Классификация методов защиты информации. Виды закрытых документов и сведений. Информация и её свойства. Предмет защиты информации

Свойства информации

Предметом защиты

Объект защиты информации.

Угроза информации. Разновидности угроз.

Источниками внутренних угроз являются:

1. Сотрудники организации;

2. Программное обеспечение;

3. Аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

Ошибки пользователей и системных администраторов;

Нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;

Ошибки в работе программного обеспечения;

Отказы и сбои в работе компьютерного оборудования.

К внешним источникам угроз относятся:

1. Kомпьютерные вирусы и вредоносные программы;

2. Организации и отдельные лица;

3. Стихийные бедствия.

Формами проявления внешних угроз являются:

Заражение компьютеров вирусами или вредоносными программами;

Несанкционированный доступ (НСД) к корпоративной информации;

Информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;

Действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;

Аварии, пожары, техногенные катастрофы.

Все перечисленные нами виды угроз (формы проявления) можно разделить на умышленные и неумышленные.

Угроза информации. Варианты классификации угроз.

Существуют различные способы классификации угроз безопасности: по объекту воздействия, по источнику угрозы, способам ее осуществления, возможным последствиям и видам ущерба. Одновременно могут использоваться несколько критериев классификации, например, угрозы, классифицированные по объекту воздействия, дополнительно, внутри каждого класса, могут классифицироваться по видам ущерба и источникам угрозы.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые .

К информационным угрозам относятся:

Несанкционированный доступ к информационным ресурсам;

Незаконное копирование данных в информационных системах;

Хищение информации из библиотек, архивов, банков и баз данных;

Нарушение технологии обработки информации;

Противозаконный сбор и использование информации;

Использование информационного оружия.

К программным угрозам относятся:

Использование ошибок и "дыр" в ПО;

Компьютерные вирусы и вредоносные программы;

Установка "закладных" устройств;

К физическим угрозам относятся:

Уничтожение или разрушение средств обработки информации и связи;

Хищение носителей информации;

Хищение программных или аппаратных ключей и средств криптографической защиты данных;

Воздействие на персонал;

К радиоэлектронным угрозам относятся:

Внедрение электронных устройств перехвата информации в технические средства и помещения;

Перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

Закупки несовершенных или устаревших информационных технологий и средств информатизации;

Нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

Каналы утечки информации.

Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы:

Кража или утеря носителей информации, исследование не уничтоженного мусора;

Дистанционное фотографирование, прослушивание;

Перехват электромагнитных излучений.

Прямые каналы требуют доступа к аппаратному обеспечению и данным информационной системы.

Инсайдеры (человеческий фактор). Утечка информации вследствие несоблюдения коммерческой тайны;

Прямое копирование.

Каналы утечки информации можно также разделить по физическим свойствам и принципам функционирования:

Акустические - запись звука, подслушивание и прослушивание;

Акустоэлектрические - получение информации через звуковые волны с дальнейшей передачей ее через сети электропитания;

Виброакустические - сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

Оптические - визуальные методы, фотографирование, видео съемка, наблюдение;

Электромагнитные - копирование полей путем снятия индуктивных наводок;

Радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации “закладочных устройств”, модулированные информативным сигналом;

Материальные - информация на бумаге или других физических носителях информации

Криптография. Основные понятия.

Криптогра­фия занимается разработкой методов преобразования (шифрования) информации с целью ее защиты от незаконных пользователей. Такие методы и способы преобразования информации называются шифрами .

Шифрование (зашифрование) - процесс применения шифра к защи­щаемой информации, т.е. преобразование защищаемой информации (от­крытого текста) в шифрованное сообщение (шифртекст, криптограмму) с помощью определенных правил, содержащихся в шифре.

Дешифрование - процесс, обратный шифрованию, т.е. преобразова­ние шифрованного сообщения в защищаемую информацию с помощью определенных правил, содержащихся в шифре (на основе ключа шифрованный текст преобразуется в исходный).

Ключ - сменный элемент шифра, ко­торый применяется для шифрования конкретного сообщения. Например, ключом может быть величина сдвига букв шифртекста отно­сительно букв открытого текста.

Вскрытие (взламывание) шифра ― процесс получения защищаемой информации из шифрованного сообщения без знания примененного ши­фра.

Стойкость шифра - способность шифра противостоять всевозможным атакам на него называют.

Атака на шифр - попытка вскрытия этого шифра.

Криптоанализ - наука (и практика ее применения) о методах и способах вскрытия шифров.

Шифр замены осуществляет преобразование замены букв или других «частей» открытого текста на аналогичные «части» шифрованно­го текста.

Алфавит - конечное множество используемых для кодирования информации знаков.

Текст - упорядоченный набор из элементов алфавита.

Ключ - ин­фор­ма­ция, не­об­хо­ди­мая для бес­пре­пят­ст­вен­но­го шиф­ро­ва­ния и де­шиф­ро­ва­ния тек­стов.

Стенография. Основные понятия

Стеганография - это метод организации связи, который собственно скрывает само наличие связи. В отличие от криптографии, где неприятель точно может определить является ли передаваемое сообщение зашифрованным текстом, методы стеганографии позволяют встраивать секретные сообщения в безобидные послания так, чтобы невозможно было заподозрить существование встроенного тайного послания

В качестве данных может использоваться любая информация: текст, сообщение, изображение и т. п. По аналогии с криптографией, по типу стегоключа стегосистемы можно подразделить на два типа:

• с секретным ключом;
• с открытым ключом.

В стегосистеме с секретным ключом используется один ключ, который должен быть определен либо до начала обмена секретными сообщениями, либо передан по защищенному каналу.В стегосистеме с открытым ключом для встраивания и извлечения сообщения используются разные ключи, которые различаются таким образом, что с помощью вычислений невозможно вывести один ключ из другого. Поэтому один ключ (открытый) может передаваться свободно по незащищенному каналу связи. Кроме того, данная схема хорошо работает и при взаимном недоверии отправителя и получателя.

Любая стегосистема должна отвечать следующим требованиям:

• Свойства контейнера должны быть модифицированы, чтобы изменение невозможно было выявить при визуальном контроле. Это требование определяет качество сокрытия внедряемого сообщения: для обеспечения беспрепятственного прохождения стегосообщения по каналу связи оно никоим образом не должно привлечь внимание атакующего.
• Стегосообщение должно быть устойчиво к искажениям, в том числе и злонамеренным. В процессе передачи изображение (звук или другой контейнер) может претерпевать различные трансформации: уменьшаться или увеличиваться, преобразовываться в другой формат и т. д. Кроме того, оно может быть сжато, в том числе и с использованием алгоритмов сжатия с потерей данных.
• Для сохранения целостности встраиваемого сообщения необходимо использование кода с исправле нием ошибки.

Политики безопасности. Основные понятия

Политика безопасности (информации в организации) (англ. Organizational security policy ) - совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы :

§ Защита объектов информационной системы;

§ Защита процессов, процедур и программ обработки информации;

§ Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);

§ Подавление побочных электромагнитных излучений;

§ Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите;

2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;

3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

4. Определение требований к системе защиты;

5. Осуществление выбора средств защиты информации и их характеристик;

6. Внедрение и организация использования выбранных мер, способов и средств защиты;

7. Осуществление контроля целостности и управление системой защиты.

17 .Основумандатной (полномочной) политики безопасности составляет мандатное управление доступом (Mandatory Access Control – МАС), которое подразумевает, что: все субъекты и объекты системы должны быть однозначно идентифицированы;

уровнем доступа .Основная цель мандатной политики безопасности – предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т.е. противодействие возникновению в АС информационных каналов сверху вниз.
Чаще всего мандатную политику безопасности описывают в терминах, понятиях и определениях свойств модели Белла-Лапалуда, которая будет рассмотрена позже. В рамках данной модели доказывается важное утверждение, указывающее на принципиальное отличие систем, реализующих мандатную защиту, от систем с дискреционной защитой: если начальное состояние системы безопасно, и все переходы системы из состояния в состояние не нарушают ограничений, сформулированных политикой безопасности, то любое состояние системы безопасно .
Кроме того, по сравнению с АС, построенными на основе дискреционной политики безопасности, для систем, реализующих мандатную политику, характерна более высокая степень надежности. Это связано с тем, что МБО такой системы должен отслеживать, не только правила доступа субъектов системы к объектам, но и состояния самой АС. Т.о. каналы утечки в системах данного типа не заложены в нее непосредственно, а могут появиться только при практической реализации системы.

15. Интегральной характеристикой защищаемой системы является политика безопасности – качественное (или количественно–качественное) выражение свойств защищенности в терминах, представляющих систему.
Наиболее часто рассматриваются политики безопасности, связанные с понятием «доступ». Доступ – категория субъективно–объективной политики, описывающая процесс выполнения операций субъектов над объектами.
Политика безопасности включает:

o множество операций субъектов над объектами;

o для каждой пары «субъект – объект» (Si,Oi) множество разрешенных операций, из множества возможных операций.

Существуют следующие типы политик безопасности: дискреционная, мандатная и ролевая.
Основой дискреционной (дискретной) noлumuкu бeзonacнocmu является дискреционное управление доступом (Discretionary Access Control – DAC), которое определяется двумя свойствами:

o все субъекты и объекты должны быть идентифицированы;

o права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.

