовыми отношениями и относящиеся к конкретному работнику).

— Персональные данные клиента (имя, фамилия, отчество, дата рождения, номер телефона, информация о заказе, персональные скидки).

— Информация, защищенная от утери

— документированная информация, регламентирующая статус компании, права, обязанности и ответственность работников (устав, журнал учета, устав, подзаконные акты, положения о деятельности, положения о структурных подразделениях, должностные инструкции работников)

— юридически защищенные материальные носители (личные дела сотрудников, личные дела клиентов, электронные базы данных сотрудников и клиентов, распечатки и электронные версии заказов, постановлений, планов, контрактов, отчетов, которые считаются коммерческой тайной)

— Меры информационной безопасности (антивирусное программное обеспечение, система охранной сигнализации и видеонаблюдения, система пожаротушения)

— Переработка отходов (мусора), образующихся в результате обработки охраняемой законом информации (личные дела бывших клиентов и сотрудников).

Предметом защиты данных в студии являются носители данных, на которых были записаны и представлены защищенные данные:

— Личные дела клиентов в бумажном и электронном виде (база данных клиентов и сотрудников);

— приказы, постановления, положения, инструкции, соглашения и обязательства по обеспечению конфиденциальности, приказы, договоры, планы, доклады, вступительное заявление к положениям о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.

Сегодня эффективность современной организации все в большей степени определяется степенью использования информационных технологий в процессе ее деятельности. Как объем информации, обрабатываемой электронным способом, так и количество различных информационных систем постоянно увеличиваются. В этом контексте, на передний план выходит задача обеспечения безопасности предприятия — разработка политики безопасности и защиты информации на предприятии.

Обеспечение защиты информации предполагает необходимость защиты нескольких видов секретов: Торговые секреты и личные данные. Самым важным является защита персональных данных, поскольку доверие клиентов основано, прежде всего, на предоставлении их персональных данных и, соответственно, на защите персональных данных сотрудниками организации.

Поэтому целью безопасности в студии является разработка политики безопасности и обеспечение надежной защиты информации в компании для ее нормального функционирования.

Выбор и обоснование модели информационной безопасности

Основными объектами охраны в студии являются:

— Персонал (поскольку эти лица уполномочены работать с охраняемой законом информацией (коммерческая тайна, персональные данные) или имеют доступ в помещения, где эта информация обрабатывается).

— Ограниченная информация:

— Деловые секреты (сведения о методах управления, изначально применяемых в организации, сведения о подготовке, принятии и исполнении тех или иных решений руководства по коммерческим, организационным и иным вопросам; сведения о фактах, целях, тематике и результатах совещаний и заседаний органов управления организации (управляющих партнеров и т.д.).

— Личные данные клиента (имя, фамилия, отчество, дата рождения, номер телефона, информация о заказе, персональные скидки).

— Информация, защищенная от утери

— Личные дела клиентов в бумажном и электронном виде (база данных клиентов и сотрудников);

— Приказы, решения, положения, инструкции, соглашения и обязательства о конфиденциальности, приказы, договоры, планы, отчеты, декларация о включении в правила о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.

Угрозы охраняемой информации.

Внешние угрозы:

— Конкурсанты (частные студии, являющиеся конкурентами студии «Вилден»);

— Административные органы (государственные учреждения);

— Преступники.

Внутренние угрозы:

— Персонал;

— Администрация компании.

Классификация угроз:

1. по объекту:

1.1 Персонал;

1.2 Основные средства;

1.3 Финансовые активы.

2. от повреждения:

2.1. материал;

2.2 моральный дух.

3. по степени повреждения:

3.1 Предельный (полная гибель);

3.2 Значительная (некоторая валовая выручка);

3.3. несущественный (упущенная выгода).

4. по отношению к собственности:

4.1 Внутренний;

4.2 Внешний.

5. с точки зрения вероятности возникновения:

5.1 Скорее всего;

5.2 Вероятно; 5.3 Вряд ли;

5.3 Низкая вероятность.

6. 6. Характер воздействия:

6.1 Активен;

6.2 Пассивный.

7. По причине проявления:

7.1. спонтанно;

7.2. преднамеренно.

К источникам дестабилизирующего влияния на информацию относятся:

-Люди;

-технические средства представления (записи), хранения, обработки, воспроизведения, передачи информации, средства связи и системы, обеспечивающие их функционирование;

-Природные явления.

Виды и способы дестабилизирующего воздействия на защищаемую информацию различаются по источникам воздействия. Наибольшее количество видов и методов дестабилизирующего влияния относится к людям.

