Структура комплекса мероприятий по защите информации

1. Организационные мероприятия по защите информации.

Основное условие защиты информации в компьютерных системах – эффективная эксплуатация технических средств и высокая культура труда на автоматизированных рабочих местах (АРМ). При внедрении АРМ в учреждении следует устанавливать и строго соблюдать регламент доступа в различные служебные помещения, где обрабатывается и хранится информация, для разных категорий сотрудников. Если нет ограничений в перемещении сотрудников по отделам и службам, то возникает опасность утечки сведений вследствие случайного или преднамеренного прочтения первичных и выходных документов, а также путем выноса магнитных носителей информации. Однако чрезмерная регламентация работы может вызвать и отрицательную реакцию сотрудников.

Чтобы повысить уровень защищенности информации, необходимо регистрировать носители информации, а также документы, содержащие важные данные, с указанием даты и времени поступления и отправления, с подписями сдавших и принявших их лиц. Большое значение в организации работы на АРМ имеют должностные инструкции сотрудников, а также руководства пользователя (они должны быть подготовлены для каждого АРМ).

Копирование и распечатка файлов информационного фонда – один из наиболее характерных способов хищения информации, который часто остается незамеченным, если не организована четкая регистрация всех операций по автоматизированной обработке информации. Документация на программное обеспечение АРМ и ЛВС должна быть доступна только для определенного круга лиц. Для обеспечения более надежной защиты оригинал и копии следует хранить в разных местах. Особое внимание нужно уделять тщательной проверке сотрудников, имеющих доступ к секретной информации. Ими совершается 90% компьютерных преступлений. Этого можно избежать, если соответствующим образом подбирать кадры.

2. Технические мероприятия по защите информации.

Важнейшим условием сохранения работоспособности АРМ и защиты информации является надежность функционирования технических средств. Системы автоматизированной обработки данных представляют собой неделимое целое с учреждениями, в которых они функционируют. Поэтому при выходе из строя ПК целесообразно иметь резервные ПК, что позволит ускорить обработку информации за счет параллельного выполнения тех или иных функций.

Чтобы предотвратить потери информации, вызываемые кратковременным отключением электроэнергии, устанавливаются источники бесперебойного питания.

Использование надежной и эффективной системы архивации данных – еще один способ обеспечения сохранности информации в сети. В больших ЛВС для организации резервного копирования целесообразно использовать специализированный архивационный сервер.

Для исключения возможности перехвата и расшифровки электромагнитного излучения компьютерной техники проводятся следующие технические мероприятия: экранирование помещений, отдельных технических средств и отходящих цепей, зашумление пространства и цепей, выходящих за пределы контролируемой зоны в учреждении, установка помехоподавляющих фильтров, применение технических средств в специальном (защищенном) исполнении.

В заключение отметим, что помещения, где установлена компьютерная техника, обязательно должны оборудоваться средствами автоматического пожаротушения.

3. Программные методы защиты информации.

Программные методы защиты информации направлены на ограничение доступа к секретной информации и предотвращение проникновения в автоматизированные системы компьютерных вирусов.

Существуют следующие программные методы ограничения доступа к информационному фонду:

1) идентификация пользователя при работе на компьютере,

2) разграничение доступа пользователей к информационному фонду,

3) предотвращение несанкционированного доступа к средствам АРМ с автоматической регистрацией его фактов и попыток,

4) регистрация санкционированных обращений к информации,

5) регулярная коррекция защиты (изменение паролей доступа к АРМ, идентификаторов пользователей),

6) автоматическое уничтожение остаточной информации на промежуточных носителях.

При введении программных средств защиты информации всегда должны разрабатываться организационные меры, предусматривающие функционирование самой защиты, в частности хранение и смену паролей. Должна быть обеспечена «защита защиты» (невозможность кому–либо узнать пароль пользователя). Кроме того, необходимо учитывать, что пользователь может забыть или утерять свой пароль. В первом случае надо предусмотреть процедуру восстановления его права на доступ к информации по старому или новому паролю, во втором – надежно «закрыть» данные, чтобы ими не могло воспользоваться лицо, нашедшее пароль.

Не следует забывать и о такой актуальной проблеме, как защита информации от компьютерных вирусов. Любая система защиты должна совершенствоваться с изменением «вирусной обстановки» и состоять из комплекса взаимодополняющих средств.

4. Криптографические методы защиты информации.