В качестве примера реализаций дискреционной политики безопасности в AC можно привести матрицу доступов, строки которой соответствуют субъектам системы, а столбцы – объектам; элементы матрицы характеризуют права доступа. К недостаткам относится статичность модели (данная политика безопасности не учитывает динамику изменений состояния AC, не накладывает ограничений на состояния системы.Мандатное управление доступом (Mandatory Access Control – МАС), которое подразумевает, что:

o все субъекты и объекты системы должны быть однозначно идентифицированы;

o задан линейно упорядоченный набор меток секретности;

o каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности в AC;

o каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в AC – максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа .

Ролевое управление доступом.
При большом количестве пользователей традиционные подсистемы управления доступом становятся крайне сложными для администрирования. Число связей в них пропорционально произведению количества пользователей на количество объектов. Необходимы решения в объектно-ориентированном стиле, способные эту сложность понизить.
Таким решением является ролевое управление доступом (РУД). Суть его в том, что между пользователями и их привилегиями появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права.

Факторы аутентификации

Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищенности и стоимости внедрения. Выделяют 3 фактора аутентификации:

Что-то, что мы знаем - пароль. Это секретная информация, которой должен обладать только авторизованный субъект. Паролем может быть речевое слово, текстовое слово, комбинация для замка или персональный идентификационный номер (PIN). Парольный механизм может быть довольно легко реализован и имеет низкую стоимость. Но имеет существенные минусы: сохранить пароль в секрете зачастую бывает проблематично, злоумышленники постоянно придумывают новые методы кражи, взлома и подбора пароля (см. бандитский криптоанализ). Это делает парольный механизм слабозащищенным.

Что-то, что мы имеем - устройство аутентификации. Здесь важен факт обладания субъектом каким-то уникальным предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в специальное устройство аутентификации, например, пластиковая карта, смарт-карта. Для злоумышленника заполучить такое устройство становится более проблематично, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищенным, чем парольный механизм, однако, стоимость такой системы более высокая.

Что-то, что является частью нас - биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный метод является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако, биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но несмотря на свои минусы, биометрика остается довольно перспективным фактором.

Протоколы аутентификации

Аутентификация относится к проверке подлинности пользователя или компьютера. Когда пользователь входит в сеть, будь то в локальной сети или через подключение удаленного доступа, она должна будет указать имя пользователя и пароль, смарт-карты, сертификаты или другие средства доказывания того, что она, кто она утверждает, что она есть. Несколько протоколов аутентификации разработана для безопасного обмена информацией аутентификации сетевых соединений и описаны в следующих пунктах.

Аутентификации протокола CHAP (CHAP) представляет собой протокол аутентификации, который используется в основном для подключений удаленного доступа PPP. CHAP является преемником Plain Authentication Protocol (PAP), которая передает имя пользователя и пароль в незашифрованном виде по сети информации. CHAP использует более безопасный метод, когда клиент входит в систему, то сервер посылает вызов запроса клиента, клиент ответов с вызовом, ответ, который хэшированного (в одну сторону зашифрованный) значение, основанное на имя пользователя / пароль, комбинации и случайное число. Сервер выполняет ту же шифрование и если полученное значение соответствует ответа от клиента, клиент проходит аутентификацию. Фактически пароль не передается по сети.

Аутентификации протокола CHAP (CHAP), позволяет избежать отправки паролей в незашифрованном виде по любому каналу связи. Под CHAP, во время переговоров пароль NAD создает проблемы (случайная последовательность) и отправляет его пользователю. PPP клиент пользователя создается дайджест (пароль объединяется с задачей), шифрует дайджест помощью одностороннего шифрования, и посылает дайджест к NAD.

NAD посылает этот дайджест, как пароль в Access-Request.

Потому что шифрование является односторонним, Steel-Belted Radius перевозчик не может восстановить пароль из дайджеста. Вместо этого, он выполняет идентичные операции, используя задачу значение NAD (при условии в Access-Request пакет) и свою собственную копию пароля пользователя для создания своего собственного дайджеста. Если два матча дайджесты, пароль тот же.

Steel-Belted Carrier Радиус должен быть в состоянии выполнять операции дайджест для поддержки CHAP. Следовательно, он должен иметь доступ к своей собственной копией пароля пользователя. Родные пароли пользователей хранятся в Steel-Belted базе данных перевозчика Radius. SQL или LDAP аутентификации BindName получает пароль с помощью запроса к базе данных, получить пароль можно использовать для создания дайджеста если он находится в открытом тексте формы.

Информация и её свойства. Предмет защиты информации.

Информация - это сведения о лицах, фактах, предметах, явлениях, событиях и процессах.

Свойства информации

Объективность информации. Понятие объективности информации относительно. Более объективной является та информация, в которую методы обработки вносят меньше субъективности. Например, в результате наблюдения фотоснимка природного объекта образуется более объективная информация, чем при наблюдении рисунка того же объекта. В ходе информационного процесса объективность информации всегда понижается.

Полнота информации. Полнота информации характеризует достаточность данных для принятия решения. Чем полнее данные, тем шире диапазон используемых методов их обработки и тем проще подобрать метод, вносящий минимум погрешности в информационный процесс.

Адекватность информации. Это степень её соответствия реальному состоянию дел. Неадекватная информация может образовываться при создании новой информации на основе неполных или недостоверных данных. Однако полные и достоверные данные могут приводить к созданию неадекватной информации в случае применения к ним неадекватных методов.

Доступность информации. Это мера возможности получить информацию. Отсутствие доступа к данным или отсутствие адекватных методов их обработки приводят к тому, что информация оказывается недоступной.

Актуальность информации. Это степень соответствия информации текущему моменту времени. Поскольку информационные процессы растянуты во времени, то достоверная и адекватная, но устаревшая информация может приводить к ошибочным решениям. Необходимость поиска или разработки адекватного метода обработки данных может приводить к такой задержке в получении информации, что она становится ненужной.

Предметом защиты является информация, хранящаяся, обрабатываемая и передаваемая в компьютерных (информационных) системах. Особенностями данного вида информации являются:

Двоичное представление информации внутри системы, независимо от физической сущности носителей исходной информации;

Высокая степень автоматизации обработки и передачи информации;

Концентрация большого количества информации в КС.

Объект защиты информации.

Объекты защиты информации – это информация, носитель информации или информационный процесс, которые нуждаются в защите от несанкционированного доступа, изменения и копирования третьими лицами.

Основные объекты защиты информации

Информационные ресурсы, содержащие конфиденциальную информацию;

Системы и средства, обрабатывающие конфиденциальную информацию (технические средства приема, обработки, хранения и передачи информации (ТСПИ);

ТСПИ размещенные в помещениях обработки секретной и конфиденциальной информации. Общепринятая аббревиатура - ВТСС (вспомогательные технические средства и системы). К ВТСС относятся технические средства открытой телефонной связи, системы сигнализации, радиотрансляции и т.д., а также помещения, которые предназначены для обработки информации с ограниченного использования.

Информация сегодня – важный ресурс, потеря которого чревата неприятными последствиями. Утрата конфиденциальных данных компании несет в себе угрозы финансовых потерь, поскольку полученной информацией могут воспользоваться конкуренты или злоумышленники. Для предотвращения столь нежелательных ситуаций все современные фирмы и учреждения используют методы защиты информации.

Безопасность информационных систем (ИС) – целый курс, который проходят все программисты и специалисты в области построения ИС. Однако знать виды информационных угроз и технологии защиты необходимо всем, кто работает с секретными данными.

Виды информационных угроз

Основным видом информационных угроз, для защиты от которых на каждом предприятии создается целая технология, является несанкционированный доступ злоумышленников к данным. Злоумышленники планируют заранее преступные действия, которые могут осуществляться путем прямого доступа к устройствам или путем удаленной атаки с использованием специально разработанных для кражи информации программ.

Кроме действий хакеров, фирмы нередко сталкиваются с ситуациями потери информации по причине нарушения работы программно-технических средств.

В данном случае секретные материалы не попадают в руки злоумышленников, однако утрачиваются и не подлежат восстановлению либо восстанавливаются слишком долго. Сбои в компьютерных системах могут возникать по следующим причинам:

• Потеря информации вследствие повреждения носителей – жестких дисков;
• Ошибки в работе программных средств;
• Нарушения в работе аппаратных средств из-за повреждения или износа.

Современные методы защиты информации

Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:

• Препятствие;
• Маскировка;
• Регламентация;
• Управление;
• Принуждение;
• Побуждение.

Все перечисленные методы нацелены на построение эффективной технологии , при которой исключены потери по причине халатности и успешно отражаются разные виды угроз. Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.

Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.

Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.

Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.

На видео – подробная лекция о защите информации:

Средства защиты информационных систем

Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

• Физические;
• Программные и аппаратные;
• Организационные;
• Законодательные;
• Психологические.

Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна. Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем.

Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства – программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений. При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации – для предотвращения потерь.

Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

Психологические средства – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

Защита передаваемых электронных данных

Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.

Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида. В основе технологии криптографии электронных данных – алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования. Зашифрованные сведения надежно защищены от любых угроз, кроме физических.

Электронная цифровая подпись (ЭЦП) – параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу. ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований. Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.

Классы безопасности информационных систем

Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы. В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:

• D – нулевой уровень безопасности;
• С – системы с произвольным доступом;
• В – системы с принудительным доступом;
• А – системы с верифицируемой безопасностью.

Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.

Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.

В уровне С есть следующие классы – С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей. Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация – проверка подлинности пользователя путем запроса пароля. При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.

Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.

Класс безопасности В2 характерен для многих современных систем и предполагает:

• Снабжение метками секретности всех ресурсов системы;
• Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;
• Структурирование доверенной вычислительной базы на хорошо определенные модули;
• Формальную политику безопасности;
• Высокую устойчивость систем к внешним атакам.

Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или .

Уровень А включает один, наивысший класс безопасности – А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.

На видео – подробная лекция о безопасности информационных систем:

1. Коммерческая тайна понятие и защита

   Реферат >> Маркетинг

   Обеспечения безопасности, охраны её имущества, а также жизни и здоровья её сотрудников. Сведения о... по защите коммерческой информации . В разных странах существуют различные приоритетные направления защиты коммерческой информации (коммерческой тайны). Так...

2. Коммерческая тайна и маркетинг

   Реферат >> Маркетинг

   Правовой базы, обеспечивающей гарантию защиты прав предпринимателей на коммерческую информацию , -- это прежде всего... основные аспекты, можно сразу отметить её важность и неразрывность с маркетинговой деятельностью. В первую...

3. Правовая защита информации

   Реферат >> Государство и право

   ... информации , отображающаяся через содержимое информации . 2. информация не подвержена физическому старению. 3. отделимость инф-и от её ... Российской Федерации самостоятельно определяет способы защиты информации , составляющей коммерческую тайну, переданной ему по...

4. Защита информации на предприятии (1)

   Реферат >> Информатика

   Областях(административной, научно-технической, коммерческой и т.д.). Поэтому вопросы защиты информации (ЗИ) приобретают все более... и бумажных носителей информации . Для блокирования возможности утечки информации путём её копирования на внешние...

Введение

1. Коммерческая информация и её защита 3

1.1 Понятие коммерческой информации и её виды 3

1.2 Виды закрытых документов и сведений 6

1.3 Товарная информация 10

2. Коммерческая информация и её защита в ООО «Мустанг» 13

Литература 18

Введение

Переход к рыночной экономике, появление большого разнообразия организационно – правовых форм предприятий, широкое распространение частной инициативы и предпринимательства способствовали развитию оптовой и розничной торговли. За время рыночных преобразований, в торговле сложилась настоящая конкурентная среда.

Ежедневно в оптовые торговые предприятия, в магазины поступает огромное количество товаров, тары, денежных средств. Многообразие торговых предприятий, их высокая насыщенность товарной массой, способствовали появлению большого числа рабочих мест.

В современных условиях рыночных отношений успешно работать могут только те фирмы, руководство и специалисты которых располагают полной, достоверной и своевременной информацией, которая представляет собой особого рода товар, имеющий определенную ценность. Для предпринимателя зачастую наиболее ценной является информация, которую он использует для достижения целей фирмы и разглашение которой может лишить его возможностей реализовать эти цели, то есть создает угрозы безопасности предпринимательской деятельности. Конечно, не вся информация может, в случае ее разглашения, создавать эти угрозы, однако существует определенная ее часть, которая нуждается в защите.

1. Коммерческая информация и её защита

1.1. Понятие коммерческой информации и её виды

Коммерческая информация – это сведения о сложившейся ситуации на рынке различных товаров и услуг.

Во всех фирмах и предприятиях создается информационная база, которая хранит и учитывает данные, содержащиеся в научных отчетах, научно – исследовательских организаций и вузов, в статистических материалах различных ведомств, в результатах маркетинговых исследований рынка и др. Под маркетинговым исследованием рынка понимается целенаправленное изучение отдельных элементов рынка: система планирования ассортимента и объема выпускаемых изделий; определение цен; распределение товаров между выбранными рынками и стимулирование их сбыта с целью удовлетворения потребностей. В процессе маркетингового исследования определяют рыночную проблему, разрабатывают план исследований. Потом организуют сбор информации, такими методами как: эксперимент, наблюдение, опрос, исследование. Анализируют собранные данные и обобщают результаты в общем отчете, которые используют в маркетинговой и коммерческой деятельности фирм.

Виды коммерческой информации

· информация о потенциальных возможностях торгового предприятия, его конкурентоспособности.

Она необходима для оценки сильных и слабых сторон деятельности предприятия, правильного определения направлений развития. Целью является обеспечение устойчивого экономического положения. Анализируются результаты хозяйственной деятельности предприятия и его экономический потенциал.

При оценке конкурентоспособности предприятия учитывают использование передовой технологии и новой техники, финансовую устойчивость, наличие конкурентоспособного товара на рынке. Всё это и многое другое определяют конкурентоспособности предприятия на рынке и спланировать укрепление его позиций.

· информация о конъюнктуре рынка.

Включает в себя сведения о спросе и предложениях на рынке, его сегментах, ёмкости, характере, уровне цен, рыночной конкуренции и т.д. Под конъюнктурой рынка понимается состояние рыночных отношений в определенный период, определенным состоянием спроса и предложения на товар, т.е. фактическими розничными ценами на них.

При изучении информации о спросе и предложении нужно учитывать их соответствие. При повышении спроса над предложением, возникает неудовлетворенный спрос. При нехватке спроса, накапливаются излишки товаров. Так же учитывают географическое положение и месторасположение рынка, его границы и региональные различия, ёмкость и степень открытости, степень насыщенности товарами и уровень цен.

· информация о покупателях и мотивах покупок.

Основа для принятия коммерческих решений. В неё входят: численность населения, состав, традиции и обычаи, уровень доходов, типы покупателей и т.д. Анализ снижает риск выпуска или закупки неходовых товаров, обеспечивает увеличение объёмов реализации товаров, укрепляет финансовую устойчивость торгового предприятия.

· информация о конкурентной среде.

Содержит данные о конкурентах – поставщиках товаров и о конкурентах – покупателях. Информация о конкурентной среде позволяет коммерческим структурам объективно оценивать их реальное положение на рынке. Изучая конкурентов – поставщиков, выявляют их позицию на рынке, характеристику предлагаемых ими товаров, финансовое положение, надежность и гарантии договорных обязательств и др. Изучая конкурентов – покупателей, выделяют их сильные и слабые стороны, оценивают позицию своего предприятия на рынке.

· информация о требованиях рынка к товару.

Необходима для правильного выбора товаров и услуг. Коммерческие службы должны хорошо знать потребительские свойства и особенности товаров, их состав, производство и применение. Рассматривать товары в динамике, учитывать спрос покупателей и объём продаж на протяжении всего периода, когда товар покупается на рынке.

Коммерсанты должны учитывать соответствие цены товара с его качеством, так же учитывают престижность товара – степень его признания на рынке, положительное общественное мнение о товаре, соответственно высокая цена. В зависимости от дохода покупателя, он приобретает товар соответствующий его общественному положению. Поэтому предприятие должно иметь представление о верхних и нижних пределах цен. Упаковка товара и рекламное оформление должны подчеркивать преимущества товара и способствовать ускорению его реализации.

На основе анализа коммерческой информации торговые предприятия принимают коммерческие решения, связанные с куплей – продажей товаров.

1.2. Виды закрытых документов и сведений

Выделяют следующие виды коммерческой информации:

1. Деловая информация:

• сведения о контрагентах;
• сведения о конкурентах;
• сведения о потребителях;
• сведения о деловых переговорах;
• коммерческая переписка;
• сведения о заключенных и планируемых контрактах.

2. Научно-техническая информация:

• содержание и планы научно-исследовательских работ;
• содержание “ноу-хау”, рационализаторских предложений;
• планы внедрения новых технологий и видов продукции;

3. Производственная информация:

• технология;
• планы выпуска продукции;
• объем незавершенного производства и запасов;
• планы инвестиционной деятельности.

4. Организационно-управленческая информация:

• сведения о структуре управления фирмой не содержащиеся в уставе;
• оригинальные методы организации управления;
• система организации труда.

5. Маркетинговая информация:

• рыночная стратегия;
• планы рекламной деятельности;
• планы обеспечения конкурентных преимуществ по сравнению с продукцией других фирм;
• методы работы на рынках;
• планы сбыта продукции;
• анализ конкурентоспособности выпускаемой продукции.

6. Финансовая информация:

• планирование прибыли, себестоимости;
• ценообразование – методы расчета, структура цен, скидки;
• возможные источники финансирования;
• финансовые прогнозы.

7. Информация о персонале фирмы:

• личные дела сотрудников;
• планы увеличения (сокращения) персонала;
• содержание тестов для проверки вновь принимаемых на работу.

8. Программное обеспечение:

• программы;
• пароли, коды доступа к конфиденциальной информации, расположенной на электронных носителях.

Как правило, именно перечисленная выше информация в наибольшей степени интересует конкурентов, партнеров, банки, криминальные структуры.

Процесс обеспечения сохранности документов, содержащих коммерческую информацию, осуществляется в соответствии с основными стадиями “жизненного” цикла документа. Этими стадиями являются:

1. Получение (отправка) документа. Документ, поступающий в фирму и содержащий гриф (степень конфиденциальности информации), должен быть передан только секретарю-референту или инспектору закрытого делопроизводства и зарегистрирован. Далее, он передается руководителю, а последний определяет непосредственного исполнителя по данному документу, имеющему допуск к этой категории документов, и адресует документ ему. Аналогичный порядок при отправлении документа – подготовка документа, подпись руководителя, регистрация в специальном журнале секретарем-референтом и отправка.

