Вопросы по курсу Защита информации в компьютерных системах


Содержание

Защита информации в компьютерных системах (стр. 1 из 3)

Защита информации в компьютерных системах — слагаемые успеха. Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми, и этот процесс обречен на бесконечность в своей последовательности. Хотя, если уж быть точным, новые проблемы — это всего лишь обновленная форма старых. Вечная проблема — защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Главная тенденция, характеризующая развитие современных информационных технологий — рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь. По результатам одного исследования, посвященного вопросам компьютерных преступлений, около 58% опрошенных пострадали от компьютерных взломов за последние 12 месяцев. Примерно 18 % опрошенных из этого числа заявляют, что потеряли более миллиона долларов в ходе нападений, более 66 процентов потерпели убытки в размере 50 тыс. долларов. Свыше 22% атак были нацелены на промышленные секреты или документы, представляющие интерес прежде всего для конкурентов. Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте. Однако по данным, опубликованным в сети Internet, общие потери от несанкционированного доступа к информации в компьютерных системах в 1997 году оценивались в 20 миллионов долларов, а уже в 1998 года в 53,6 миллионов долларов. Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются: переход от традиционной «бумажной» технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях; объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам; увеличение сложности программных средств и связанное с этим уменьшение числа их надежности и увеличением уязвимостей. Любое современное предприятие независимо от вида деятельности и формы собственности не в состоянии успешно развиваться и вести хозяйственную деятельность для создания на нем условий для надежного функционирования системы защиты собственной информации. Отсутствие у многих руководителей предприятий и компаний четкого представления по вопросам защиты информации приводит к тому, что им сложно в полной мере оценить необходимость создания надежной системы защиты информации на своем предприятии и тем более сложно бывает определить конкретные действия, необходимые для защиты тех или иных конфиденциальных сведений. В общем случае руководители предприятий идут по пути создания охранных служб, полностью игнорируя при этом вопросы информационной безопасности. Отрицательную роль при этом играют и некоторые средства массовой информации, публикуя «панические» статьи о состоянии дел по защите информации, формирующие у читателей представление о невозможности в современных условиях обеспечить требуемый уровень защиты информации. Можно с уверенностью утверждать, что создание эффективной системы защиты информации сегодня вполне реально. Надежность защиты информации, прежде всего, будет определяться полнотой решения целого комплекса задач, речь о которых будет продолжена дальше.

Информация как объект защиты Построение надежной защиты включает оценку циркулирующей в компьютерной системе информации с целью уточнения степени ее конфиденциальности, анализа потенциальных угроз ее безопасности и установление необходимого режима ее защиты.

Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.

Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РСФСР «О банках и банковской деятельности в РСФСР» ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков (статья 25).

Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139): соответствующая информация неизвестна третьим лицам; к ней свободного доступа на законном основании; меры по обеспечению ее конфиденциальности принимает собственник информации.

В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия — чрезмерная «засекреченность» приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны. Законопроектом «О коммерческой тайне» права по отнесению информации к категории коммерческой тайны представлены руководителю юридического лица.

Федеральный закон «Об информации, информатизации и защите информации», определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации: предотвращение утечки, хищения, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации; сохранение государственной тайны, конфиденциальности документированной информации.

Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.

Организация защиты информации Отдельный раздел законопроекта «О коммерческой тайне», посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите: установление особого режима конфиденциальности; ограничение доступа к конфиденциальной информации; использование организационных мер и технических средств защиты информации; осуществление контроля за соблюдением установленного режима конфиденциальности.

Конкретное содержание указанных мероприятий для каждого отдельно взятого предприятия может быть различным по масштабам и формам. Это зависит в первую очередь от производственных, финансовых и иных возможностей предприятия, от объемов конфиденциальной информации и степени ее значимости. Существенным является то, что весь перечень указанных мероприятий обязательно должен планироваться и использоваться с учетом особенностей функционирования информационной системы предприятия.

Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации.

Как правило, особый режим конфиденциальности подразумевает: организацию охраны помещений, в которых содержатся носители конфиденциальной информации; установление режима работы в помещениях, в которых содержатся носители конфиденциальной информации; установление пропускного режима в помещения, содержащие носители конфиденциальной информации; закрепление технических средств обработки конфиденциальной информации за сотрудниками, определение персональной ответственности за их сохранность; установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность); организацию ремонта технических средств обработки конфиденциальной информации; организацию контроля за установленным порядком.

Требования устанавливаемого на предприятии особого режима конфиденциальности оформляются в виде организационно-распорядительных документов и доводятся для ознакомления до сотрудников предприятия.