Процесс преобразования открытого текста с целью сделать непонятным его смысл для посторонних называется шифрованием. В результате шифрования сообщения получается шифр–текст. Процесс обратного преобразования шифртекста в открытый текст называется расшифровкой.

Наука, которая учит, как следует поступать, чтобы сохранить содержание сообщений в тайне, называется криптографией. Людей, занимающихся криптографией, зовут криптографами. Криптоаналитики являются специалистами в области криптоанализа – науки о вскрытии шифров, которая отвечает на вопрос о том, как прочесть открытый текст, скрывающийся под шифрованным. Раздел науки, объединяющий криптографию и криптоанализ, именуется криптологией.

Криптография включает способы и средства обеспечения конфиденциальности информации (в том числе с помощью шифрования) и аутентификации. Конфиденциальность – защищенность информации от ознакомления с ее содержанием со стороны лиц, не имеющих права доступа к ней. В свою очередь аутентификация представляет собой установление подлинности различных аспектов информационного взаимодействия: сеанса связи, сторон (идентификация), содержания (имитозащита) и источника (установление авторства с помощью цифровой подписи).

Число используемых программ шифрования ограничено, причем часть из них являются стандартами де–факто или де–юре. Однако даже если алгоритм шифрования не представляет собой секрета, произвести дешифрование (расшифровка) без знания закрытого ключа чрезвычайно сложно. Это свойство в современных программах шифрования обеспечивается в процессе многоступенчатого преобразования исходной открытой информации (plain text в англоязычной литературе) с использованием ключа (или двух ключей – по одному для шифрования и дешифрования). В конечном счете, любой сложный метод (алгоритм) шифрования представляет собой комбинацию относительно простых методов.

Определение понятия Электронная цифровая подпись (ЭЦП) приведена в Законе Российской Федерации «Об электронной цифровой подписи» от 10 января 2002 г. № 1-ФЗ.

Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Таким образом, понятие ЭЦП неразрывно связывается с понятием сертификата ключа, понятием криптографического преобразования и электронным документом.

Право электронной цифровой подписи предоставляется клиенту путем выдачи ему сертификата ключа подписи в электронном виде и на официальном бланке.

Выдача сертификата производится в соответствии со специальной процедурой, разработанной таким образом, чтобы в короткий срок и с минимальными затратами предоставить право ЭЦП любому клиенту вне зависимости от его местоположения на территории Российской Федерации.

В комплект ЭЦП входит программное обеспечение для реализации процедуры подписи и шифрования. Это программное обеспечение может быть встроено как в бизнес систему, так и работать как самостоятельное запускаемое приложение. Причем разработанный интерфейс позволит провести всю операцию подписи или шифрования быстро и просто.

ГЛОССАРИЙ

Тема IV. Алгоритмизация и программирование....................................................52

– технологическая цепочка решения задачи;

– алгоритм;

– свойства алгоритмов;

– типы алгоритмов;

– формы алгоритмов;

– метод построения алгоритмов;

– принципы структурного программирования;

– инкапсуляция;

– наследование;

– полиморфизм;

 

Тема V. Локальные и глобальные компьютерные сети..........................................66

 

– телекоммуникация;

– телекоммуникационная система (ТКС);

– компьютерная (электронная) сеть;

– абонент;

– сервер;

– клиент;

– функции ТКС;

– типы каналов связи ТКС;

– онлайн;

– офлайн;

– асинхронной передаче;

– асинхронном методе;

– симплексной связи;

– полудуплексная связь;

– полнодуплексной связи;

– протоколы;

– модем;

– сетевой адаптер;

– повторитель (репитер от агнл. repeater);

– концентраторы (hubs);

– мост (bridge);

– маршрутизаторы (routers);

– одноранговая ЛВС;

– двухранговая ЛВС;

– TCP;

– IP-адрес;

– DNS;

– FTR;

– REX400;

 

Тема VI. Антивирусная защита. Информационная безопасность............................47

– права доступа;

– несанкционированный доступ;

– информационная безопасность;

– защита информации;

– информационно безопасной компьютерной сетью;

ОГЛАВЛЕНИЕ

АЛГОРИТМИЗАЦИЯ. КОМПЬЮТЕРНЫЕ СЕТИ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 3

Тема IV. Алгоритмизация и программирование. 4

Тема V. Локальные и глобальные компьютерные сети. 17

Тема VI. Антивирусная защита. Информационная безопасность 47

ГЛОССАРИЙ.. 54

ОГЛАВЛЕНИЕ. 55