Люди могут иметь следующие виды влияния, которые приводят к разрушению, искажению и блокировке:

1. прямое воздействие на носители защищаемой информации.

2. несанкционированное раскрытие конфиденциальной информации.

3. блокирование технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи.

4. нарушение режима работы перечисленных средств и технологии обработки информации.

5. сбой и нарушение режима работы систем, обеспечивающих эксплуатацию указанных выше объектов.

Несанкционированное распространение конфиденциальной информации может осуществляться путем

— устная передача (сообщение) информации;

— передача копий (изображений) носителей данных;

-отображение носителей информации;

-Ввод информации в компьютерные сети;

-публикация информации в свободной прессе;

-использование информации в публичных выступлениях, в том числе на радио и телевидении;

-потеря носителей информации.

Могут существовать возможности нарушения работы технических средств представления, хранения, обработки, воспроизведения, передачи информации, средств связи и технологий обработки информации, приводящие к уничтожению, фальсификации и блокированию информации:

-Ущерб отдельным элементам средств;

-нарушение правил эксплуатации средств

-Внесение изменений в процедуру обработки информации;

— Загрязнение программного обеспечения для обработки информации вредоносными программами;

-выдача ложных программных инструкций;

-превышая расчетное количество запросов;

-Вызвание помех в радиоэфире путем добавления звука или шума, изменения (наложения) частот передачи информации.

— Передача помех — подключение фильтров подавления помех в информационных, силовых и заземляющих цепях;

-нарушение (изменение) режима работы систем, обеспечивающих работу оборудования.

Виды дестабилизирующего воздействия на защищаемую информацию техническими средствами представления, хранения, обработки, воспроизведения, передачи информации и средств связи, а также систем, обеспечивающих их функционирование, включают в себя: выход из строя средств; нарушение работы средств и генерацию электромагнитных излучений.

К наиболее вероятным каналам утечки информации относятся:

— визуальное наблюдение;

— подслушивание;

— техническое наблюдение;

— Прямой допрос; слежка;

— Экспертиза материалов, документов, изделий и т.д;

— Сбор открытых документов и других источников информации;

— Кража документов и других источников информации;

— Изучение многочисленных источников информации, некоторые из которых содержат необходимую информацию.

Области защиты информации.

Правовая защита — специальные правовые нормы, процедуры и меры, созданные для обеспечения информационной безопасности предприятия.

Организационная защита — это регулирование производственной деятельности и отношений исполнителей на нормативно-правовой основе с помощью ущерба. Организационная защита обеспечивается:

— Организация режима безопасности, работа с персоналом, документы;

— Использование технических средств безопасности;

-Использование информационно-аналитической работы для выявления угроз.

Техническая защита — это использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует, в частности, следующие средства.

— Физические — устройства, технические сооружения, организационные меры, исключающие или препятствующие проникновению в источники конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства, хранилища);

— Аппаратное обеспечение — устройства для защиты от утечек, разглашения и технических средств промышленного шпионажа.

Аппаратные средства — устройства защиты от утечки, раскрытия, раскрытия и технические средства промышленного шпионажа; — средства программирования.

Методы защиты информации.

Основные методы защиты информации следующие:

— Внедрение разрешительной системы доступа пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и работам, документам, связанным с ее использованием;

— Дифференциация доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации.

— избыточность технических ресурсов, дублирование массивов и информационных носителей

— Использование инструментов защиты информации, прошедших установленный процесс оценки соответствия;

— Организация физической охраны помещений и аппаратных средств, позволяющих обрабатывать персональные данные.

— Предотвращение внедрения вредоносных программ (вирусных программ) и программных закладок в информационные системы.

Принципы хранения секретной информации:

— Обязательство регистрировать все носители охраняемой информации;

— Однократная регистрация конкретного носителя такой информации;

— Указание в реестрах адреса, по которому в данный момент времени находится тот или иной носитель засекреченной информации;

— Единственная ответственность за каждый носитель охраняемой информации и отражение в записях текущих и прошлых пользователей информации.

Средства защиты информации

Средствами защиты информации является совокупность технических, электрических, электронных, оптических и других приборов и оборудования, устройств и технических систем, а также других материальных объектов, используемых для решения различных задач по защите информации, в том числе для предотвращения утечки и обеспечения безопасности защищаемой информации.