Ограничение доступа к конфиденциальной информации способствует созданию наиболее эффективных условий сохранности конфиденциальной информации. Необходимо четко определять круг сотрудников, допускаемых к конфиденциальной информации, к каким конкретно сведениям им разрешен доступ и полномочия сотрудников по доступу к конфиденциальной информации.

Как показывает практика работы, для разработки необходимого комплекса мероприятий по защите информации желательно привлечение квалифицированных экспертов в области защиты информации.

ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ

Читайте также:

  1. A) Защита человека от негативных факторов.
  2. A.1.2.2 Самозащита ФБО
  3. Cпособ представления морфологической информации
  4. D. Защита права собственности
  5. FPR_UNO.3 Скрытность без запроса информации
  6. I. Перехват информации
  7. I. Понятие об информационных системах
  8. II. Обоснование исходной геолого – промысловой информации.
  9. IX. ФИНАНСИРОВАНИЕ МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ
  10. V Съемные носители информации
  11. XXXVIII. 5. Защита прав на товарный знак и наименование места происхождения товара правоприменительными (юрисдикционными) органами
  12. А. Защита интересов клиента.

Развитие современных информационных технологий сопровождается ростом числа компьютерных преступлений, связанных с хищениями информации; в ряде случаев такие преступления влекут за собой крупные материальные потери. Как указывается в соответствующих исследованиях, около 58% опрошенных пострадали от компьютерных взломов в течение года. Примерно 18% опрошенных из этого числа заявляют, что потеряли более миллиона долларов, более 66% потерпели убытки в размере 50 тыс. долларов. Почти четверть из общего числа «атак» были нацелены на промышленные секреты или документы, представляющие интерес для конкурентов атакуемых фирм, т. е. находились в сфере промышленного шпионажа.

Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 Г. № 24-ФЗ (с изменениями от 10.01. 2003 г.) определяет информационные ресурсы как отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются объектами отношений физических, юридических лиц, государства, составляют информационные ресурсы России и защищаются законом наряду с другими ресурсами. Этот же закон определяет, что собственник информационных ресурсов имеет право устанавливать в пределах своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним, а также определять условия распоряжения документами при их копировании и распространении.

Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или сведений с ограниченным доступом. Федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон «О банках и банковской деятельности в РФ» ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков.

Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это, в частности, относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ:

—соответствующая информация неизвестна третьим лицам;

—к ней нет свободного доступа на законном основании;

—меры по обеспечению ее конфиденциальности принимает собственник информации.

В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Исходить можно только из принципа экономической выгоды и безопасности предприятия. Законом «О коммерческой тайне» права по отнесению информации к категории коммерческой тайны предоставлены руководителю юридического лица.

Федеральный закон «Об информации, информатизации и защите информации» устанавливает также цели защиты информации:

—предотвращение утечки, хищения, искажения, подделки информации;

—предотвращение несанкционированного уничтожения и блокирования информации;

—сохранение государственной тайны, конфиденциальности документированной информации.

Для поддержания режима информационной безопасности особенно важны аппаратно-программные меры, поскольку основная угроза компьютерным системам исходит от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.).

Дата добавления: 2014-01-11 ; Просмотров: 274 ; Нарушение авторских прав? ;

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

Реферат: Методические рекомендации по изучению дисциплины «защита информации в компьютерных ситемах»

Название: Методические рекомендации по изучению дисциплины «защита информации в компьютерных ситемах»
Раздел: Остальные рефераты
Тип: реферат Добавлен 15:52:05 16 марта 2012 Похожие работы
Просмотров: 32 Комментариев: 11 Оценило: 0 человек Средний балл: 0 Оценка: неизвестно Скачать

Титульный лист методических рекомендаций

Ф СО ПГУ 7.18.3/40

Министерство образования и науки Республики Казахстан

Павлодарский государственный университет имени С. Торайгырова

Кафедра учета и аудита

ПО ИЗУЧЕНИЮ ДИСЦИПЛИНЫ

« ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИТЕМАХ »

Лист утверждения к методическим рекомендациям и указаниям

Ф СО ПГУ 7.18.3/34

Проректор по УР

Составители: ст. преподаватель Богданова Е.А. _________________

Кафедра учета и аудита

по изучению дисциплины «Защита информации в компьютерных системах»

для студентов специальности 5В050700 «Менеджмент»

Рекомендованы на заседании кафедры «____»____________20___г.

