1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа




Скачать 396.81 Kb.
Название1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа
страница1/3
Дата публикации31.12.2013
Размер396.81 Kb.
ТипРеферат
zadocs.ru > Информатика > Реферат
  1   2   3


СОДЕРЖАНИЕ
Введение…………………………………………………………………….3

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа……………………………….5

1.1 Понятие и сущность защиты информации…………………………..5

1.2 Меры обеспечения информации и средства защиты…………….…13

2 Задачи, направления и основные мероприятия по защите электронной информации от несанкционированного доступа……………….21

Заключение………………………………………………………………..34

Список литературы………………………………………………………36


ВВЕДЕНИЕ
Актуальность исследования заключается в том, что развитие глобальной сети Интернет и сопутствующих технологий достигло такого высокого уровня, что сегодняшнюю деятельность любого предприятия в целом и каждого пользователя в отдельности, уже невозможно представить без электронной почты, Web-рекламы, общения в режиме «он-лайн».

В современном обществе информация может быть не только помощником, но и оружием. Распространение компьютерных систем и объединение их в коммуникационные сети усиливает возможности электронного проникновения в них. Во всех странах мира существует проблема компьютерной преступности, что вызывает необходимость привлечения все большего внимания и сил для организации борьбы с данным видом преступлений. Особенно большой размах преступления получили в автоматизированных банковских системах и в электронной коммерции. По зарубежным данным, потери в банках в результате компьютерных преступлений ежегодно составляют многие миллиарды долларов.

В связи с массовым внедрением компьютеров во все сферы деятельности человека объем информации, которая хранится в электронном виде, вырос в тысячи раз, а с появлением компьютерных сетей даже отсутствие физического доступа к компьютеру не дает гарантии сохранности информационных ресурсов. Все больше появляется специализированных средств защиты информации, которые ориентированы на решение, как правило, только одной задачи обеспечения безопасности системы или в редких случаях, некоторого ограниченного набора задач. Так, организациям, чтобы оградить себя от "компьютерных" преступлений приходится реализовывать целый набор мер. Расширение применения современных информационных технологий делает возможным распространение различных злоупотреблений, связанных с использованием вычислительной техники.

Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия и сетевых администраторов. По мере развития технологий электронных платежей, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем на сегодняшний день.1

Для уменьшения ущерба нужно грамотно выбирать меры и средства обеспечения защиты информации от кражи, умышленного разрушения, несанкционированного доступа, порчи, чтения и копирования. Необходимо знание основных законодательных положений в этой области, экономических, организационных и иных мер.

Целью курсовой работы является изучение защиты документированной электронной информации от несанкционированного доступа.

Поставленная цель обусловила решение следующих задач:

-изучить теоретические основы защиты документированной электронной информации от несанкционированного доступа,

- рассмотреть обеспечение безопасности документированной электронной информации от несанкционированного доступа на примере ПФР РФ.

Объектом исследования выступает документированная электронная информация.

Предметом исследования является методы и средства, используемые на практике, которые позволяют обеспечить защиту информации.

Для выполнения всех поставленных в работе целей и задач использовались методы анализа научной литературы, метод синтеза, сравнения, сбора и выборки

Курсовая работа состоит из введения, двух глав, заключения, списка литературы.

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа
1.1 Понятие и сущность защиты информации

В связи с необходимостью обеспечить секретность исследований в стратегически важных областях, правильно распределять информацию и регулировать ее в современном обществе возникает потребность в защите информации.

К защищаемой относится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями, устанавливаемыми собственником информации.

Защитой информации называют деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.2

Наиболее остро необходимость в защите данных проявляется при использовании компьютеров для обработки, а также хранения информации секретного и частного характера.

Проблема обеспечения необходимого уровня защиты информации оказалась весьма сложной, требующей для своего решения создания целостной системы организационных мероприятий и применения специфических средств и методов по защите информации. То есть становится актуальна проблема разработки эффективных систем защиты информации.3

Основные проблемы защиты информации при работе в компьютерных сетях, можно разделить на три группы:

- нарушение конфиденциальности информации;

- нарушение целостности информации;

- нарушение работоспособности информационно-вычислительных систем.

