Смекни!
smekni.com

Учет расчетов с подотчетными лицами. (стр. 13 из 16)

Возможна ситуация, когда характер и уровень взаимодействия взаимозависимых факторов существенно зависят от влияния других, явно или скрыто усиливающих такие воздействия. Средства защиты могут быть как независимыми с точки зрения эффективности защиты, так и взаимозависимыми. Для обеспечения достаточно высокой безопасности данных надо найти компромисс между стоимостью защитных мероприятии, неудобствами при использовании мер защиты и важностью защищаемой информации. На основе тщательного анализа много численных взаимодействующих факторов можно принять разумное и эффективное решение о сбалансированности меры защиты от конкретных источников опасности.


ОБЪЕКТЫ И ЭЛЕМЕНТЫ ЗАЩИТЫ В КОМПЬЮТЕРНЫХ СИСТЕМАХ ОБРАБОТКИ ДАННЫХ

Под объектом защиты понимается такой компонент системы, в котором находится подлежащая защите информация, а под элементом защиты — совокупность данных, которая может содержать подлежащие защите сведения. При функционировании компьютерных систем могут быть:

- отказы и сбои аппаратуры;

- системные и системотехнические ошибки;

- программные ошибки;

- ошибки человека при работе с ПК.
Несанкционированный доступ к информации может происходить во время технического обслуживания, компьютеров за счет прочтения информации на машинных и других носителях. Несанкционированное ознакомление с информацией подразделяется на пассивное и активное. В первом случае не происходит нарушения информационных ресурсов, и нарушитель лишь получает возможность раскрывать содержание сообщений. Во втором - случае нарушитель может выборочно изменить, уничтожить, переупорядочить и перенаправить сообщения, задержать и создать поддельные сообщения.

Для обеспечения безопасности проводятся различные мероприятия, объединяемые понятием «система защиты информации».

Под системой защиты информации понимают совокупность организационных (административных) и технологических мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Организационно-административные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам систем обработки данных. Цель организационно-административные средства защиты сводится к затруднению или исключению возможности реализации угроз безопасности. Наиболее типичные организационно-административные средства:

- допуск к обработке и передача конфиденциальной информации только проверенных должностных лиц;

- хранение носителей информации, представляющих определенную тайну, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;

- организации учета использований и уничтожения документов (носителей) с конфиденциальной информацией;

- разграничение доступа к информационным и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.

Технические сродства защиты признаны создать некоторую физически замкнутую среду вокруг объекта и элементов защиты. В этом случае используются такие мероприятия как:

- ограничение электромагнитного излучения путем экранирования помещений, где происходит обработка информации

- осуществление электропитания оборудования, отрабатывающего ценную информацию, от автономного источника питания или от общей электросети через специальные сетевые фильтры;

Программные средства и методы защиты активнее других применяются для защиты информации в персональных компьютерах и компьютерных сетях. Они реализуй такие функции защиты как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, предотвращен ив возможных разрушительных воздействий на ресурсы; криптографическая защита информации.

Технологические средства защиты информации подразумевают комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных. Среди них:

- создание архивных копий носителей;

- ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера;

- автоматическая регистрация доступа пользователей к тем или иным ресурсам;

- разработка специальных инструкций по выполнению всех технологических процедур и др.

К правовым и морально-этическим мирам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила, нормы поведения, соблюдение которых способствует защита информации.

СРЕДСТВА ОПОЗНАНИЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА К ИНФОРМАЦИИ

Идентификация — это присвоение какому-либо объекту или субъекту уникального имени или образа.

Аутентификация—это установление подлинности, т.е. проварка, является пи объект (субъект) действительно тем, за кого он себя выдает.

Конечной целью процедур идентификации и аутентификации объекта (субъекта) является допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.

Объектами идентификации и аутентификации могут 6ыть: люди (пользователи, операторы); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки); магнитные носители информации; информация на экране монитора.

Наиболее распространенный метод аутентификации — присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Пароль — это совокупность символов, определяющая объект (субъект).

Пароль как средство обеспечения безопасности может использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.

Учитывая важность пароля как средства повышения безопасности информации от несанкционированного использования, следует соблюдать некоторые меры предосторожности, а том числе:

- не хранить пароли в вычислительной системе в незашифрованном виде;

- не печатать и не отображать пароли в явном виде на терминале пользователя;

- не использовать в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения,
номер домашнего или служебного телефона, название улицы);

- не использовать реальные слова из энциклопедии;

- выбирать длинные пароли;

- использовать смесь символов верхнего и нижнего регистров клавиатуры;

- использовать комбинации из двух простых слов, соединенных специальными символами (например, +,=,<);

- придумывать новые слова (абсурдные или даже бредового содержания);

- чаще менять пароль.

Для идентификации пользователей могут применяться сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя ни основе анализа его индивидуальных параметров; отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса. Наиболее широкое распространение нашли физические методы идентификации с использованием носителей кодов паролей. Такими носителями являются пропуска в контрольно-пропускных системах: пластиковые карты с именем владельца, его кодом, подписью; пластиковые карточки с магнитной полосой, которая считывается специальным считывающим устройством; пластиковые карты, содержащие встроенную микросхему; карты оптической памяти.

Одно из интенсивно разрабатываемых направлений по обеспечению безопасности информации, идентификация и установление подлинности документов на основе электронной цифровой подписи. При передаче документов по каналам связи применяется факсимильная аппаратура, но в этом случае к получателю приходит не подлинник, а лишь копия документа с копией подписи, которая в процессе передачи может быть подвергнута повторному копированию для использования ложного документа.

Электронная цифровая подпись это способ шифрования с помощью криптографического преобразования и является паролем, зависящим от отправителя, получателя и содержания передаваемого сообщения. Для предупреждения повторного использования подпись должна меняться от сообщения к сообщению.


КРИПТОГРАФИЧЕСКИЙ МЕТОД ЗАЩИТЫ ИНФОРМАЦИИ

Наиболее эффективным методом повышения безопасности является криптографическое преобразование. Резко повышает безопасность:

- передачи данных в компьютерных сетях;

- данных, хранящихся в удаленных устройствах памяти;

- информации при обмене между удаленными объектами.

Защита информации методом криптографического преобразования заключается в приседании ее к неявному виду путем преобразования составных частей информации (букв, цифр, слогов, слов) с помощью специальных алгоритмов либо аппаратных средств и кодов ключей. Ключ — это изменяемая часть криптографической системы, хранящаяся втайне и определяющая, какое шифрующее преобразование из возможных выполняется в данном случае.

Для преобразования (шифрования) используется некоторый алгоритм или устройство, реализующее заданный алгоритм, которые могут быть известны широкому кругу лиц. Управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет относительно быстро, просто и надежно расшифровать текст. Без знания ключа эта процедура может оказаться практически невыполнимой даже при использовании компьютера.

К методам криптографического преобразования применимы следующие требования;