Заведующий кафедрой УиА________________ А.Ж. Мусина

Одобрены УМС финансово-экономического факультета «___»__________20__г. Протокол №_____

Председатель УМС ____________ А.Б. Темиргалиева «___»_______20___г.

Декан ФЭФ _______________________ Т.Я. Эрназаров «___»_______20___г.

Начальник ОПиМОУП __________________ А.А. Варакута «___»______20___г.

Одобрена учебно-методическим советом университета

«___»___________20___г. Протокол №_____

Зав. кафедрой ЭиМ_____________________ С.К. Кунязова

Цель и содержание курса. Предмет защиты. Информация как предмет права собственности. Информация как коммерческая тайна. Программные средства как продукция Виды программных продуктов. Понятия информационной безопасности. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности.

Вопросы для самоконтроля;

— Виды программных продуктов?

— Понятия информационной безопасности?

— Основные составляющие информационной безопасности?

— Важность и сложность проблемы информационной безопасности?

Тема 2. Законодательные аспекты защиты информации

Основные понятия. Безопасность информационных ресурсов. Документирование информации.

Вопросы для самоконтроля:

— Основные понятия информационной безопасности?

— Методы обеспечения безопасности информационных ресурсов?

Государственные информационные ресурсы. Информация о гражданах. Законы о защите информации РК.

Вопросы для самоконтроля:

— Государственные информационные ресурсы?

— Информация о гражданах?

— Законы о защите информации РК?

Тема 3. Объекты защиты информации

Классификация объектов защиты информации. Виды угроз деятельности объектов. Потенциальные угрозы безопасности информации в ИС. Случайные угрозы. Преднамеренные угрозы. Персональные ЭВМ как объект защиты информации. ЛВС как объект защиты информации.

Вопросы для самоконтроля:

— Объекты защиты информации?

— Потенциальные угрозы безопасности?

— Что относится к случайным угрозам?

— Что относится к преднамеренным угрозам?

Основные определения и критерии классификации угроз. Наиболее распространенные угрозы доступности, примеры угроз доступности. Вредоносное программное обеспечение. Основные угрозы целостности и конфиденциальности.

Вопросы для самоконтроля:

Основные определения угрозы?

Классификационные критерии угроз?

Наиболее распространенные угрозы доступности, примеры?

Вредоносное программное обеспечение?

Основные угрозы целостности и конфиденциальности?

Тема 4. Обзор методов защиты

Организационные мероприятия по защите информации. Средства собственной защиты. Средства защиты в составе вычислительной системы. Средства активной защиты. Средства пассивной защиты. Защита программного обеспечения в компьютерных системах.

Вопросы для самоконтроля:

— Средства собственной защиты?

— Средства защиты в составе вычислительной системы?

— Средства активной защиты?

— Средства пассивной защиты?

Биометрическая защита информации. Адресация сети и архитектура. Управление доступом сети, пароли, средства управления удаленным доступом. Телекоммуникации и удаленный доступ.

Вопросы для самоконтроля:

— В чем состоит биометрическая защита информации?

— Организация адресации сети и виды архитектур?

— Методы управление доступом сети, пароли, средства управления удаленным доступом?

Тема 5. Технические устройства защиты

Требования к средствам защиты. Электронные устройства защиты. Оптические устройства защиты.

Вопросы для самоконтроля:

— Какие требования к средствам защиты?

— Какие существуют электронные устройства защиты?

— Принцип действия оптических устройства защиты?

Смарт-карты и их возможности. Методы и средства защиты от аварийных ситуаций.

Вопросы для самоконтроля?

— Разновидности Смарт-карты и их возможности?

— Методы и средства защиты от аварийных ситуаций?

Тема 6. Криптографические методы защиты информации

Терминология. Требования к криптографическим системам. Классификация криптографических методов Подстановки и перестановки. Сжатие информации.

Вопросы для самоконтроля:

— Какие требования к криптографическим системам предъявляются?

— Принципы классификации криптографических методов?

— Принципы методов подстановки и перестановки?

— Сущность сжатия и нформации?


Управление криптографией. Эксплуатация криптографических систем и обработки зашифрованных данных. Генерирование ключей. Управление ключами.

Вопросы для самоконтроля:

— Методы управления криптографией?

— Как осуществляется эксплуатация криптографических систем и обработка зашифрованных данных?

— Методы генерирования ключей?

— Способы управления ключами?

Тема 7. Защита информации в глобальной сети Internet

Технология работы в глобальных сетях Solstice Fire Walll. Ограничение доступа в WWW-серверах. Информационная безопасность в Internet. Защита Web серверов. Аутентификация в открытых сетях. Виртуальные частные сети. Административные обязанности, обязанности пользователей.