Наиболее перспективными средствами защиты информации в компьютерных системах являются программные средства. Они позволяют создать модель защищенной системы с построением правил разграничения доступа, централизованно управлять процессами защит, интегрировать различные механизмы в единую систему, создавать удобный для пользователей интерфейс администратора безопасности.

Не смотря на явные преимущества обработки информации в компьютерных сетях, возникает немало сложностей при организации их защиты:

- расширенная зона контроля - следовательно, администратору отдельной подсети приходится контролировать деятельность пользователей, которые находятся вне пределов его досягаемости;

- неизвестный периметр - сети легко расширяются, и это ведет к тому, что определить четкие границы сети часто бывает сложно, один и тот же узел может быть доступен для пользователей различных сетей;

- использование разнообразных программно-аппаратных средств - соединение нескольких систем в сеть увеличивает уязвимость всей системы в целом, так как каждая система настроена на выполнение своих требований безопасности, которые могут оказаться несовместимы с требованиями на других системах;

- сложность в управлении и контроле доступа к системе - многие атаки на сеть могут осуществляться из удаленных точек без получения физического доступа к определенному узлу. В таких случаях идентификация нарушителя, как правило, бывает очень сложной;

- множество точек атаки - один и тот же набор данных в сетях может передаваться через несколько промежуточных узлов, причем, каждый из этих узлов является возможным источником угрозы. Кроме этого, к большинству сетей можно получить доступ с помощью коммутируемых линий связи и модема, что сильно увеличивает количество возможных точек атаки. Такой способ очень легко осуществить и столь же трудно проконтролировать, поэтому он считается одним из самых опасных. Уязвимыми местами сети также являются линии связи и различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы, модемы и т. д.

Суть проблемы защиты сетей обусловлена их двойственным характером. С одной стороны, сеть - это единая система с едиными правилами обработки информации, а с другой, - совокупность отдельных систем, каждая из которых имеет свои собственные правила обработки информации.

Под угрозой раскрытия понимается то, что информация может стать известной тому (или тем), кому ее не следовало знать. Очень часто вместо термина «раскрытие» применяют «утечка» или «кража информации».

Угроза целостности информации представляет собой любое умышленное изменение данных, хранящихся в вычислительной системе или тех, которые передаются по каналам связи из одной системы в другую. Как правило, считается, что угрозе раскрытия чаще всего подвержены государственные структуры, а угрозе целостности больше бизнес (коммерческие системы).

Существует и угроза отказа в обслуживании системы. Такая угроза возникает каждый раз, когда в результате определенных действий может быть заблокирован доступ к некоторым ресурсам вычислительной системы. Такое блокирование может быть постоянным, чтобы ресурс невозможно было получить вообще, а может быть достаточно продолжительным, чтобы за время его недоступности это ресурс был уже не востребован. В таких случаях принято говорить, что ресурс исчерпан.4

Следует отметить, что в локальных вычислительных системах (ВС) наиболее частыми являются угрозы целостности и раскрытия, а в глобальных доминирующее место занимает угроза отказа в обслуживании.

Исходя из классического рассмотрения кибернетической модели любой управляемой системы, можно сказать, что возмущающие воздействия на нее могут носить случайный характер. Среди угроз безопасности информации выделяют случайные угрозы, которые еще называют непреднамеренные и умышленные угрозы. Источником непреднамеренных угроз может быть выход из строя аппаратных средств, действия работников (без злого умысла), администраторов или пользователей ИС, непреднамеренные ошибки в программном обеспечении и прочее. Подобные угрозы тоже необходимо принимать во внимание, так как ущерб от них часто не менее значителен.

Умышленные же угрозы наоборот основаны на злом умысле, часто с получением конкретной выгоды для злоумышленника, который наносит вред системе своими действиями.

Злоумышленника, который пытается вторгнуться или нарушить работу информационной системы, получить несанкционированный доступ к данным, принято называть взломщиком, а иногда «хакером» (от англ. «Hack» ломать, взламывать).