2. Хранение документа. Все документы, содержащие конфиденциальную информацию, должны храниться в специально отведенных, закрывающихся помещениях, в запертых шкафах, столах или ящиках. Документы же составляющие коммерческую тайну – только в металлических сейфах, оборудованных сигнализацией. Все помещения должны опечатываться. Следует иметь в виду, что при определении степени конфиденциальности документа производится также определение срока в течение которого она действует По истечении срока возможны различные действия: 1) гриф может быть продлен, 2) гриф может быть снят и документ становится открытым, 3) документ уничтожается.

3. Использование документа. Система доступа сотрудников, не имеющих соответствующих прав по должности, к конфиденциальным документам должна иметь разрешительный характер. Каждая выдача таких документов регистрируется (расписываются оба сотрудника – и тот, кто берет документ, и тот кто его выдает) и проверяется порядок работы с ними (например, нарушением считается оставление данных документов на столе во время обеда, передача другим лицам, вынос за пределы служебных помещений).

4. Уничтожение документа. Конфиденциальные документы, утратившие практическое значение и не имеющие какой-либо правовой, исторической или научной ценности, срок хранения которых истек (либо не истек), подлежат уничтожению. Для этого создается комиссия (не менее 3 человек) в присутствии которой производится уничтожение. Затем члены комиссии подписывают акт об уничтожении. Бумажные документы уничтожаются путем сожжения, дробления, превращения в бесформенную массу, а магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и др.

Сотрудники фирмы, работающие с секретными документами и отвечающие за их сохранность, использование и своевременное уничтожение, должны быть защищены от соблазна простым, но надежным способом – высокой заработной платой.

Контроль за соблюдением правил хранения и использования документов, содержащих конфиденциальную информацию, осуществляется с помощью проверок. Они могут быть как регулярными (еженедельными, ежемесячными, ежегодными), так нерегулярными (выборочными, случайными). В случае обнаружения нарушений составляется акт и принимаются меры, позволяющие в будущем предотвратить нарушения такого рода.

Следует контролировать не только документы, содержащие конфиденциальную информацию, но и бумаги с печатями, штампами, бланки. Бланк – лист бумаги с оттиском углового или центрального штампа, либо с напечатанным любым способом текстом (или рисунком), используемый для составления документа. Особое внимание следует уделять охране так называемых бланков строгой отчетности, содержащих номер (серию), зарегистрированных одним из установленных способов и имеющих специальный режим использования.

1.3. товарная информация

Товарная информация – это сведения о товаре, предназначенные для пользователей – субъектов коммерческой деятельности.

Производители являются первичными источниками товарной информации, а производственную информацию может дополнять продавец.

По назначению товарную информацию подразделяю на виды:

· Основополагающая, располагает основными сведениями о товаре, которые имеют решающее значение для идентификации и предназначенные для всех субъектов рыночных отношений. К основополагающей товарной информации относят: вид и наименование товара, массу нетто, дату выпуска, сорт товара, наименование предприятия – изготовителя, срок хранения или годности.

· Коммерческая, располагает сведениями о товаре, дополняющими основную товарную информацию. Предназначена для изготовителей, поставщиков и продавцов. Она мало доступна потребителю. Коммерческая информация содержит данные о предприятиях – посредниках, нормативных документах, о качестве товаров, штриховом кодировании.

· Потребительская, располагает сведениями о товаре, предназначенными для создания потребительских предложений. Она предназначена непосредственно для потребителей, содержит сведения о привлекательных потребительских свойствах, пищевой ценности, составе, назначении, способах использования, гарантии и т.д.

Средства товарной информации : маркировка, технические документы, нормативные документы, справочная, учебная и научная литература, реклама и пропаганда.

Маркировка – текст, условные обозначения или рисунок, нанесенные на упаковку или товар, предназначенные для доведения покупателей сведений о качественных характеристиках товара. Маркировка должна соответствовать требований стандартов, других нормативных документов.

Маркировка делится на два вида: производственная и торговая.

Производственная маркировка – текст, условные обозначения, нанесенные производителем на товар и упаковку. Носители производственной маркировки: этикетки, вкладыши, ярлыки, бирки, контрольные ленты, штампы.

Торговая маркировка – текст, условные обозначения или рисунок, нанесенные изготовителем не на товар, а на носители.

Носители торговой марки – это ценники, товарные и кассовые чеки.

Структура маркировки

Маркировка может включать в себя три элемента:

· Текст 50-100% (удельный вес);

· Рисунок 0-50%;

· Условные обозначения – информационные знаки 0-30%.

Информационные знаки – условные обозначения, предназначенные для идентификации отдельных или совокупных характеристик товара. Информационным знакам свойственны краткость, выразительность, наглядность и быстрая узнаваемость.

Есть 4 формы товарной информации:

1. Словесная информация, размещается на упаковке или на самом товаре. Самая доступная информация для покупателя.

2. Цифровая информация – содержит количественные сведения о товаре, такие как объём, длина, масса нетто и масса брутто, дату изготовления и срок хранения. Дополняет словесную информацию.

3. Изобразительная информация – это художественные или графические изображения самого товара или репродукция с других изображений. Дополняет словесную и цифровую информацию.

4. Символическая информация, содержит сведения о товаре, передаваемые с помощью информационных знаков. Информационные знаки – условные обозначения, предназначенные для идентификации отдельных или совокупных характеристик товара, характерны для производственной маркировки.

Существует большое количество способов получения информации, в том числе и не совсем законных:

1. сбор информации, содержащейся в средствах массовой информации, включая официальные документы, например, судебные отчеты;

2. использование сведений, распространяемых служащими конкурирующих фирм;

3. биржевые документы и отчеты консультантов; финансовые отчеты и документы, находящиеся в распоряжении маклеров; выставочные экспонаты и проспекты, брошюры конкурирующих фирм; отчеты коммивояжеров своей фирмы;

4. изучение продукции конкурирующих фирм; использование данных, полученных во время бесед со служащими конкурирующих фирм (без нарушения законов);

5. замаскированные опросы и “выуживание” информации у служащих конкурирующих фирм на научно-технических конгрессах (конференциях, симпозиумах);

6. непосредственное наблюдение, осуществляемое скрытно;

7. беседы о найме на работу со служащими конкурирующих фирм (хотя опрашивающий вовсе не намерен принимать данного человека в свою фирму);

8. так называемые “ложные” переговоры с фирмой-конкурентом относительно приобретения лицензии;

9. наем на работу служащего конкурирующей фирмы для получения требуемой информации;

10. подкуп служащего конкурирующей фирмы или лица, занимающегося ее снабжением;

11. использование агента для получения информации на основе платежной ведомости фирмы-конкурента;

12. подслушивание переговоров, ведущихся в фирмах-конкурентах;

13. перехват телеграфных сообщений;

14. подслушивание телефонных разговоров;

15. кража чертежей, образцов, документации;

16. шантаж и вымогательство.

2. Коммерческая информация и её защита в ООО «Мустанг - Джинс»

ООО «Мустанг - Джинс» находится в городе Новосибирске, в торговом центре «Сибирский Молл», по адресу ул. Фрунзе 238.

ООО «Мустанг - Джинс» является розничной торговой сетью, занимающейся реализацией джинсовой одежды. По мимо отдела в «Сибирском Молле» так же есть отдел в торговом центре «Мега», в г. Кемерово и в др. городах России. «Мустанг» является концептуальным магазином, предназначенным для продажи джинсовой одежды, а так же трикотажа и сопутствующим аксессуарам. В торговом зале работают продавцы – консультанты и кассир, которые помогают покупателям с выбором товара, размером, расчетом и др.

Здание торгового центра «Сибирский Молл», в котором расположен данный магазин, отвечает всем требованиям, предъявляемым к торговым зданиям:

· технологические: обеспечение рациональной организации торгово – технологического процесса;

· архитектурно – строительные: у здания торгового центра эстетический внешний вид, удобная конструкция, имеется большая автопарковка;

· санитарно – технические: соблюдена система пожарной безопасности, водоснабжения, освещения и др.

Приёмку товаров в ООО «Мустанг - Джинс» осуществляет материально ответственное лицо, которое проверяет качество товаров, их количество, заполняет документы и принимает товар для последующей реализации.

Транспортным документом в ООО «Мустанг - Джинс» является товарно – транспортная накладная. Сопроводительными документами являются: товарная накладная (оформляется в 2х экземплярах, служит для приходывания товара); счет – фактура (для расчета за товары).

В ООО «Мустанг - Джинс» соблюдаются правила и техники пожарной безопасности.

Порядок работы ООО «Мустанг - Джинс» соответствует графику работы торгового центра. Кассу снимают в конце рабочего дня. ООО «Мустанг - Джинс» несет ответственность за качество реализуемых товаров, в соответствии с гражданским кодексом РФ «О защите прав потребителей». В соответствии с законодательством РФ денежные расчеты с покупателями производятся через ККМ «Миника».

В ООО «Мустанг - Джинс» следующие виды коммерческой информации:

1. информация о покупателях и мотивах покупок – основа для принятия коммерческих решений, сюда входит численность обслуживающего населения, его состав, уровень доходов и др. Такая информация используется для более целенаправленной работы с покупателями, для увеличения объёмов продаж и получения высокой прибыли.