Вопросы для самоконтроля:

— Как осуществляется ограничение доступа в WWW-серверах?

— В чем заключается информационная безопасность в Internet?

— Способы защиты Web серверов?

— Что означает аутентификация в открытых сетях?

— Чем представлены виртуальные частные сети?

— Какие административные обязанности, обязанности пользователей вы знаета?

Правила работы в WWW. Виртуальные частные сети, экстрасети, внутренние сети и другие туннели. Модемы и прочие лазейки. Применение PKI и других средств контроля. Электронная торговля.

Вопросы для самоконтроля:

— Какие виртуальные частные сети вы, экстрасети, внутренние сети и другие туннели вы знаете?

— Как применяются PKI и других средств контроля?

— Принцип электронной торговли?

Тема 8. Системы охранной сигнализации на территории и в помещениях объекта защиты информации

Требования к системам охранной сигнализации. Наружные системы охраны. Ультразвуковые системы. Системы прерывания луча. Телевизионные системы. Радиолокационные системы. Микроволновые системы

Вопросы для самоконтроля:

— Какие требования к системам охранной сигнализации?

— Какие системы охраны вы знаете?

Тема 9. Компьютерные вирусы и средства защиты от них

Компьютерные вирусы и их виды. Зараженные файлы Краткое разделение компьютерных вирусов. Современные антивирусные программы.

Вопросы для самоконтроля:

— Виды компьютерных вирусов?

— Классификация компьютерных вирусов?

— Современные антивирусные программы?

— Методы работы антивирусных программ?

Список рекомендуемой литературы

1 Основы информационной безопасности / Галатенко В. А. под ред. члена-корреспондента РАН В. Б. Бетелина / М. : ИНТУИТ.РУ «Интернет-Университет информационных технологий», 2005. – 280 с.

2 Бармен, Скотт. Разработка правил информационной безопасности.: пер. с англ. – М. : Издательский дом «Вильямс», 2008. – 208 с.

3 Анин Б. Защита компьютерной информации. – СПб. : БХВ – Санкт-Петербург, 2009.

4 Батурин Ю. М. Проблемы компьютерного права. – М. : Юридическая литература, 2007

5 Герасименко В. А. Защита информации в автоматизированных системах обработки данных. – М. : Энергоатомиздат, 2005

6 Защита информации в персональных ЭВМ / А. В. Спесивцев и др. – М. : Радио связь – Веста, 2009

7 Иванов М. Криптографические методы защиты информации в компьютерных системах и сетях. М. : КУДИЦ – ОБРАЗ, 2008

8 Корнеев И., Степанов Е. Информационная безопасность и защита информации. М. : Инфра – М, 2010

9 Магауенов Р. Основные задачи и способы обеспечения безопасности АСОИ, М. : ИДМБ, 2008

10 Ярочкин В. Безопасность информационных систем. М.: Ось, 2005

Вопросы по курсу «Защита информации в компьютерных системах»

для студентов 5 курса очной формы обучения специальность 350800 ДОКУМЕНТОВЕДЕНИЕ И ДОКУМЕНТАЦИОННОЕ

ОБЕСПЕЧЕНИЕ УПРАВЛЕНИЯ

Обсуждено на заседании кафедры Составитель:

филологических основ издательского КТН, доцент А.А. Филонов дела и документоведения _ «_» 2007 г. Протокол № Зав. кафедрой В.А. Редькин Тверь,

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

Курс входит в блок специальных дисциплин учебного плана по специальности 350800 – «Документоведение и документационное обеспечение управления» и в совокупности с другими дисциплинами этого цикла готовит выпускника к решению сложных вопросов информационно-документационного обеспечения функционирования организационных структур, принятия эффективных управленческих решений, в том числе в области обработки, хранения и использования информационных ресурсов ограниченного доступа.

Цель курса — изучение комплекса проблем информационной безопасности предпринимательских структур различных типов и направлений деятельности, построения, функционировании и совершенствования правовых, организационных, технических и технологических процессов, обеспечивающих информационную безопасность и формирующих структуру системы зашиты ценной и конфиденциальной информации в сферах охраны интеллектуальной собственности предпринимателей и сохранности их информационных ресурсов.

Задачи курса — овладение теоретическими, практическими и методическими вопросами обеспечения информационной безопасности и освоение системных комплексных методов защиты предпринимательской информации от различных видов объективных и субъективных угроз в процессе ее возникновения, обработки, использования и хранения. Изучаемые вопросы рассматриваются в широком диапазоне современных проблем и затрагивают предметные сферы защиты как документированной информации (на бумажных и технических носителях), циркулирующей в традиционном или электронном документообороте, находящейся в компьютерных системах, так и недокументированной информации, распространяемой персоналом в процессе управленческой (деловой) или производственной деятельности.