Проводя свои противоправные действия, взломщики стремятся найти такие источники конфиденциальной информации, которые бы давали им наиболее достоверную информацию в максимальных объемах и при минимальных затратах на ее получение.5

Защита от таких умышленных угроз представляет собой своеобразное соревнование знаний и умений нападающего на систему и ее защищающего. Выигрывает тот, кто располагает большими знаниями, умением, опытом и способностью прогнозировать действия соперника.

На сегодняшний день уже смело можно констатировать, что рождается новая технология - технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Реализация этой системы очень сложна и требует довольно больших усилий, однако она очень необходима. Грамотная реализация данной технологии позволяет избежать значительно превосходящего ущерба, который может возникнуть при реальном осуществлении угроз ИС и ИТ.6

Умышленные угрозы информационной безопасности подразделяются на пассивные и активные. Пассивные угрозы представляют собой противоправные действия, которые может совершить злоумышленник, направленные на получения несанкционированного доступа к ресурсам ИС. При этом влияние на ее функционирование не оказывается. Как пример, несанкционированный доступ файлам, базам данных, запуск шпионского программного обеспечения (ПО) и т.д.

Существуют и активные угрозы. Они направлены на нарушение самого функционирования ИС путем целенаправленного воздействия на один или несколько ее компонентов. К активным угрозам можно отнести, например, вывод из строя компьютера или его программного обеспечения, изменение сведений в БД, нарушение корректной работы ПО, нарушение работы каналов связи и прочее. Как правило, источник активной угрозы - это действия взломщиков, хакеров, вирусные программы и т.п.

Умышленные угрозы еще принято подразделять на внутренние (возникающие внутри управляемой организации) и внешние, которые возникают извне системы.

Внутренние угрозы, существующие внутри системы, организации, очень часто определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться не только умышленными противоправными действиями конкурентов, экономической средой, но и другими причинами, такими, как стихийные бедствия.

Рассмотрим основные угрозы безопасности информации и нормального функционирования ИС:

- утечка конфиденциальной информации;

- компрометация информации;

- несанкционированное использование информационных ресурсов;

- ошибочное использование информационных ресурсов;

- несанкционированный обмен информацией между абонентами;

- нарушение информационного обслуживания;

- отказ от предоставления доступа к информации;

- незаконное использование привилегий7.

При осуществлении некоторых противоправных действий может осуществляться утечка конфиденциальной информаций. Это понятие подразумевает собой бесконтрольный выход конфиденциальной (секретной) информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Утечка такой информации может быть следствием:

1.Намеренного разглашения конфиденциальной информации;

2.Ухода информации по различным техническим, каналам;

3.Несанкционированного доступа к конфиденциальной информации различными способами8.

Здесь обязательно следует отметить, что разглашение информации ее владельцем или обладателем есть как умышленные, так и неосторожные действия должностных лиц, пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе и которые привели к ознакомлению с ним лиц, которые не должны знать данные сведения. Кроме того, возможен и бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Часто упоминая в данной работе понятие несанкционированного доступа, постараемся дать ему определение Несанкционированный доступ к информации - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Существуют различные пути несанкционированного доступа, рассмотрим основные из них:

- перехват электронных излучений;

- принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей и дальнейшей её расшифровки;

- применение "закладок" подслушивающих устройств;

- дистанционное фото и видео наблюдение;

- восстановление текста принтера;

- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

- копирование носителей информации с преодолением мер защиты;

- маскировка под зарегистрированного пользователя;

- маскировка под запросы системы;

- использование программных ловушек;

- использование недостатков языков программирования и операционных систем;

- незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;

- злоумышленный вывод из строя механизмов защиты;

- расшифровка специальными программами зашифрованной информации;

- информационные инфекции.

Для осуществления несанкционированного доступа по путям, которые были перечислены выше, требуются довольно большие специальные технические знания. Что касается причин возникновения каналов утечки, то ими часто являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации — канал утечки.9

Помимо осуществления несанкционированного доступа по путям, требующим специальных знаний, программных и аппаратных разработок, существуют и довольно примитивные пути несанкционированного доступа, перечислим их:

- хищение носителей информации и документальных отходов;

- инициативное сотрудничество;

- выпытывание;

- склонение к сотрудничеству со стороны взломщика;

- подслушивание;

- наблюдение.