Основные группы задач, решаемых техническими средствами, служат основой для классификации средств защиты информации:

-Создание физических (механических) препятствий для проникновения злоумышленника на носители информации (решетки, сейфы, замки и т.д.);

-обнаружение попыток проникновения на охраняемый объект, в места концентрации носителей охраняемой информации (электронные и электронно-оптические сигнализации);

Предупреждение о чрезвычайных ситуациях (пожар, наводнение и т.д.) и ликвидация чрезвычайных ситуаций (огнетушители и т.д.);

-Удержание связи с различными подразделениями, комнатами и другими точками объекта охраны;

-Нейтрализация, поглощение или отражение излучения от изделий, находящихся в эксплуатации или под испытанием (экранирование, защитные фильтры, отключающие устройства в сетях электропитания и т.д.).

-Всесторонняя проверка технических средств обработки информации и выделенного пространства на соответствие обрабатываемой голосовой информации установленным стандартам;

-Комплексная защита информации в автоматизированных системах обработки данных с помощью фильтров, электронных замков и ключей для предотвращения несанкционированного доступа, копирования или фальсификации информации.

Знание возможностей методов и средств защиты информации позволяет их активное и комплексное применение при рассмотрении и использовании правовых, организационных и технических мер по защите конфиденциальной информации.

Модель политики безопасности.

В настоящее время наилучшим образом изучены два типа политик безопасности: дискреционные и мандатные, основанные на селективных и авторитетных методах контроля доступа, соответственно.

Следует отметить, что средства защиты, предназначенные для реализации одного из вышеперечисленных видов контроля доступа, обеспечивают только способы надежного управления доступом или информационными потоками. Определение прав доступа субъектов к объектам и/или информационным потокам (полномочия субъектов и атрибуты объектов, присвоение флагов критичности и т.д.) относится к компетенции системного администрирования.

Обязательный контроль доступа (ОСД) в системе означает независимость доступа к информации от ее владельца. Как правило, в таких случаях контроль доступа реализуется, исходя из свойств самой информации и свойств лица, желающего получить к ней доступ, по правилам, не зависящим от обоих.

Характерен для моделей, предназначенных для использования в военных и государственных системах защиты.

Строго говоря, критерии определения того, к какому классу относится тот или иной метод контроля доступа, далеки от определенных, но очень точны для большинства классических моделей политики безопасности.

Основой дискреционной (дискреционной) политики безопасности является Дискреционный контроль доступа (DDAC), который определяется двумя свойствами:

— Права доступа субъекта к системному объекту определяются на основе правила вне системы;

— все предметы и объекты должны быть идентифицированы.

В данной работе мы рассматриваем модель дискреционной политики безопасности для предприятий.

Дискреционный контроль доступа — это способ ограничения доступа к объектам, основанный на том, что субъект (как правило, владелец объекта) может по своему усмотрению предоставить или отозвать права доступа к объекту другим субъектам.

Данная модель реализует дискреционное (произвольное) управление доступом субъектов к объектам и контроль над распределением прав доступа.

Выбор и обоснование физических (некомпьютерных) мер защиты информации

Меры по защите физической информации включают в себя:

-Противопожарная защита;

-Защита от воды;

-Защита от агрессивных газов;

-защита от электромагнитного излучения;

-защита от воровства и ограбления;

-защита от взрыва;

-защита от падающих обломков;

-защита от пыли;

-защита от несанкционированного проникновения в помещение.

Первый шаг — подготовить комнату, в которой будет расположен компьютер.

Разумным шагом является отключение неиспользуемых приводов, параллельных и последовательных портов компьютера. Рекомендуется запечатать корпус. Все это усложняет кражу или замену информации, даже если злоумышленник каким-то образом попадает в комнату. Не пренебрегайте такими тривиальными мерами безопасности, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые постоянно записывают все, что происходит в ключевых областях офиса.

Еще одна распространенная ошибка связана с резервным копированием. Все знают о его необходимости, а также о том, что в случае пожара необходимо иметь огнетушитель. Люди забывают, что резервная копия не должна храниться в одной комнате с компьютером. В результате предприятия уязвимы даже при небольшом пожаре, который уничтожает копии, сделанные вместе с компьютером.

Часто, даже после защиты компьютера, забывают, что всевозможные провода — кабельная система сети. Часто приходится бояться не злоумышленников, а обычных уборщиков, которых по праву считают злейшими врагами локальных сетей. Лучшим вариантом защиты кабеля является коробка, но в принципе, подойдет любой другой способ, который поможет спрятать и надежно закрепить кабели. Однако не упускайте из виду возможность подключения их извне для перехвата информации или создания помех, например, путем перенаправления тока. Однако следует признать, что этот вариант не очень распространен и замечается только в случае нарушений в работе крупных компаний.