Курс тесно связан с правовыми, документоведческими дисциплинами, базируется на предварительном усвоении студентами основных теоретических положений таких учебных курсов, как «Информационные системы» и «Информационное обеспечение управления».

В результате изучения курса студенты должны:

знать • сущность, цели и принципы экономической безопасности предпринимательской деятельности, направления их практической реализации;

• концепцию информационной безопасности, конституционные и зако нодательные основы ее реализации;

• информационно-правовые аспекты безопасности информационных ресурсов, основные проблемы информационного права, информационноправовых отношений, принципы и способы охраны интеллектуальной собственности;

• задачи информационной безопасности, основные тенденции и направления формирования и функционирования комплексной системы защиты информации в различных типах предпринимательских структур;

• направления и методы обеспечения безопасности информационных ресурсов, ведения аналитической работы по выявлению угроз несанкционированного доступа к информации, ее утраты;

• функциональные возможности и предпосылки эффективного использования различных типов технологических систем и способов обработки и хранения традиционных и электронных конфиденциальных документов;

• направления и методы работы с персоналом, обладающим конфиденциальной информацией; методику изучения профессиональных, деловых, личных и моральных качеств претендентов на должности; методику обучения, инструктирования сотрудников;

• разрешительную систему доступа, критерии и способы доступа персонала к тайне фирмы, информационным системам;

• методы охраны зданий, помещений, оборудования, документации и персонала в обычных и экстремальных ситуациях, проведения охранных мероприятий в том числе с использованием соответствующих технических средств;

• методику защиты информации при проведении основных деловых мероприятий (переговоры, прием посетителей), в рекламной и выставочной деятельности, работе кадровой службы и др.;

• порядок оборудования помещений, выделенных для работы с конфиденциальной информацией, аттестации помещений;

• направления и методы защиты вычислительной, организационной техники и сетей, средств связи от технических средств промышленного шпионажа;

• основные направления и методы получения ценной информации поиска или формирования организационных и технических каналов;

• организационно-правовое обеспечение функционирования и совершенствование систем защиты информации, служб безопасности, конфиденциальной документации и персонала.

Основные проблемы курса раскрываются в лекциях. В соответствии с учебным планом курс «Информационная безопасность и защита информации» читается студентам всех форм обучения, обучающимся по специальности 350800 – «Документоведение и документационное обеспечение управления».

Практические занятия предназначены для приобретения и закрепления студентом индивидуальных практических навыков.

Формы контроля знаний студентов: экзамен.

УЧЕБНАЯ ПРОГРАММА

РАЗДЕЛ 1. ПРОБЛЕМНАЯ СФЕРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

И ЗАЩИТЫ ИНФОРМАЦИИ

Тема 1.1. Основы информационной безопасности и защиты информации Информационное общество, информационная сфера. Определение и эволюция термина «информационная безопасность». Цели, задачи, направления исследования и практической реализации информационной безопасности. Основные угрозы жизненно важным интересам личности, общества, государства, предпринимательства в информационной сфере. Место, цели и задачи информационной безопасности в бизнесе. Информационная безопасность и компьютеризация информационной среды. Правовые механизмы защиты в нормах законов, регулирующих отношения по поводу создания и распространения информации. Правовые механизмы защиты в нормах законов, регулирующих отношения в области формирования информационных ресурсов, продуктов и услуг. Правовые механизмы защиты в нормах законов, регулирующих отношения по поводу права на потребление информации. Правовые механизмы защиты в нормах законов, регулирующих отношения в области создания и применения информационных систем, Информационных технологий и средств их обеспечения. Соотношение понятий информационной безопасности и безопасности информации. Взаимосвязь понятий информационной безопасности и защиты информации. Концепция защиты информации.

Понятие и цели зашиты информации, формирование и эволюция понятия.

Тема 1.2. Понятие ценных информационных ресурсов Понятие информационных ресурсов. Информационные ресурсы и информационные системы. Информационные ресурсы информационная безопасность.