Следует всегда помнить, что абсолютно любые, даже малозначительные утечки информации могут нанести большой вред организации. Несмотря на то, что утечка информации может быть создана при помощи специальных средств заинтересованными лицами, всё же большая часть утечек информации происходит из-за элементарных недоработок в системе безопасности и халатности сотрудников. К некоторым причинам и условиям, которые могут создавать предпосылки для утечки коммерческих секретов, относятся:

- слабое знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

- использование не аттестованных технических средств обработки конфиденциальной информации;

- слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;
1.2 Меры обеспечения информации и средства защиты
Рассматривая методы и средства защиты информации, часто приходится говорить о системе информационной безопасности. Система информационной безопасности представляет собой целый комплекс средств, методов и мер по защите информации. Создание такой системы информационной безопасности (СИБ) в ИС и ИТ основано на определенных принципах, которые мы рассмотрим ниже.

Первым принципом организации является системный подход к построению системы защиты. Системный подход есть оптимальное сочетание связанных между собой, программных, физических, организационных, аппаратных и прочих свойств, которые подтверждены практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации10.

Одним из основных является принцип непрерывного развития системы безопасности. Принцип постоянного развития системы безопасности является очень актуальным для СИБ. Как известно, способы нанесения вреда для ИС постоянно совершенствуются, злоумышленники придумывают всё новые способы несанкционированного доступа в систему, нанесения ей ущерба. Вместе с тем, соответственно, должны развиваться и способы защиты. Постоянно должны устраняться недоработки в системе безопасности, бреши в защите, модернизироваться программный и аппаратный комплексы защиты. Поэтому, только непрерывное развитие системы поможет эффективно защищать систему.

Принцип разделения и минимизации полномочий по доступу к обрабатываемой информации и процедурам ее обработки подразумевает собой предоставление пользователям и работникам ИС полномочий необходимых только для выполнения ими конкретных заданий. То есть излишних полномочий в данном случае не должно быть.

Принцип полноты контроля и регистрации попыток несанкционированного доступа предполагает проведение постоянного контроля над пользователями, которые пытаются совершить несанкционированные действия в системе. Постоянный мониторинг безопасности.

Принцип обеспечения надежности системы защиты предполагает невозможность снижения уровня надежности функционирования ИС при возникновении попыток взлома, сбоев в системе, выхода из строя оборудования и ПО.11 Для этого часто необходимо еще и создание системы постоянного контроля безопасности.

Принцип обеспечения всевозможных средств борьбы с вредоносным ПО (вирусами). Данный принцип подразумевает комплекс мер по защите системы от воздействия такого программного обеспечения. В частности, защиту системы антивирусными программами, устранение возможных путей проникновения вирусов, постоянное обновление и оптимизация работы антивирусных программ.

При обеспечении безопасности любой ИС обязательно должен соблюдаться принцип экономической целесообразности использования системы защиты. Данный принцип выражается в том, что возможный ущерб от воздействия угроз должен превышать расходы на создание и обслуживание СИБ.

Итак, теперь постараемся определить, какие признаки ИС, у которой отсутствуют проблемы в обеспечении информационной безопасности, таким образом, подобная ИС должна обладать следующими признаками:

- иметь информацию разной степени конфиденциальности;

- иметь криптографическую систему защиты информации и конфиденциальных данных;

- обладать иерархией полномочий субъектов доступа к программам и компонентам ИС и ИТ;

- обязательное управление потоками данных в локальных сетях и при их передаче по каналам связи на значительные расстояния;

- наличие системы учёта и регистрации попыток несанкционированного доступа, протоколирования событий в ИС и документов, выводящихся в печать;

- наличие системы обеспечения целостности информации в ИТ;

- наличие в ИС необходимых средств восстановления информации. В частности, восстановления информации с магнитных носителей;

- наличие средств учета носителей информации;

- наличием физической охраны основных средств и объектов ИС;

- наличием отдельной, специальной службы безопасности информации.

При рассмотрении структуры CИБ возможен традиционный подход, который выделял бы обеспечивающие ее подсистемы.12

Целевые функции в системе информационной безопасности должны иметь определенные виды собственного программного и иного обеспечения, опираясь на которое система будет осуществлять свои защитные функции. Далее рассмотрим подробнее виды такого обеспечения.