2. информация о требованиях рынка к товару необходима для правильного выбора товаров, которые будут предложены покупателям. При исследовании этапов жизненного цикла каждого вида товаров учитываются изменения в спросе покупателей, сезонности и моде на протяжении всего периода.

3. информация о конъюнктуре рынка – это сведения о спросе и предложении на рынке. Этим определяют товарное предложение с помощью информации об объёмах, структуре, динамике производства и товарных запасах.

4. информация о конкурентной среде – это данные о данные о конкурентах – поставщиках товаров. Такая информация позволяет объективно оценивать сложившуюся ситуацию на рынке.

5. информация о потенциальных возможностях торгового предприятия и его конкурентоспособности. Она необходима для оценки сильных и слабых сторон его деятельности, правильного определения направлений в развитии.

При оценке конкурентоспособности ООО «Мустанг - Джинс» учитывает использование передовых технологий, новой техники, наличие конкурентоспособного товара, финансовую устойчивость и свой имидж. Это позволяет определить потенциальные возможности ООО «Мустанг - Джинс» и спланировать мероприятия по укреплению его конкурентных позиций на рынке.

Виды закрытых документов и сведений.

Деловая информация ООО «Мустанг - Джинс»:

1. сводные отчеты по финансовой деятельности (бухгалтерский баланс, отчет о прибыли и убытках, налоговые отчисления);

2. крупные договоры с банками (на обслуживание расчетного счета);

3. договоры купли – продажи, контракты на поставку товаров;

4. данные о цене (стоимости) товаров;

5. деловые планы и планы производства новых товаров (бизнес план, стратегический план);

6. списки персонала, информация о сотрудниках.

Товарная информация

В ООО «Мустанг - Джинс» следующие виды товарной информации:

· основополагающая товарная информация, содержит основные сведения о товаре, предназначенные для всех субъектов рыночных отношений:

Наименование товара;

Наименование предприятия – изготовителя;

Дата выпуска, срок гарантии;

Розничная цена.

· Коммерческая товарная информация, содержит сведения о товаре, дополняющие основную информацию и предназначены для изготовителей и продавцов.

· Потребительская товарная информация, содержит сведения о товаре, предназначенные для создания потребительских предложений. Они показывают выгоды вследствие покупки конкретного товара.

Формы товарной информации в ООО «Мустанг - Джинс»

1. словесная – размещается на ценнике или на этикетке товара. Она наиболее доступна для населения.

2. цифровая – количественная характеристика сведений о товаре (размеры, даты и сроки).

3. символическая – содержит сведения о товаре, передаваемые с помощью информационных знаков (сведения по уходу за товаром).

В ООО «Мустанг - Джинс» используют как производственную маркировку (ярлыки на джинсах и трикотаже, лейблы, этикетки), так и торговую (товарные ценники содержат информацию о товаре). Так же маркировка содержит информационные знаки.

Проходя коммерческую практику в ООО «Мустанг - Джинс» я пришла к выводу, что для более эффективной работы предприятия нужно сделать следующее:

Расширить площадь торгового зала;

Поставить аппарат по безналичному расчету;

Расширить ассортимент товаров в соответствии со спросом покупателей;

Список литературы

· Каплина С.А.: Организация коммерческой деятельности. Учебное пособие. – Ростов – на – Дону: Феникс, 2002 – 416с.

· Памбухчиянц О.В. Организация и технология коммерческой деятельности: Учебник, 2-е изд., перераб. и доп. – М.: Издательско – торговая корпорация «Дашков и Ко», 2006 – 648с.

· Казакевич О.Ю., Конев Н.В., Максименко В.Г. и др. Способы защиты коммерческой информации. Практическое руководство. - М.: Издательство ПРИОР, 1992 - 146.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

хорошую работу на сайт">

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Введение

Й. Историография

ЙЙ. Основная часть

2.1 Виды умышленных угроз информации

2.2 Методы защиты информации

Заключение

Список литературы

Введение

Информация играет особую роль в процессе развития цивилизации. Владение информационными ресурсами создает предпосылки прогрессивного развития общества. Искажение информации, блокирование процесса ее получения или внедрение ложной информации, способствуют принятию ошибочных решений.

Еще 25-30 лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер и отдельных программно - аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.

Вместе с тем, информация это весьма специфический продукт, который может быть как в материальном, так и в нематериальном (нефиксированном) виде. Поэтому, без четких границ, определяющих информацию, как объект права, применение любых законодательных норм по отношению к ней - весьма проблематично.

До недавнего времени это было довольно важной причиной, усложняющей регулирование правовых отношений в информационной сфере.

Основные гарантии информационных прав содержатся в Конституции РФ. Несмотря на то, что Конституция является законом прямого действия, применить ее положения к отдельным видам отношений без последующей конкретизации было бы затруднительно.

Отдельные виды отношений регулируются специальными законами, которые, как правило, так же не содержат норм, непосредственно устанавливающих правила информационного взаимодействия.

Правила информационного взаимодействия, возникающего в ходе осуществления конкретных отношений, регулируются на уровне постановлений Правительства, либо ведомственных нормативных актов. При этом, на данном уровне, как правило, создается нормативный акт, обязательный для участников этих отношений, а его устанавливаемые в нем правила доводятся до сотрудников или структурных подразделений соответствующего государственного органа путем издания инструкции или рассылки письма.

Рост количества и качества угроз безопасности информации в компьютерных системах не всегда приводит к адекватному ответу в виде создания надежной системы и безопасных информационных технологий. В большинстве коммерческих и государственных организаций, не говоря о простых пользователях, в качестве средств защиты используются только антивирусные программы и разграничение прав доступа пользователей на основе паролей.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Й . Историография

Термин «информация» происходит от латинского information, означающего «ознакомление, разъяснение, представление, понятие» и первоначально был связан исключительно с коммуникативной деятельностью людей. В России он появился, по-видимому, в петровскую эпоху, но широкого распространения не получил. Лишь в начале ХХ века он стал использоваться в документах, книгах, газетах и журналах, и употреблялся в смысле сообщения, осведомления, сведения о чем-либо.

Однако, стремительное развитие в 20-х годах прошлого века средств и систем связи, зарождение информатики и кибернетики настоятельно потребовали научного осмысления понятия информации и разработки соответствующего теоретической базы. Это привело к формированию и развитию целого «семейства» самых различных учений об информации и, соответственно, подходов к определению самого понятия информации.

История учений об информации началась с рассмотрения её математического (синтаксического) аспекта, связанного с количественным показателями (характеристиками) информационных систем.

В 1928 году Р.Хартли в своей работе «Transmission of Information» определили меру количества информации для равномерных событий, а в 1948 году Клод Шеннон предложил формулу определения количества информации для совокупности событий различных вероятностями. И хотя ещё в 1933 году вышла в свет работа нашего выдающего учёного В.А. Котельникова о квантовании электрических сигналов, содержащая знаменитую «теорию отчётов», в мировой научной литературе считается, что именно в 1948 г.- это год зарождения теории информации и количественного подхода к информационным процессам.

Сформулированная К.Шенноном статистическая теория информации оказала заметное влияние на различные области знаний. Было замечено, что формула Шеннона очень похожа на используемую в физике формулу Больцмана для статистического определения энтропии, взятую с обратным знаком. Это позволило Л. Бриллюну охарактеризовать информацию как отрицательную энтропию (негэнтропию).

Значение статистического подхода к определению понятию информации заключалось ещё и в том, что в его рамках было получено первое определение информации, удовлетворительное, в том числе, и с философской точки зрения: информация есть устранения неопределенность. По замечанию А.Д. Урсула «Если в наших знаниях о каком-либо предмете существует неясность, неопределенность, а получив новые сведения об этом предмете мы можем уже более определенно судить о нём, то это значит, что сообщение содержало в себе информацию».

Однако, выделения в информации только количественного её аспекта оказалось явно недостаточно. Как верно заметил В.А. Бокарев, в статистической теории «сделавших эту теорию, с одной стороны, предварительно широкой, но с другой - мешающее ей стать наукой, исследующей информацию всесторонне». Всё это заставило искать иные, более универсальные подходы к определению понятия информации.

Таким, по существу другим, дополнительным подходов, стал подход кибернетический, охватывающий структуры и связи систем. С появлением кибернетики, как науки «об общих законах преобразования информации в сложных управляющих системах», способах восприятия, хранения, переработки, и использования информации, термин «информация» стал научным понятием, своего рода инструментом исследования процессов управления.

ЙЙ .Основная часть

2.1 Виды умышленных угроз информации

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в БнД, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.

Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.

Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж -- это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности информации и нормального функционирования ИС относятся:

* утечка конфиденциальной информации;

* компрометация информации;

* несанкционированное использование информационных ресурсов;

* ошибочное использование информационных ресурсов;

* несанкционированный обмен информацией между абонентами;

* отказ от информации;

* нарушение информационного обслуживания;

* незаконное использование привилегий.

Утечка конфиденциальной информации -- это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

* разглашения конфиденциальной информации;

* ухода информации по различным, главным образом техническим, каналам;

* несанкционированного доступа к конфиденциальной информации различными способами.

Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Несанкционированный доступ -- это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

* перехват электронных излучений;

* применение подслушивающих устройств (закладок);

* дистанционное фотографирование;

* перехват акустических излучений и восстановление текста принтера;

* чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

* копирование носителей информации с преодолением мер защиты

* маскировка под зарегистрированного пользователя;

* маскировка под запросы системы;

* использование программных ловушек;

* использование недостатков языков программирования и операционных систем;

* незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;

* злоумышленный вывод из строя механизмов защиты;

* расшифровка специальными программами зашифрованной: информации;

* информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки -- это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации-- канал утечки.

Однако есть и достаточно примитивные пути несанкционированного доступа:

* хищение носителей информации и документальных отходов; * инициативное сотрудничество;

* склонение к сотрудничеству со стороны взломщика; * выпытывание;

* подслушивание;

* наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.

Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников. Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:

* недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

* использование неаттестованных технических средств обработки конфиденциальной информации;

* слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

* текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;

* организационные недоработки, в результате которых виновника- ми утечки информации являются люди -- сотрудники ИС и ИТ.

Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых -- порча информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Вредоносные программы классифицируются следующим образом: Логические бомбы, как вытекает из названия, используются для искажения или уничтожения информации, реже с их помощью совершаются кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т.п.

Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.

Троянский конь -- программа, выполняющая в дополнение к основным, т. е. запроектированным и документированным действиям, действия дополнительные, не описанные в документации. Аналогия с древнегреческим троянским конем оправдана -- и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается, подменяется) пользователям ИС. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т.д.). Запустивший такую программу подвергает опасности как свои файлы, так и всю ИС в целом. Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, личность которого установить порой невозможно.

Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший троянского коня, и сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками.

Вирус -- программа, которая может заражать другие программы путем включения в них модифицированной копии, обладающей способностью к дальнейшему размножению.

Считается, что вирус характеризуется двумя основными особенностями:

1) способностью к саморазмножению;

2) способностью к вмешательству в вычислительный процесс (т. е. к получению возможности управления).

Червь -- программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. Червь использует механизмы поддержки сети для определения узла, который может быть заражен. За- тем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Наиболее известный представитель этого класса -- вирус Морриса (червь Морриса), поразивший сеть Internet в 1988 г. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от червя -- принятие мер предосторожности против несанкционированного доступа к сети.

Захватчик паролей -- это программы, специально предназначенные для воровства паролей. При попытке обращения пользователя к терминалу системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей -- необходимое условие надежной защиты.

Компрометация информации (один из видов информационных инфекций). Реализуется, как правило, посредством несанкционированных изменений в базе данных в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. При использовании скомпрометированной информации потребитель подвергается опасности принятия неверных решений.

Несанкционированное использование информационных ресурсов, с одной стороны, является последствиями ее утечки и средством ее компрометации. С другой стороны, оно имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам.

Ошибочное использование информационных ресурсов будучи санкционированным тем не менее может привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в ПО ИТ.

Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен. Последствия -- те же, что и при несанкционированном доступе.

Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или от- правки. Это позволяет одной из сторон расторгать заключенные финансовые соглашения техническим путем, формально не отказываясь от них, нанося тем самым второй стороне значительный ущерб.

Нарушение информационного обслуживания -- угроза, источником которой является сама ИТ. Задержка с предоставлением информационных ресурсов абоненту может привести к тяжелым для него последствиям. Отсутствие у пользователя своевременных данных, необходимых для принятия решения, может вызвать его нерациональные действия.

Незаконное использование привилегий. Любая защищенная система содержит средства, используемые в чрезвычайных ситуациях, или средства которые способны функционировать с нарушением существующей политики безопасности. Например, на случай внезапной проверки пользователь должен иметь возможность доступа ко всем наборам системы. Обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями, выполняющими специальные функции.

Большинство систем защиты в таких случаях используют наборы привилегий, т. е. для выполнения определенной функции требуется определенная привилегия. Обычно пользователи имеют минимальный набор привилегий, администраторы -- максимальный.

Наборы привилегий охраняются системой защиты. Несанкционированный (незаконный) захват привилегий возможен при наличии ошибок в системе защиты, но чаще всего происходит в процессе управления системой защиты, в частности при небрежном пользовании привилегиями.

Строгое соблюдение правил управления системой защиты, соблюдение принципа минимума привилегий позволяет избежать таких нарушений.

2.2 Методы защиты информации

В сентябре 2000 года президентом России была подписана: «Доктрина информационной безопасности РФ», на оснований которой был принят закон об информации. В этом законе выделяются следующие виды информации которые принадлежат защите со стороны государства:

Криптографические методы:

Проблема защиты информации путем ее преобразования, исключающего ее прочтение посторонним лицом волновала человеческий ум с давних времен. История криптографии - ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии тому примеры.

С широким распространением письменности криптография стала формироваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей переписке использовал уже более менее систематический шифр, получивший его имя.

Бурное развитие криптографические системы получили в годы первой и второй мировых войн. Начиная с послевоенного времени и по нынешний день появление вычислительных средств ускорило разработку и совершенствование криптографических методов.

Почему проблема использования криптографических методов в информационных системах (ИС) стала в настоящий момент особо актуальна?

С одной стороны, расширилось использование компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера, не допускающего возможность доступа к ней посторонних лиц.

С другой стороны, появление новых мощных компьютеров, технологий сетевых и нейронных вычислений сделало возможным дискредитацию криптографических систем еще недавно считавшихся практически не раскрываемыми.

Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления - криптографию и криптоанализ. Цели этих направлений прямо противоположны.

Криптография занимается поиском и исследованием математических методов преобразования информации.

Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей.

Современная криптография включает в себя четыре крупных раздела:

1.Симметричные криптосистемы.

2.Криптосистемы с открытым ключом.

3.Системы электронной подписи.

4.Управление ключами.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Системы с открытым ключом :

Как бы ни были сложны и надежны криптографические системы - их слабое мест при практической реализации - проблема распределения ключей. Для того, чтобы был возможен обмен конфиденциальной информацией между двумя субъектами ИС, ключ должен быть сгенерирован одним из них, а затем каким-то образом опять же в конфиденциальном порядке передан другому. Т.е. в общем случае для передачи ключа опять же требуется использование какой-то криптосистемы.

Для решения этой проблемы на основе результатов, полученных классической и современной алгеброй, были предложены системы с открытым ключом.

Суть их состоит в том, что каждым адресатом ИС генерируются два ключа, связанные между собой по определенному правилу. Один ключ объявляется открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне.

Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст в принципе не может быть расшифрован тем же открытым ключом. Дешифрование сообщение возможно только с использованием закрытого ключа, который известен только самому адресату.

Криптографические системы с открытым ключом используют так называемые необратимые или односторонние функции, которые обладают следующим свойством: при заданном значении x относительно просто вычислить значение f(x), однако если y =f(x ), то нет простого пути для вычисления значения x.

Множество классов необратимых функций и порождает все разнообразие систем с открытым ключом. Однако не всякая необратимая функция годится для использования в реальных ИС.

В самом определении необратимости присутствует неопределенность. Под необратимостью понимается не теоретическая необратимость, а практическая невозможность вычислить обратное значение используя современные вычислительные средства за обозримый интервал времени.

Поэтому чтобы гарантировать надежную защиту информации, к системам с открытым ключом (СОК) предъявляются два важных и очевидных требования:

1. Преобразование исходного текста должно быть необратимым и исключать его восстановление на основе открытого ключа.

2. Определение закрытого ключа на основе открытого также должно быть невозможным на современном технологическом уровне. При этом желательна точная нижняя оценка сложности (количества операций) раскрытия шифра.

Алгоритмы шифрования с открытым ключом получили широкое распространение в современных информационных системах. Так, алгоритм RSA стал мировым стандартом де-факто для открытых систем и рекомендован МККТТ.

Вообще же все предлагаемые сегодня криптосистемы с открытым ключом опираются на один из следующих типов необратимых преобразований:

Разложение больших чисел на простые множители.

Вычисление логарифма в конечном поле.

Вычисление корней алгебраических уравнений.

Здесь же следует отметить, что алгоритмы криптосистемы с открытым ключом (СОК) можно использовать в трех назначениях.

1. Как самостоятельные средства защиты передаваемых и хранимых данных.

2. Как средства для распределения ключей. Алгоритмы СОК более трудоемки, чем традиционные криптосистемы. Поэтому часто на практике рационально с помощью СОК распределять ключи, объем которых как информации незначителен. А потом с помощью обычных алгоритмов осуществлять обмен большими информационными потоками.

Средства аутентификации пользователей.

Электронная подпись

В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.

В чем состоит проблема аутентификации данных?

В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д.

Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь.

С широким распространением в современном мире электронных форм документов (в том числе и конфиденциальных) и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации.

В разделе криптографических систем с открытым ключом было показано, что при всех преимуществах современных систем шифрования они не позволяют обеспечить аутентификацию данных. Поэтому средства аутентификации должны использоваться в комплексе и криптографическими алгоритмами.

Иногда нет необходимости зашифровывать передаваемое сообщение, но нужно его скрепить электронной подписью. В этом случае текст шифруется закрытым ключом отправителя и полученная цепочка символов прикрепляется к документу. Получатель с помощью открытого ключа отправителя расшифровывает подпись и сверяет ее с текстом. В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.