Правовой режим информационных ресурсов. Информационно-правовые отношения. Документирование информации как обязательное условие включения информации в информационные ресурсы. Правовое двуединство документированных информационных ресурсов. Понятие ценной (собственной) предпринимательской информации. Ценность и полезность информации. Критерии ценности информационных ресурсов. Правовые и экономические предпосылки выделения ценной информации. Взаимосвязь критериев ценности и необходимости обеспечения безопасности информации. Понятие уязвимости информации. Типовые классификационные группы ценной предпринимательской информации. Информационные ресурсы государственные и негосударственные. Классификация информационных продуктов и услуг. Информационные ресурсы открытые и ресурсы ограниченного доступа и использования.

Тема 1.3. Правовая форма охраны открытых информационных ресурсов Информационный характер интеллектуальной и материальной собственности предпринимателя. Охрана результатов творческой деятельности. Объекты интеллектуальной собственности. Промышленная собственность. Промышленные образцы. Информация о происхождения товара. Собственность на результаты творческого труда. Российский и зарубежный опыт охраны интеллектуальной собственности. Международные правовые акты. Реализация интеллектуальной собственности на документированную информацию. Характеристика норм патентного права. Характеристика норм авторского нрава и смежных нрав. Торговый знак, знак обслуживания, торговая марка, фирменное наименование, эмблема предприятия. Страхование ценной информации. Законодательные акты, охраняющие вещную собственность на документированную информацию.

Тема 1.4. Формы и защиты информационных ресурсов ограниченного доступа Понятие тайны: государственная и негосударственная. Классификация видов негосударственной тайны. Предпринимательская (коммерческая) тайна как форма защиты ценной деловой и производственной предпринимательской информации.

Производственная тайна. Служебная тайна. Профессиональная тайна. Банковская тайна. Тайны личная и семейная. Понятия — «фирменные секреты», «технологические секреты (ноу-хау)», «научные секреты (ноу-ноу)». Документированная информация (документы) секретная и несекретная. Понятие конфиденциальности как определение сферы несекретной информации ограниченного доступа. Сущность термина, особенности и условия применения, дискуссионность. Правовые и технологические аспекты присвоения информации категории конфиденциальной.

Конфиденциальная информация и ее виды. Персональные данные. Ограничения на отнесение информации к категории конфиденциальной. Понятие конфиденциального документа, его особенности. Общая классификация конфиденциальных документов. Сроки (период) конфиденциальности. Деление документов на документы кратковременного и долговременного периода конфиденциальности. Конфиденциальность информации в вычислительных системах и сетях.

Тема 1.5. Источники конфиденциальной информации и каналы ее утраты Понятие и классификация источников конфиденциальной информации. Характеристика каждого источника. Классификация каналов объективного распространения конфиденциальной информации. Характеристика каждого канала. Уязвимость информации. Интерес к информации как предпосылка возникновения угрозы. Понятие угрозы (опасности) информации, виды угроз. Риск угрозы и механизм реализации угрозы. Понятие несанкционированного канала утраты конфиденциальной информации. Случайные и преднамеренные условия возникновения этого канала. Поиск или формирована, такого канала злоумышленником. Последствия образования канала несанкционированного доступа к информации: утрата носителя и конфиденциальности информации, разрушение информации, ее кража, модификация, подмена, фальсификация и др. Понятия разглашения и утечки информации, их отличие. Классификация организационных каналов разглашения (оглашения утраты) конфиденциальной информации. Характеристика каждого канала. Классификация технических каналов утечки конфиденциальной информации. Характеристика каждого канала. Комплексность использования организационных и технических каналов. Особенности структуры каналов распространения информации в компьютерах, локальных сетях, оргтехнике и средствах святи.

РАЗДЕЛ 2. КОНЦЕПТУАЛЬНАЯ СФЕРА ПРИКЛАДНЫХ ПРОБЛЕМ

Тема 2.1. Аналитическая работа при обеспечении информационной безопасности Понятие аналитической работы, ее цели и задачи. Аналитическая работа по выявлению каналов несанкционированного доступа к информации. Аналитическая работа с источником конфиденциальной информации. Аналитическая работа с источником угрозы конфиденциальной информации. Аналитическая работа с каналом объективного распространения информации. Стадии аналитической работы. Порядок и методика сбора исходных сведений, их анализа и оценки. Экспертные системы. Результаты аналитической работы как основа формирования системы защиты информации и ее совершенствования.

Тема 2.2. Назначение, принципы и структура системы защиты информации Понятие, цели и задачи системы зашиты конфиденциальной информации.

Принципы построения системы, ее технологичность, иерархичность и факторы эффективности. Принцип разграничения доступа. Принцип регламентации состава защищаемой информации. Принцип персональной ответственности. Принцип коллегиальности контроля. Принципы надежности и превентивности. Принцип эволюции структуры системы в условиях реальных угроз информации. Обязательная совокупность простейших (несистемных) методов и средств защиты конфиденциальной предпринимательской информации. Преимущества и недостатки.