Помимо интернета, компьютеры подключены к другой сети — обычной электросети. К этой сети подключена еще одна группа проблем, которые касаются физической безопасности компьютеров. Не секрет, что качество современных электросетей далеко не идеально. Даже если нет внешних признаков аномалии, очень часто напряжение в электросети выше или ниже нормы. В этом случае большинство людей даже не знают о том, что у них дома или в офисе есть какие-то проблемы с электропитанием.

Под напряжением — самая распространенная аномалия, на которую приходится около 85% всех различных проблем с электропитанием. Общей причиной является нехватка электроэнергии, которая особенно распространена в зимние месяцы. Повышенное напряжение почти всегда является результатом несчастного случая или повреждения проводки в помещении. Часто при разрыве общей нейтрали нагрузка на соседние фазы составляет 380В. Возможно также, что неправильное подключение приведет к появлению в сети высокого напряжения.

Источниками импульсных и высокочастотных повреждений могут быть удары молнии, включение и выключение мощных нагрузок, аварии на подстанциях, а также некоторые бытовые электроприборы. Эти дефекты чаще встречаются в крупных городах и промышленных районах. Импульсы напряжения в диапазоне от наносекунд (10~9 с) до микросекунд (10~6 с) могут иметь амплитуду в несколько тысяч вольт. Микропроцессоры и другие электронные компоненты особенно чувствительны к таким помехам. Зачастую, не устраненный импульсный шум может привести к перезагрузке компьютера или предотвратить обработку данных. Конечно, внутренний блок питания компьютера частично смягчает скачки и защищает электронные компоненты компьютера от сбоев, но оставшиеся помехи по-прежнему сокращают срок службы оборудования, а также вызывают повышение температуры в блоке питания компьютера.

Высокочастотные скачки можно предотвратить, установив сетевые фильтры (например, от Pilot), которые защищают компьютеры от большинства скачков и скачков. Кроме того, не забудьте снабдить компьютеры ценной информацией с помощью источника бесперебойного питания (ИБП). Современные модели ИБП не только обеспечивают работу компьютера при сбое питания, но и отключают его от сети, когда источник питания находится вне зоны действия сети.

Выбор и обоснование мер по защите аппаратной (компьютерной) информации

Оборудование — это техническое средство, с помощью которого обрабатываются данные. В том числе: Персональный компьютер (набор технических средств, предназначенных для автоматической обработки информации при решении вычислительных и информационных задач).

Периферийные устройства (комплекс внешних компьютерных устройств, не управляемых напрямую центральным процессором).

Физические носители информации о машинах.

Аппаратные устройства защиты включают в себя различные электронные, электромеханические и электронно-оптические устройства. На сегодняшний день значительное количество аппаратных средств разработано для различных целей, но наиболее распространенными являются следующие:

-Специальные регистры для хранения данных безопасности: пароли, идентификационные коды, пломбы безопасности или уровни безопасности;

-Генераторы кодов используются для автоматической генерации идентификационного кода устройства;

-устройства для измерения индивидуальных характеристик человека (голос, отпечатки пальцев) с целью их идентификации;

-Специальные биты секретности, значение которых определяет степень секретности информации, хранящейся в памяти, к которой эти биты принадлежат;

-Специальной и наиболее распространенной группой аппаратных средств защиты являются устройства для шифрования информации (криптографические методы).

Оборудование — основа для построения систем защиты от несанкционированного доступа к информации.

В 1990-х годах сотрудниками проектного бюро САПР была разработана методология применения аппаратной защиты, которая признана необходимой основой для построения систем защиты информации от несанкционированного доступа к ней. Основные идеи этого подхода заключаются в следующем:

-Холистический подход к решению вопросов защиты информации в автоматизированных системах (АС) от несанкционированного доступа. Признание мультипликативной парадигмы защиты и, как следствие, равное внимание к надежности реализации контрольных процедур на всех этапах эксплуатации АС;

-Материалистическое» решение «фундаментального вопроса» информационной безопасности: «Который приходит первым, жесткий или мягкий?

-организующий отказ от методов контроля программного обеспечения как явно ненадежных и переводящий наиболее важные процедуры контроля на аппаратный уровень.

-Разделение, насколько это возможно, условно-постоянных и условно-переменных элементов управления.

-Создавать средства защиты информации от несанкционированного доступа (UAS), максимально независимые от операционной и файловой систем, используемых в УЦ. Это включает в себя реализацию процедур идентификации/аутентификации, контроль целостности аппаратных и программных CA перед загрузкой операционной системы, администрирование и т.д.

Указанные принципы аппаратной защиты были реализованы в программно-аппаратном комплексе средств защиты информации от несанкционированного доступа — аппаратном доверенном загрузочном модуле «Аккорд-АМДЗ». Этот комплекс обеспечивает надежный режим загрузки в различных операционных средах: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux.