Для обеспечения безопасности обязательно должно присутствовать правовое обеспечение. Оно представляет собой совокупность нормативно-правовых и подзаконных актов, должностных инструкций, положений, руководств, требования которых являются обязательными в сфере их деятельности по защите информации.

Организационное обеспечение имеет большое значение. В данном случае под таким обеспечением понимается реализация информационной безопасности с помощью определенных структурных единиц (охраной, службой безопасности и пр.)

Информационное обеспечение включает в себя сведения, параметры, показатели и данные которые лежать в основе решения задач, обеспечивающих функционирование СИБ.

Аппаратное обеспечение представляет собой систему оснащения необходимыми техническими средствами, достаточными для функционирования достаточно эффективной системы безопасности.

Разумеется, что СИБ должна иметь необходимое программное обеспечение. В данном случае подразумеваются различные учетные, статистические и информационные программы, которые способны давать оценку наличия опасных каналов утечки и способов несанкционированного доступа к конфиденциальным данным.

СИБ основывается еще и на математическом обеспечении, которое представляет собой математические методы, использующиеся при различных расчетах оценки опасности технических средств, находящихся у злоумышленников, для вычисления норм достаточной защиты.13

Лингвистическое обеспечение подразумевает собой наличие системы специальных языковых средств общения между специалистами и пользователями в сфере обеспечения информационной безопасности в организации.

И, наконец, в нормативно-методическое обеспечение входят нормы и регламенты деятельности служб, органов и средств, реализующих функции защиты информации, которые представляют собой различного рода методики обеспечения информационной безопасности.

Следует отметить, что из всех мер защиты в настоящее время ведущую роль играют организационные мероприятия. Поэтому возникает вопрос об организации службы безопасности.14

Рассмотрим теперь конкретные методы и средства обеспечения безопасности информации.

Одним из главных методов защиты является метод препятствия. Он основан на физическом преграждении пути злоумышленнику к защищаемой информации (к аппаратным средствам и т.д.).

Метод управления доступом - это метод защиты информации при помощи регулирования использования всех ресурсов ИТ и ИС. Такие методы помогают защититься от несанкционированного доступа к информации. Само по себе управление доступом не односложно и имеет следующие функции защиты:

- присвоение каждому объекту персонального идентификатора (идентификация пользователей);

- установление подлинности объекта или субъекта по предъявленному им идентификатору;

- проверка полномочий, то есть проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур регламенту;

- создание определенных условий работы в установленном регламенте;

- протоколирование всех обращений к защищаемым ресурсам;

-своевременное реагирование при обнаружении попыток несанкционированных действий.

При передаче данных по каналам связи очень важно для защиты информации использовать механизмы шифрования. Механизм шифрования представляет собой криптографическое закрытие информации. Метод шифрования применяется как при передаче, так и при обработке и хранении данных на носителях информации. Следует отметить особую надежность данного метода.

Важнейшей функцией защиты является функция противодействия атакам вирусных программ, которая предполагает целый комплекс разнообразных мер и использования антивирусных программ и при необходимости восстановление ИС после вирусной атаки15.

Совокупность технических средств защиты подразделяется на физические и аппаратные средства.

К физическим средствам защиты относят всевозможные инженерные устройства и конструкции, препятствующие физическому проникновению злоумышленников на объекты защиты, которые осуществляют защиту персонала, материальных средств и финансов, защиту конфиденциальной информации. Как пример физической защиты можно привести охранную сигнализацию, видеонаблюдения, замки на дверях и пр.

Аппаратные средства представляют собой технические устройства для защиты ИС, которые встраиваются непосредственно в информационную технику, либо сопрягаются с ней по стандартным интерфейсам.

Программные средства представляют собой комплекс специальных программ и программных комплексов, предназначенных для защиты информации в ИС. Такие программные средства обычно сопряжены с ПО самой ИС.

Говоря о средствах ПО системы защиты, необходимо выделить еще программные средства, реализующие механизмы криптографии (шифрования), Криптография - это наука об обеспечении секретности и/или подлинности передаваемых сообщений. Подлинность еще называют аутентичностью.