Компьютерные технологии и формирование основ системы защиты информации.

Место системы в обеспечении безопасности информации в компьютерах, вычислительных системах и сетях. Комплексность системы защиты. Структура комплексной системы защиты информации (КСЗИ). Содержание элемента правовой зашиты информации. Содержание элемента организационной защиты информации. Содержание элемента инженерно-технической защиты информации и технических средств охраны. Содержание элемента программно-аппаратной защиты информации. Содержание элемента криптографической защиты информации.

Тема 2.3. Разработка и ведение перечня сведений, составляющих предпринимательскую тайну Цели и задачи перечня сведений, составляющих предпринимательскую тайну.

Состав сведений, которые не могут быть тайной. Место перечня в системе защиты информации. Классификация ценной информации в предпринимательских структурах различного типа. Принципы определения состава ценных сведений, подлежащих защите в конкретной фирме. Перечни инвентарные и матричные. Структура перечней различных типов. Перечни списочные и проблемноориентированные. Организационные формы составления и ведения перечней. Содержание процедуры разработки перечня. Существующие методики сбора, анализа и обобщения сведений. Место маркетингового исследования в процедуре разработки перечня. Разграничение уровня конфиденциальности сведений, определение срока конфиденциальности, регламентация места документирования, использования и хранения, состава сотрудников, которым эти сведения необходимы для работы. Содержание процедуры ведения перечня. Организация постоянной актуализации и конкретизации перечня, контроль состава сведений, включенных в перечень. Ведение перечня на ЭВМ.

Тема 2.4. Доступ персонала к конфиденциальным сведениям, документам и базам данных Цели и задачи разрешительной (разграничительной) системы доступа Персонала и иных лиц к конфиденциальным сведениям, документам, базам данных и продукции. Структура разрешительной системы и ее связь с требованиями деловой целесообразности и персональной ответственности руководителей и сотрудников за сохранность тайны фирмы. Оформление решения о допуске сотрудника к конфиденциальным сведениям фирмы Ответственность должностного лица за выданное разрешение. Понятие доступа. Иерархичность процедуры доступа.

Принципы разграничения выдачи разрешения на доступ и непосредственного доступа к информации. Методы расчленения (дробления) ценных сведений. Критерии доступа. Форму письменной индивидуальной регламентации разрешения на доступ — резолюции, перечни, списки, матрицы, схемы и т. п. Обязанности руководителей. Регистрация (протоколирование) фактов доступа. Несанкционированный доступ. Порядок доступа к конфиденциальным сведениям представителей других фирм и служащих государственных учреждений. Контроль за доступом.

РАЗДЕЛ 3. ПРЕДМЕТНАЯ СФЕРА ПРИКЛАДНЫХ ПРОБЛЕМ

Тема 3.1. Защищенный документооборот Виды угроз традиционным и электронным документопотокам, задачи защиты документопотоков. Понятие, принципы, цели и задачи защищенного документооборота как совокупности документопотоков. Критерии безопасности документооборота. Основные требования к защищенному документообороту. Взаимосвязь персональной избирательности в доставке информации и разрешительной системы доступа. Особенности защищенного безбумажного (электронного) документооборота. Типовая структура технологических стадий входного, выходного и внутреннего потоков конфиденциальных документов. Принципиальная взаимосвязь документопотока и применяемой’ технологической системы обработки и хранения документов.

Тема 3.2. Технологические системы обработки и хранения конфиденциальных документов Виды угроз документированной информации, исходящие от технологической системы. Задачи защиты информации, решаемые технологической системой. Место и назначение технологической системы обработки и хранения конфиденциальных документов в системе защиты информации и защищенном документообороте. Организационные и технологические требования к обработке и хранению конфиденциальных документов. Единств научных и методических основ обработки и хранения открытых и конфиденциальных документов. Преимущества и недостатки традиционной (ручной, делопроизводственной) технологической системы. Принципиальные особенности автоматизированной технологической системы обработки конфиденциальных документов. Системы на единичном компьютере. Возможности создания различных типов АСОД для конфиденциальных документов безбумажного (электронного) документооборота на базе локальных сетей..

Тема 3.3. Учет конфиденциальных документов и формирование справочно-информационного банка данный по документам Угрозы документам в процессе учета, способы их защиты. Цели и задачи учета конфиденциальных документов и носителей конфиденциальной информации, специфические принципы учета. Виды учета, их место в технологической системе обработки и хранения конфиденциальных документов. Информационная взаимосвязь отдельных видов учета. Состав процедур традиционного учета документов.