Под аппаратными средствами защиты информации понимаются электронные и электромеханические устройства, входящие в состав технических ресурсов УЦ, выполняющие (самостоятельно или в едином комплексе с программным обеспечением) некоторые функции защиты информации. Критерием отнесения устройства к аппаратным средствам защиты, а не к средствам технической защиты, является его обязательное включение в состав технических средств.

Основные аппаратные средства защиты информации включают в себя:

Устройства для ввода идентификационных данных пользователя (магнитные и пластиковые карты, отпечатки пальцев и т.д.).

Устройства для шифрования информации;

Устройства для предотвращения несанкционированного включения рабочих станций (электронные замки и блокираторы).

Примеры дополнительных аппаратных устройств защиты информации:

Устройства для уничтожения информации на магнитных носителях;

Устройства для сигнализации несанкционированных попыток пользователей компьютера и т.д.

Аппаратные устройства безопасности привлекают внимание не только потому, что их легче защитить от повреждений и других случайных или вредоносных действий, но и потому, что аппаратные реализации быстрее, чем программные реализации, а их стоимость неуклонно снижается.

На рынке аппаратной защиты появляются новые устройства. Ниже приведено описание электронного замка в качестве примера.

Электронный замок «Соболь». Электронный замок «Соболь», разработанный и поставляемый компанией Информзащита, обеспечивает следующие защитные функции.

Идентификация и аутентификация пользователей;

мониторинг целостности файлов и физических секторов жесткого диска;

блокирование загрузки ОС с дискеты и компакт-диска

Блокирование входа зарегистрированного пользователя, если превышено указанное количество неудачных попыток входа;

Регистрация событий, связанных с безопасностью системы.

Аппаратное обеспечение безопасности операционной системы традиционно понимается как набор инструментов и методов, используемых для выполнения следующих задач.

Управление оперативной и виртуальной памятью компьютера;

Распределение процессорного времени между задачами в многозадачной операционной системе;

Синхронизация выполнения параллельных задач в многозадачной операционной системе;

Предоставление общего доступа задач к ресурсам операционной системы.

В значительной степени перечисленные задачи решаются с использованием аппаратно реализованных функций процессоров и других вычислительных узлов. Однако для решения этих задач обычно используется и программное обеспечение, поэтому термины «аппаратная защита» и «аппаратная защита» не совсем точны. Однако, поскольку эти условия являются общепринятыми, мы будем их использовать.

Выбор и обоснование мер по защите программного обеспечения

Под мерами информационной безопасности программного обеспечения мы понимаем специальные программы, включенные в программное обеспечение компьютера для выполнения только функций безопасности.

К наиболее важным мерам информационной безопасности программного обеспечения относятся:

Программы для идентификации и аутентификации пользователей компьютера;

Программы для разграничения доступа пользователей к ресурсам компьютера;

Программы для шифрования информации;

Программное обеспечение для защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, средств компьютерного обучения и т.д.) от несанкционированного изменения, использования и копирования.

Следует понимать, что под идентификацией с точки зрения компьютерной информационной безопасности понимается уникальное распознавание уникального имени субъекта компьютера. Аутентификация означает подтверждение того, что представленное имя соответствует субъекту (подтверждение подлинности субъекта).

Программное обеспечение для защиты информации также включает в себя:

Программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т.д.);

Аудит программ (протоколирование) событий, связанных с компьютерной безопасностью, для обеспечения возможности восстановления и подтверждения факта наступления этих событий;

Программы, имитирующие злоумышленника (чтобы обманом заставить его извлечь якобы конфиденциальную информацию);

программы для тестирования компьютерной безопасности и т.д.

Преимущества программного обеспечения информационной безопасности включают в себя:

Легкость репликации;

Гибкость (возможность настройки для различных условий развертывания с учетом специфики угроз информационной безопасности конкретных компьютеров);

Простота использования — некоторые программы, такие как шифрование, работают в «прозрачном» режиме (невидимом для пользователя), а другие не требуют никаких новых (по сравнению с другими программами) знаний;

практически неограниченные возможности их развития путем внесения изменений, учитывающих новые угрозы информационной безопасности.

К недостаткам программного обеспечения информационной безопасности относятся:

Снижение эффективности работы компьютера за счет расходования его ресурсов, необходимых для запуска программного обеспечения защиты;

Низкая производительность (по сравнению с аппаратными средствами безопасности, выполняющими аналогичные функции, например, шифрование);

Многие программные средства защиты состыкованы (не встроены в программное обеспечение компьютера, рис. 4 и 5), что создает принципиальную возможность для злоумышленника обойти их;

Возможность вредоносной модификации программного обеспечения защиты в процессе эксплуатации компьютера.