Существуют еще организационные, законодательные и морально этические средства защиты.

Организационные средства осуществляют регламентацию производственной деятельности в ИС таким образом, что утечка информации становится невозможной и все процессы в ИС подконтрольны ее руководству.

Законодательные средства защиты определены законодательством страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности при нарушении данных правил.

Существуют и морально-этические средства защиты, как всевозможные правила и нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и мире. Такие средства могут разрабатываться намеренно.

Морально-этические нормы могут быть неписаные (моральные качества человека) либо оформлены в специальный свод (устав) правил или предписаний. Эти нормы обычно не являются законодательно утвержденными, но их несоблюдение приводит к падению престижа организации, поэтому они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации Пользователей ЭВМ США.16

Довольно важным вопросом в защите информации является вопрос правого обеспечения в области информационных технологий. Правовая защита информации - это одно из направлений обеспечения безопасности организации как нормативно-правовая категория, определяющая меру защиты ее интересов от несанкционированного доступа к информации.

При урегулировании спорных вопросов в области защиты информации большая роль придается правовым нормам, разногласия в этой сфере могут возникать на самых различных уровнях. Помимо этого, в организации должна быть образована юридически оформленная система дисциплинарных мер, которая позволила бы применять взыскания или санкции к нарушителям внутренней политики безопасности предприятия и устанавливать достаточно четкие условия по обеспечению конфиденциальности сведений.

Таким образом, в настоящее время существуют следующие пути несанкционированного получения информации по которым можно осуществить хищение, изменение или уничтожение информации: хищение носителей информации и производственных отходов; копирование носителей информации; использование программных ловушек; маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа; незаконное подключение к аппаратуре или линиям связи вычислительной системы; дистанционное фотографирование; применение подслушивающих устройств; использование недостатков языков программирования и операционных систем; перехват электромагнитных излучений; несанкционированное использование терминалов; считывание данных в массивах других пользователей; получение защищаемых данных с помощью серии разрешенных запросов; преднамеренное включение в библиотеки программ специальных блоков типа «троянских коней»; злоумышленный вывод из строя механизмов защиты.


2 Задачи, направления и основные мероприятия по защите электронной информации от несанкционированного доступа
В качестве задач защиты информации в УПФР определяется обеспечение или сохранение каждой из её характеристик безопасности, которые определены Концепцией безопасности информации автоматизированной информационной системы ПФР, а именно конфиденциальности, целостности, аутентичности (легитимности) и доступности данных.

Решение указанных задач по обеспечению характеристик безопасности организуется и реализуется по следующим направлениям:

- санкционирование доступа к ресурсам (конфиденциальность, целостность, доступность, аутентичность);

- криптографическая защита (конфиденциальность, аутентичность);

- защита от вредоносных программ (конфиденциальность, целостность, доступность);

- резервное копирование информационных ресурсов (целостность, доступность);

- мониторинг состояния ресурсов (анализ эффективности защиты и разработка направлений её совершенствования).

Каждое из этих направлений защиты обеспечивает в той или иной мере если не все, то несколько характеристик безопасности информации.

Санкционирование доступа:

- допуск к работе с ресурсами (перечень ресурсов; таблица допуска к ресурсам; списки лиц, допущенных к ПДн и сведениям о ПСВ);

- санкция на вход в систему (пароль, загрузка только с НМЖД, минимизация прав пользователя, опечатывание системного блока, доверенная загрузка);

- санкция на доступ к сетевым ресурсам (пароль, сертификат);

- безопасное хранение аутентифицирующих данных (электронные ключи);

- блокирование портов ввода-вывода (программное или механическое).

Санкционирование доступа к ресурсам, то есть исключение несанкционированного доступа организуется на всех этапах доступа к информации: от получения средства такого доступа (включения компьютера) до непосредственного предоставления информации.

Так уж повелось, что конфиденциальность в мире компьютеров в первую очередь держится на авторизированном доступе (через пару логин/пароль). А качество конфиденциальности и защиты информации непосредственно зависит от того, какие используются пароли, а так же где и как они хранятся.