Методы защиты информации в Internet :

Сегодня самая актуальная для Internet тема - проблема защиты информации. Сеть стремительно развивается в глобальных масштабах, и все большее распространение получают системы внутренних сетей (intranet, интрасети). Появление на рынке новой огромной ниши послужило стимулом как для пользователей, так и для поставщиков сетевых услуг к поиску путей повышения безопасности передачи информации через Internet.

Проблема безопасности в Internet подразделяется на две категории: общая безопасность и вопросы надежности финансовых операций. Успешное разрешение проблем в сфере финансовой деятельности могло бы открыть перед Internet необозримые перспективы по предоставлению услуг для бизнеса. В борьбу за решение этой проблемы включились такие гиганты в области использовани кредитных карточек, как MasterCard и Visa, а также лидеры компьютерной индустрии Microsoft и Netscape. Все это касается "денежных" дел; наша же статья посвящена проблеме общей безопасности.

Задача исследований в этой области - решение проблемы конфиденциальности. Рассмотрим для примера передачу сообщений электронной почты с одного SMTP-сервера на другой. В отдельных случаях эти сообщения просто переписываются с одного жесткого диска на другой как обыкновенные текстовые файлы, т. е. прочитать их смогут все желающие. Образно говоря, механизм доставки электронной почты через Internet напоминает ситуацию, когда постиранное белье вывешивается на улицу, вместо того чтобы отжать его в стиральной машине. Не важно, содержатся ли в послании какая-то финансовая информация или нет; важно следующее - любая пересылаемая по Internet информаци должна быть недоступна для посторонних.

Кроме конфиденциальности пользователей также волнует вопрос гарантий, с кем они сейчас "беседуют". Им необходима уверенность, что сервер Internet, с которым у них сейчас сеанс связи, действительно является тем, за кого себя выдает; будь то сервер World-Wide Web, FTP, IRC или любой другой. Не составляет особого труда имитировать (то ли в шутку, то ли с преступными намерениями) незащищенный сервер и попытаться собрать всю информацию о вас. И, конечно же, поставщики сетевых услуг также хотели бы быть уверенными, что лица, обращающиеся к ним за определенными ресурсами Internet, например, электронной почтой и услугами IRC, действительно те, за кого себя выдают.

Метод парольной защиты:

Законность запроса пользователя определяется по паролю, представляющему собой, как правило, строку знаков. Метод паролей считается достаточно слабым, так как пароль может стать объектом хищения, перехвата, перебора, угадывания. Однако простота метода стимулирует поиск путей его усиления.

Для повышения эффективности парольной защиты рекомендуется:

выбирать пароль длиной более 6 символов, избегая распространенных, легко угадываемых слов, имен, дат и т.п.;

1.использовать специальные символы;

2.пароли, хранящиеся на сервере, шифровать при помощи односторонней функции;

3.файл паролей размещать в особо защищаемой области ЗУ ЭВМ, закрытой для чтения пользователями;

4.границы между смежными паролями маскируются;

5.комментарии файла паролей следует хранить отдельно от файла;

6.периодически менять пароли;

7.предусмотреть возможность насильственной смены паролей со стороны системы через определенный промежуток времени;

8.использовать несколько пользовательских паролей: собственно пароль, персональный идентификатор, пароль для блокировки/разблокировки аппаратуры при кратковременном отсутствии и т.п.

9.В качестве более сложных парольных методов используется случайная выборка символов пароля и одноразовое использование паролей. В первом случае пользователю (устройству) выделяется достаточно длинный пароль, причем каждый раз для опознавания используется часть пароля, выбираемая случайно. При одноразовом использовании пароля пользователю выделяется не один, а большое количество паролей, каждый из которых используется по списку или по случайной выборке один раз. В действительно распределенной среде, где пользователи имеют доступ к нескольким серверам, базам данных и даже обладают правами удаленной регистрации, защита настолько осложняется, что администратор все это может увидеть лишь в кошмарном сне.

Административные меры защиты:

Проблема защиты информации решается введением контроля доступа и разграничением полномочий пользователя.

Распространённым средством ограничения доступа (или ограничения полномочий) является система паролей. Однако оно ненадёжно. Опытные хакеры могут взломать эту защиту, «подсмотреть» чужой пароль или войти в систему путём перебора возможных паролей, так как очень часто для них используются имена, фамилии или даты рождения пользователей. Более надёжное решение состоит в организации контроля доступа в помещения или к конкретному ПК в ЛВС с помощью идентификационных пластиковых карточек различных видов.

Использование пластиковых карточек с магнитной полосой для этих целей вряд ли целесообразно, поскольку, её можно легко подделать. Более высокую степень надёжности обеспечивают пластиковые карточки с встроенной микросхемой - так называемые микропроцессорные карточки (МП - карточки, smart - card). Их надёжность обусловлена в первую очередь невозможностью копирования или подделки кустарным способом. Кроме того, при производстве карточек в каждую микросхему заносится уникальный код, который невозможно продублировать. При выдаче карточки пользователю на неё наносится один или несколько паролей, известных только её владельцу. Для некоторых видов МП - карточек попытка несанкционированного использования заканчивается её автоматическим «закрытием». Чтобы восстановить работоспособность такой карточки, её необходимо предъявить в соответствующую инстанцию.

Установка специального считывающего устройства МП - карточек возможна не только на входе в помещения, где расположены компьютеры, но и непосредственно на рабочих станциях и серверах сети.

Защита корпоративной информации:

Однако при решении этой проблемы предприятия часто идут на поводу у компаний-подрядчиков, продвигающих один или несколько продуктов, решающих, как правило, частные задачи. Ниже рассмотрим наиболее общие подходы к комплексному решению задачи обеспечения безопасности информации.

Наиболее типичной ошибкой при построении системы защиты является стремление защитить всё и от всего сразу. На самом деле определение необходимой информации (файлов, каталогов, дисков) и иных объектов информационной структуры, которые требуется защитить - первый шаг в построении системы информационной безопасности. С определения этого перечня и следует начать: следует оценить, во сколько может обойтись потеря (удаление или кража) той или иной базы данных или, например, простой одной рабочей станции в течение дня.

Второй шаг - определение источников угроз. Как правило, их несколько. Выделить источник угроз - значит, оценить его цели (если источник преднамеренный) или возможное воздействие (непреднамеренный), вероятность (или интенсивность) его появления. Если речь идет о злоумышленных действиях лица (или группы лиц), то требуется оценить его организационные и технические возможности для доступа к информации (ведь злоумышленник может быть и сотрудником фирмы).

После определения источника угроз можно сформулировать угрозы безопасности информации. То есть что с информацией может произойти. Как правило, принято различать следующие группы угроз:

§ несанкционированный доступ к информации (чтение, копирование или изменение информации, ее подлог и навязывание);

§ нарушение работоспособности компьютеров и прикладных программ

§ уничтожение информации.

В каждой из этих трех групп можно выделить десятки конкретных угроз, однако пока на этом остановимся. Заметим только, что угрозы могут быть преднамеренными и случайными, а случайные, в свою очередь, естественными (например, стихийные бедствия) и искусственными (ошибочные действия персонала). Случайные угрозы, в которых отсутствует злой умысел, обычно опасны только в плане потери информации и нарушения работоспособности системы, от чего достаточно легко застраховаться. Преднамеренные же угрозы более серьезны с точки зрения потери для бизнеса, ибо здесь приходится бороться не со слепым (пусть и беспощадным в своей силе) случаем, но с думающим противником.

Построение системы защиты полезно проводить с принципами защиты, которые достаточно универсальны для самых разных предметных областей (инженерное обеспечение в армии, физическая безопасность лиц и территорий, и т. д.)

§ Адекватность (разумная достаточность). Совокупная стоимость защиты (временные, людские и денежные ресурсы) должна быть ниже стоимости защищаемых ресурсов. Если оборот компании составляет 10 тыс. долларов в месяц, вряд ли есть смысл развертывать систему на миллион долларов (так, же как и наоборот).

§ Системность. Важность этого принципа особо проявляется при построении крупных систем защиты. Он состоит в том, что система защиты должна строиться не абстрактно (защита от всего), а на основе анализа угроз, средств защиты от этих угроз, поиска оптимального набора этих средств и построения системы.

§ Прозрачность для легальных пользователей. Введение механизмов безопасности (в частности аутентификации пользователей) неизбежно приводит к усложнению их действий. Тем не менее, никакой механизм не должен требовать невыполнимых действий (например, еженедельно придумывать 10-значный пароль и нигде его не записывать) или затягивать процедуру доступа к информации.

§ Равностойкость звеньев. Звенья - это элементы защиты, преодоление любого из которых означает преодоление всей защиты. Понятно, что нельзя слабость одних звеньев компенсировать усилением других. В любом случае, прочность защиты (или ее уровня, см. ниже) определяется прочностью самого слабого звена. И если нелояльный сотрудник готов за 100 долларов «скинуть на дискету» ценную информацию, то злоумышленник вряд ли будет выстраивать сложную хакерскую атаку для достижения той же цели.

§ Непрерывность. В общем-то, та же равностойкость, только во временной области. Если мы решаем, что будем что-то и как-то защищать, то надо защищать именно так в любой момент времени. Нельзя, например, решить по пятницам делать резервное копирование информации, а в последнюю пятницу месяца устроить «санитарный день». Закон подлости неумолим: именно в тот момент, когда меры по защите информации будут ослаблены, произойдет то, от чего мы защищались. Временный провал в защите, так же, как и слабое звено, делает ее бессмысленной.