Специализированное программное обеспечение, защищающее информацию от несанкционированного доступа, обычно имеет лучшие функции и возможности, чем встроенные средства сетевых операционных систем. В дополнение к программному обеспечению для шифрования существует множество других внешних средств защиты информации. Наиболее часто упоминаются следующие две системы, обеспечивающие средства ограничения потока информации.

Брандмауэры — это брандмауэры. Между локальной и глобальной сетями устанавливаются специальные промежуточные серверы для проверки и фильтрации всего проходящего через них трафика сетевого/транспортного уровня. Это резко снижает, но не полностью устраняет угрозу несанкционированного внешнего доступа к корпоративным сетям. Более безопасным вариантом этого метода является маскировка, при которой весь исходящий трафик отправляется из локальной сети от имени сервера брандмауэра, что делает локальную сеть практически невидимой.

Прокси-сервер (Proxy, Trusted). Весь трафик сетевого/транспортного уровня между LAN и WAN полностью запрещен — просто нет маршрутизации вообще, а звонки из LAN в WAN осуществляются через прокси-серверы. Очевидно, что этот метод сделает адреса из глобальной сети в локальную практически невозможными. Очевидно также, что этот метод не обеспечивает достаточную защиту от атак на более высоких уровнях — например, на уровне приложений (вирусы, Java-код и JavaScript).

Давайте посмотрим поближе, как работает брандмауэр. Это метод защиты сети от угроз безопасности, исходящих от других систем и сетей, путем централизации доступа к сети и управления ею с помощью аппаратного и программного обеспечения. Брандмауэр представляет собой барьер безопасности, состоящий из нескольких компонентов (таких как маршрутизатор или шлюз, на котором работает программное обеспечение брандмауэра). Брандмауэр настроен в соответствии с политикой контроля доступа к внутренней сети организации. Все входящие и исходящие пакеты должны проходить через брандмауэр, который позволяет проходить только авторизированным пакетам.

Брандмауэр с пакетной фильтрацией — Брандмауэр с пакетной фильтрацией — это маршрутизатор или компьютер, на котором запущено программное обеспечение, настроенное на отклонение определенных типов входящих и исходящих пакетов. Фильтрация пакетов основана на информации, содержащейся в заголовках TCP и IP-пакетов (адреса отправителя и получателя, номера их портов и т.д.).

Брандмауэр экспертного уровня [stateful inspecthion firewall] — проверяет содержимое полученных пакетов на трёх уровнях модели OSI — сети, сессии и приложения. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов путем сравнения каждого пакета с известным шаблоном авторизованных пакетов.

Создание брандмауэра относится к решению проблемы проверки. Формальная формулировка проблемы скрининга выглядит следующим образом. Пусть будет два набора информационных систем. Брандмауэр — это средство разграничения доступа от клиентов в одном наборе к серверам в другом. Экран выполняет свои функции, управляя всеми потоками информации между двумя наборами систем (рис. 6). Управление потоками заключается в их фильтрации, возможно, с выполнением некоторых преобразований.

Помимо функций дискриминации доступа, на экранах выполняется протоколирование обмена информацией.

Обычно экран не симметричен, для него определяются термины «внутри» и «снаружи». В этом случае задача проверки формулируется как защита внутреннего домена от потенциально враждебного внешнего домена. Например, брандмауэры (DOE) обычно устанавливаются для защиты корпоративной сети организации, имеющей доступ к интернету.

Экранирование помогает сохранить доступ к внутренним службам домена, снижая или устраняя нагрузку, вызванную внешней деятельностью. Уязвимость внутренних служб безопасности снижается, поскольку злоумышленник должен сначала проникнуть на экран, механизмы безопасности которого особенно хорошо настроены. Кроме того, систему экранирования, в отличие от универсальной системы, можно сделать более простой и, следовательно, более надежной.

Экранирование также дает возможность контролировать поток информации во внешний мир, что помогает сохранять конфиденциальность в ИС организации.

Экранирование может быть частичным, защищая определенные информационные сервисы (например, экранирование электронной почты).

Ограничительный интерфейс также может рассматриваться как форма экранирования. Невидимый объект трудно атаковать, особенно фиксированным набором средств. В этом смысле веб-интерфейс имеет естественную защиту, особенно когда динамически генерируются гипертекстовые документы. Каждый пользователь видит только то, что должен видеть. Можно провести аналогию между динамически генерируемыми гипертекстовыми документами и представлениями в реляционных базах данных, с существенным предостережением, что в случае Сети возможности гораздо больше.