При выборе пароля важно решить три вопроса: размер пароля; устойчивость пароля к несанкционированному доступу; способ его применения.

Пароль вводится пользователем в начале работы, а иногда и в конце сеанса. Иногда предусматривается ввод пароля несколько раз (например, два раза как факт контрольной защиты информации), или периодически в течение всего рабочего времени.

Различают несколько типов паролей: простой пароль, пароль на основе определенного алгоритма, пароль однократного использования, пароль, основывающийся на методе «запрос-ответ», пароль на основе выбора символов.

При работе с паролями рекомендуются следующие правила и меры предосторожности:

- пароли не следует отображать на экран;

- чем больший период времени используется пароль, тем выше вероятность его раскрытия, следовательно, пароли нужно менять часто;

- пользователи сами хранят свои пароли, не позволяя посторонним узнать его;

- длину пароля следует выбрать правильно: чем больше длина пароля, тем лучше будет защищена система, так как потребуется много времени и сил, чтобы его подобрать;

- состав пароля должен включать большие и маленькие буквы, числа и специальные символы.

При выработке паролей в ПФР используются вышеизложенные правила.

Чтобы исключить компрометацию паролей для хранения аутентифицирующей информации применяются электронные ключи.

eToken (от англ. electronic — электронный и англ. token — признак, жетон) -торговая марка для линейки персональных средств аутентификации в виде USB-брелоков и смарткарт, а также программные решения с их использованием17.

Практически все компьютеры, которые работают в ГУ-УПФР с конфиденциальной информацией, оснащены электронными ключами eToken.

Порядок подготовки ключа к работе:

  1. Установить драйвер eToken PKI Client.

  2. Настроить eToken PKI Client.

  3. Установить eToken Network Logon.

  4. Вставить электронный ключ eToken.

  5. Переименовать eToken и сменить пароли пользователя и администратора.

  6. Записать профиль пользователя на электронный ключ eToken.

  7. Ключ готов к работе.

Теперь при входе пользователя в систему необходимо использовать сочетание Ctrl+L, а не Ctrl+Alt+Del, при этом на экране появится окно Log On to Windows (рисунок 1).

  1   2   3

Добавить документ в свой блог или на сайт

Похожие:

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа iconВопросы к экзамену по дисциплин е «Эксплуатация комплексной системы защиты информации»
Методология защиты информации как теоретический базис комплексной системы защиты информации

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа iconПоложение об Общественным центре доступа к государственной и социально...
Общественный центр доступа (далее оцд) – типовой аппаратно-программный комплекс, открытый широкому кругу пользователей в целях доступа...

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа iconТеоретические основы
Теоретические основы информационно-измерительной техники; рабочая программа. Методические указания. Контрольные задания для студ...

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа icon1. 2 Теоретические основы информатики Представление информации в компьютере
Для унификации (единообразия) представления в компьютере различной информации (текстовой, аудио-, видео-, и т д.) используют ее кодирование....

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа iconСписок вопросов для подготовки к экзамену по дисциплине «Математические...
Понятие защиты информации. Различные аспекты безопасности информации. Требования в зи. Понятие угрозы. Объект зи. Методы зи

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа iconТеоретические вопросы: Понятие информации, свойства информации
Кодирование числовой информации в ЭВМ. Двоичный, восьмеричный и шестнадцатеричный коды

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа iconСодержание учебной программы по дисциплине «Теоретические основы менеджмента» I
Преподавание дисциплины «Теоретические основы менеджмента» ставит своей целью формирование у студентов знаний, а также приобретение...

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа iconПеречень вопросов к зачету по спецкурсу расследование преступлений...
Криминалистическая характеристика неправомерного доступа к компьютерной информации

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа iconТестовые задания по курсу «аналитическая химия» Теоретические основы аналитической химии
Совокупность действий, целью которых является по­лучение информации о химическом составе объекта, носит название

1 Теоретические основы защиты документированной электронной информации от несанкционированного доступа iconТаблица: «Основные изменения бухгалтерского законодательства с 2013 года»
Бухгалтерский учет – это формирование документированной систематизированной информации об объектах учета, в соответствии с требованиями...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
zadocs.ru
Главная страница

Разработка сайта — Веб студия Адаманов