§ Многоуровневость. Многоуровневая защита встречается повсеместно, достаточно побродить по руинам средневековой крепости. Зачем защита строится в несколько уровней, которые должен преодолевать как злоумышленник, так и легальный пользователь (которому, понятно, это делать легче)? К сожалению, всегда существует вероятность того, что какой-то уровень может быть преодолен либо в силу непредвиденных случайностей, либо с ненулевой вероятностью. Простая математика подсказывает: если один уровень гарантирует защиту в 90%, то три уровня (ни в коем случае не повторяющих друг друга) дадут вам 99,9%. Это, кстати, резерв экономии: путем эшелонирования недорогих и относительно ненадежных средств защиты можно малой кровью добиться очень высокой степени защиты.

Учет этих принципов поможет избежать лишних расходов при построении системы защиты информации и в то же время добиться действительно высокого уровня информационной безопасности бизнеса.

Оценка эффективности систем защиты программного обеспечения

Системы защиты ПО широко распространены и находятся в постоянном развитии, благодаря расширению рынка ПО и телекоммуникационных технологий. Необходимость использования систем защиты (СЗ) ПО обусловлена рядом проблем, среди которых следует выделить: незаконное использование алгоритмов, являющихся интеллектуальной собственностью автора, при написании аналогов продукта (промышленный шпионаж); несанкционированное использование ПО (кража и копирование); несанкционированная модификация ПО с целью внедрения программных злоупотреблений; незаконное распространение и сбыт ПО (пиратство).

Системы защиты ПО по методу установки можно подразделить на системы, устанавливаемые на скомпилированные модули ПО; системы, встраиваемые в исходный код ПО до компиляции; и комбинированные.

Системы первого типа наиболее удобны для производителя ПО, так как легко можно защитить уже полностью готовое и оттестированное ПО (обычно процесс установки защиты максимально автоматизирован и сводится к указанию имени защищаемого файла и нажатию "Enter"), а потому и наиболее популярны. В то же время стойкость этих систем достаточно низка (в зависимости от принципа действия СЗ), так как для обхода защиты достаточно определить точку завершения работы "конверта" защиты и передачи управления защищенной программе, а затем принудительно ее сохранить в незащищенном виде.

Системы второго типа неудобны для производителя П.О, так как возникает необходимость обучать персонал работе с программным интерфейсом (API) системы защиты с вытекающими отсюда денежными и временными затратами. Кроме того, усложняется процесс тестирования П.О и снижается его надежность, так как кроме самого П.О ошибки может содержать API системы защиты или процедуры, его использующие. Но такие системы являются более стойкими к атакам, потому что здесь исчезает четкая граница между системой защиты и как таковым П.О.

Для защиты ПО используется ряд методов, таких как:

§ Алгоритмы запутывания - используются хаотические переходы в разные части кода, внедрение ложных процедур - "пустышек", холостые циклы, искажение количества реальных параметров процедур ПО, разброс участков кода по разным областям ОЗУ и т.п.

§ Алгоритмы мутации - создаются таблицы соответствия операндов - синонимов и замена их друг на друга при каждом запуске программы по определенной схеме или случайным образом, случайные изменения структуры программы.

§ Алгоритмы компрессии данных - программа упаковывается, а затем распаковывается по мере выполнения.

§ Алгоритмы шифрования данных - программа шифруется, а затем расшифровывается по мере выполнения.

§ Вычисление сложных математических выражений в процессе отработки механизма защиты - элементы логики защиты зависят от результата вычисления значения какой-либо формулы или группы формул.

§ Методы затруднения дизассемблирования - используются различные приемы, направленные на предотвращение дизассемблирования в пакетном режиме.

§ Методы затруднения отладки - используются различные приемы, направленные на усложнение отладки программы.

§ Эмуляция процессоров и операционных систем - создается виртуальный процессор и/или операционная система (не обязательно реально существующие) и программа-переводчик из системы команд IBM в систему команд созданного процессора или ОС, после такого перевода ПО может выполняться только при помощи эмулятора, что резко затрудняет исследование алгоритма ПО.

§ Нестандартные методы работы с аппаратным обеспечением - модули системы защиты обращаются к аппаратуре ЭВМ, минуя процедуры операционной системы, и используют малоизвестные или недокументированные её возможности.

Заключение

Можно сказать, что не существует одного абсолютно надежного метода защиты. Наиболее полную безопасность можно обеспечить только при комплексном подходе к этому вопросу. Необходимо постоянно следить за новыми решениями в этой области.

Подводя итоги, следует упомянуть о том, что известно множество случаев, когда фирмы (не только зарубежные) ведут между собой настоящие «шпионские войны», вербуя сотрудников конкурента с целью получения через них доступа к информации, составляющую коммерческую тайну. Регулирование вопросов, связанных с коммерческой тайной, еще не получило в России достаточного развития. Имеющееся законодательство все же не обеспечивает соответствующего современным реалиям регулирования отдельных вопросов, в том числе и о коммерческой тайне. В то же время надо отдавать себе отчет, что ущерб, причиненный разглашением коммерческой тайны, зачастую имеет весьма значительные размеры (если их вообще можно оценить). Наличие норм об ответственности, в том числе уголовной, может послужить работникам предостережением от нарушений в данной области, поэтому целесообразно подробно проинформировать всех сотрудников о последствиях нарушений. Хотелось бы надеяться что создающаяся в стране система защиты информации и формирование комплекса мер по ее реализации не приведет к необратимым последствиям на пути зарождающегося в России информационно - интеллектуального объединения со всем миром.

Основные выводы о способах использования рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему:

Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.

Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.

Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.

Необходимо осуществлять постоянный контроль функционирования механизма защиты.

Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.

Список литературы

1. Федеральный закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года N 24-ФЗ;

2. Закон «О правовой охране топологий интегральных микросхем» от 23.09.92 г. N 3526-I

3. Закон «Об участии в международном информационном обмене» от 5.06.1996 г. N 85-ФЗ

4. Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 года №3523-1;

6. Закон «О средствах массовой информации» от 27.12.91 г. N 2124-I

7. Закон «О Федеральных органах правительственной связи и информации» от 19.02.92 N 4524-1

10. Закон «О Государственной автоматизированной системе Российской Федерации «Выборы» от 10 января 2003 г. N 20-ФЗ

11. Крылов В.В. Информационные компьютерные преступления. М.: ИнфраМ-Норма, 1997.

12. Ведеев Д.В. Защита данных в компьютерных сетях. - М., 1995;

13. Копылов В.А. Информационное право. - М.: Юристъ, 1997;

14. Гайкович В.Ю «Основы безопасности информационных технологий», Москва, «Инфо-М», 1998

15. «Как остановить компьютерное пиратство?» (Симкин Л., «Российская юстиция», 1996, N 10)

16. «Информация как элемент криминальной деятельности» (Крылов В.В., «Вестник Московского университета», Серия 11, Право, 1998, N 4)

17. Фоменков Г.В. «О безопасности в Internet» , «Защита информации. Конфидент», № 6, 1998.

18. «Правовая охрана программ для ЭВМ и баз данных» (Виталиев Г.В. http://www.relcom.ru).

19. «Правовая охрана топологий интегральных микросхем» (Сергеев А.П. Правоведение 1993 г. №3).

Подобные документы

Виды умышленных угроз безопасности информации. Методы и средства защиты информации. Методы и средства обеспечения безопасности информации. Криптографические методы защиты информации. Комплексные средства защиты.

реферат , добавлен 17.01.2004


Понятие защиты умышленных угроз целостности информации в компьютерных сетях. Характеристика угроз безопасности информации: компрометация, нарушение обслуживания. Характеристика ООО НПО "Мехинструмент", основные способы и методы защиты информации.

дипломная работа , добавлен 16.06.2012


Развитие новых информационных технологий и всеобщая компьютеризация. Информационная безопасность. Классификация умышленных угроз безопасности информации. Методы и средства защиты информации. Криптографические методы защиты информации.

курсовая работа , добавлен 17.03.2004


Основные свойства информации. Операции с данными. Данные – диалектическая составная часть информации. Виды умышленных угроз безопасности информации. Классификация вредоносных программ. Основные методы и средства защиты информации в компьютерных сетях.

курсовая работа , добавлен 17.02.2010


Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.

контрольная работа , добавлен 26.05.2010


Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.

дипломная работа , добавлен 08.03.2013


История возникновения и развития шифрования от древних времен и до наших дней. Анализ современных проблем обеспечения секретности и целостности передаваемых или хранимых данных, наиболее часто используемые криптографические методы защиты информации.

контрольная работа , добавлен 23.04.2013


Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.

курсовая работа , добавлен 21.04.2015


Организация системы защиты информации во всех ее сферах. Разработка, производство, реализация, эксплуатация средств защиты, подготовка соответствующих кадров. Криптографические средства защиты. Основные принципы инженерно-технической защиты информации.

курсовая работа , добавлен 15.02.2011


Разновидности защиты компьютерной информации. Особенности алгоритмов и шрифтов, применяемых в криптографии. Специфика использования криптосистем с открытым ключом. Структура вредоносного программного обеспечения. Обеспечение безопасности баз данных.