Экранирующая роль Web-службы четко видна и когда служба выполняет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, таким как таблицы базы данных. Это не только контролирует поток запросов, но и скрывает реальную организацию данных.

Идентификация пользователя осуществляется по индивидуальному ключу в виде сенсорной памяти «планшета», с объемом памяти до 64 Кбайт, а аутентификация осуществляется по паролю до 16 символов.

Контроль целостности предназначен для того, чтобы гарантировать, что пользовательские программы и файлы, особенно файлы операционной системы, не были изменены злоумышленником или вставленной им вредоносной программой. С этой целью впервые вступает в игру дизассемблер файловой системы операционной системы: вычисление опорных значений и управление ими во время загрузки осуществляется в «Соболе» на аппаратном уровне. Создание списка контроля целостности осуществляется утилитой операционной системы, которая в принципе позволяет программе-перехватчику модифицировать этот список, и хорошо известно, что общий уровень безопасности системы определяется уровнем защиты самого слабого звена.

Зашифрованный диск — это файл-контейнер, который может содержать любые другие файлы или программы (они могут быть установлены и запущены непосредственно из этого зашифрованного файла). Доступ к зашифрованному диску возможен только после ввода пароля в файл-контейнер. После этого на компьютере появляется еще один жесткий диск, который распознается системой как логический жесткий диск и ничем не отличается от других жестких дисков. Как только диск отключается, логический диск исчезает, он просто становится «невидимым».

Наиболее распространенными программами, используемыми сегодня для создания зашифрованных дисков, являются DriveCrypt, BestCrypt и PGPdisk. Каждый из них надежно защищен от удаленного вмешательства.

Криптография — это наука о безопасности данных. Речь идет о поиске решений четырех важных проблем безопасности — конфиденциальности, аутентификации, целостности и контроля над участниками общения. Шифрование — это преобразование данных в нечитаемую форму с помощью ключей шифрования/дешифрования. Шифрование обеспечивает конфиденциальность, сохраняя информацию в тайне от тех, для кого она не предназначена.

Криптография занимается поиском и изучением математических методов преобразования информации.

Основные области применения криптографических методов: Передача конфиденциальной информации по каналам связи (например, электронной почты), аутентификация передаваемых сообщений, хранение информации (документов, баз данных) на носителях данных в зашифрованном виде.

Вирусы могут проникать в компьютер различными способами (через глобальную сеть, через зараженную дискету или USB-флешку). Последствия их вторжения могут быть весьма неприятными: от уничтожения файла до повреждения всего компьютера. Зараженного файла достаточно, чтобы заразить все данные на компьютере, а затем заразить всю корпоративную сеть.

Для антивирусной защиты был выбран Dr.Web Enterprise Suite. Данный комплект обеспечивает централизованную защиту корпоративной сети любого размера. Современное решение на базе технологии Dr.Web для корпоративных сетей представляет собой уникальный технический комплекс с интегрированной системой централизованного управления антивирусной защитой в масштабах всей компании. Dr.Web Enterprise Suite позволяет администраторам, работающим в сети или удаленно через Интернет, выполнять административные задачи и одновременно управлять антивирусной защитой организации.

Организационная безопасность

Недооценка факторов безопасности в повседневной работе — ахиллесовая пята многих организаций. Дорогие функции безопасности бесполезны, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не был изменен с момента установки.

Можно выделить следующие области повседневной деятельности:

-Поддержка;

-Поддержка программного обеспечения;

-Управление конфигурацией;

-Управление резервным копированием; -Обслуживание;

-управление СМИ;

-Документация;

-регуляторная работа.

Поддержка пользователей включает в себя, прежде всего, консультации и помощь в решении различного рода проблем. Иногда организации создают для этого специальную «справочную службу», но чаще всего системный администратор отгораживается от пользователей. В потоке вопросов очень важно уметь выявлять проблемы, связанные с информационной безопасностью. Например, многие трудности, с которыми сталкиваются пользователи при работе с ПК, могут быть вызваны вирусами. Полезно записывать вопросы пользователей для выявления их типичных ошибок и выдавать памятки с рекомендациями для обычных ситуаций.

Сопровождение программного обеспечения является одним из важнейших средств обеспечения целостности информации. Во-первых, необходимо следить за тем, какое программное обеспечение установлено на компьютерах. Когда пользователи устанавливают программное обеспечение по своему усмотрению, это может привести к вирусным инфекциям и появлению утилит, которые обходят меры безопасности. Также существует вероятность того, что неавторизованные пользователи будут постепенно разрушать компьютеры, оставляя системного администратора разбираться с ситуацией.

Вторым аспектом сопровождения программного обеспечения является обеспечение отсутствия несанкционированных изменений или доступа к программам. Здесь мы также можем поговорить об уходе за основными копиями программных систем. Как правило, контроль достигается за счет сочетания физического и логического контроля доступа, а также использования программ верификации и целостности.

Управление конфигурацией позволяет контролировать и записывать изменения в конфигурации программного обеспечения. Прежде всего, необходимо обезопасить себя от случайных или непродуманных изменений, чтобы можно было хотя бы вернуться к предыдущей, рабочей версии. Если вы исправите изменения, вы сможете легко восстановить текущую версию после сбоя.

Лучший способ сократить количество ошибок в рутинной работе — максимально автоматизировать ее. Те «ленивые» программисты и системные администраторы, которые смотрят на море монотонных задач, правы, говоря: «Я никогда этого не сделаю; я напишу программу, которая все для меня делает». Автоматизация и безопасность взаимозависимы; те, кто заботится об облегчении своей работы, делают систему информационной безопасности оптимальной.

Резервное копирование необходимо для восстановления программ и данных после катастроф. И здесь желательно автоматизировать работу, хотя бы создав компьютерный график полного и инкрементального резервного копирования, в лучшем случае с помощью соответствующих программных продуктов (см., например, Jet Info, 2000, 12). Также необходимо хранить копии в безопасном месте, защищенном от несанкционированного доступа, пожара, утечки и всего, что может привести к краже или повреждению носителя. Хорошей идеей является наличие нескольких копий резервных копий и хранение некоторых резервных копий вне офиса для защиты от крупных аварий и подобных инцидентов.

Время от времени в целях тестирования следует проверять восстанавливаемость информации из копий.

Управление носителями необходимо для обеспечения физической защиты и хранения записей на дискетах, лентах, бумажных носителях и т.д. Управление средствами массовой информации должно обеспечивать конфиденциальность, целостность и доступность информации, хранящейся за пределами компьютерных систем. Под физической защитой понимается не только защита от попыток несанкционированного доступа, но и защита от вредных воздействий окружающей среды (жара, холод, влага, магнетизм). Управление СМИ должно охватывать весь жизненный цикл, от закупки до вывода из эксплуатации.

Заключение

Важнейшей мерой информационной безопасности в этой области является четкая организация и контроль использования носителей информации.

Прогресс принес много достижений человечеству, но этот прогресс также принес много проблем. Человеческий разум сталкивается с новыми проблемами при их решении. Вечная проблема — это защита информации. На различных этапах своего развития человечество решало эту проблему с помощью того, что характерно для той эпохи. С изобретением компьютера и дальнейшим стремительным развитием информационных технологий во второй половине 20-го века проблема защиты информации стала такой же актуальной и критической, как и информатизация сегодня для всего общества. Основным направлением, характеризующим развитие современных информационных технологий, является рост числа компьютерных преступлений и связанных с ними краж конфиденциальной и другой информации, а также материальных потерь.

Никто не может дать окончательную цифру по общему количеству потерь, вызванных компьютерными преступлениями, связанными с несанкционированным доступом к информации. Основной причиной этого является нежелание пострадавших компаний предавать огласке свои убытки, а также то, что убытки от кражи информации не всегда можно измерить в денежном выражении.

Компьютерные преступления и связанные с ними финансовые потери мотивированы целым рядом причин, наиболее важными из которых являются:

— Переход от традиционной «бумажной» технологии к электронному хранению и передаче данных, а также недостаточное развитие технологий защиты информации в этих технологиях;

— Взаимосвязь компьютерных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

— Повышение сложности программных средств и, как следствие, снижение их надежности и увеличение количества уязвимостей.

Компьютерные сети в силу своих особенностей просто не могут нормально функционировать и развиваться, если игнорировать проблемы информационной безопасности.

Список литературы

Бармен, С. Разработка правил информационной безопасности. — М.: Издательский дом Уильямса, 2002.

Бачило И. Л., Лопатин В. Н., Федотов М. A. Информационный закон. — Санкт-Петербург: издательство «Юридический центр печати», 2001.

Биячуев Т.А. Охрана корпоративных сетей. Учебник / под ред. Л.Г. Осовецкого — СПб: Санкт-Петербургский государственный университет ИТМО, 2004.

Черный, W. Интернет: Протоколы безопасности. Учебное пособие. — Санкт-Петербург: Питер, 2001.

Бождай А.С., Финогеев А.Г. Сетевые технологии. Часть 1: Учебное пособие. Пенза: Издательский дом ПГУ, 2005.