Функции и структура традиционного справочно-информационного банка данных по документам (журналов учета, контрольных журналов, картотек). Состав процедур автоматизированного учета бумажных и электронных конфиденциальных документов. Функции автоматизированного справочно-информационного банка данных по документам. Назначение страховой учетной картотеки. Правила применения электронной подписи за получение документа. Назначение и процедуры учета поступивших конвертов, пакетов. Назначение и процедуры учета поступивших конфиденциальных документов. Назначение и процедуры учета подготовленных конфиденциальных документов. Инвентарный учет конфиденциальных документов. Учет носителей конфиденциальной информации. законченных производством дел, содержащих конфиденциальные документы, учет картотек и журналов учета документов.

Тема 3.4. Документирование конфиденциальной информации Угрозы информации при документировании и задачи ее защиты. Принципы документирования конфиденциальной информации. Критерии отнесения документов к категории конфиденциальных. Перечень конфиденциальных документов, содержащих сведения, представляют, предпринимательскую тайну. Назначение, составление и ведение перечня.

Тема 3.5. Формирование конфиденциальных документов в дела, хранение дел и передача их в архив. Уничтожение документов, дел и носителей информации Угрозы документам в процессе формирования их в дела и хранения, задачи защиты документов. Особенности процедур составления, веления и закрытия номенклатуры дел. Состав процедур формирования дел Особенности оформления дела при его заведении и формировании. Правила формирования и хранения дел с конфиденциальными документами. Особенности оформления дела при его закрытии. Назначение и задачи учета законченных производством дел, картотек и журналов. Особенности экспертизы ценности конфиденциальных документов и процедуры составления описи дел, передаваемых в архив фирмы. Порядок хранения дел в службе конфиденциальной документации и архиве фирмы (ведомственном архиве). Классификация и учет архивных дел, научно-справочный аппарат, организация использования документов и дел. Угрозы документам в процессе уничтожения в задачи защиты документов. Процедура составления акта на уничтожение конфиденциальных документов и дел. Состав документов, проектов документов, других материалов и носителей информации, уничтожаемых без акта. Процедура физического уничтожения документов и ее документирование.

Тема 3.6. Порядок проведения совещаний и переговоров по конфиденциальным вопросам, приема посетителей Угрозы безопасности информации и задачи ее защиты в процессе ведения совещаний и переговоров, приеме посетителей. Общие требования к отбору информации для оглашения, порядок и методы отбора. Виды совещаний и переговоров.

Правила подготовки и проведения совещаний и переговоров. Документирование информации, оформление стенограмм, протоколов и итоговых документов. Порядок использования аудио- и видеозаписи. Инженерно-технические требования к помещениям, их охране. Порядок лицензирования помещений. Обязанности участников совещаний, переговоров и лиц, ответственных за их проведение. Классификация посетителей. Правила работы с посетителями различных классификационных групп. Обязанности лиц, ответственных за прием посетителей. Методы контроля поведения посетителей. Требования к помещениям для приема посетителей.

Тема 3.7. Основы защиты информации в компьютерах, локальных сетях и средствах связи Угрозы безопасности информации и задачи ее защиты в процессе работы персонала с офисным оборудованием. Состав действующих руководящих и инструктивных документов по защите информации в компьютерах, локальных сетях и средствах связи. Организационные меры защиты. Методы разграничения доступа к техническим средствам и базам данных. Простейшие методы защиты. Лицензирование помещений. Сертификация оборудования и средств защиты. Организационно-технические меры защиты. Технические средства пассивной и активной защиты. Программные продукты защиты информационных ресурсов. Криптографическая зашита информации. Защите информации в Интернете.

РАБОЧАЯ УЧЕБНАЯ ПРОГРАММА

защиты информации формационных ресурсов сурсов ограниченного доступа ции и каналы ее утраты информационной безопасности темы защиты информации составляющих предпринимательскую тайну сведениям, документам и базам данных хранения конфиденциальных документов формирование справочно-информационного банка данный по документам информации ментов в дела, хранение дел и передача их в архив. Уничтожение документов, дел и носителей информации воров по конфиденциальным вопросам, приема посетителей терах, локальных сетях и средствах связи

ПЛАНЫ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ПОДГОТОВКЕ

Разбор ошибок — коллективный или индивидуальный.

Занятие может проводиться в форме собеседования преподавателя со студентами по вопросам темы.

Студенты готовятся к практическим занятиям в период времени отведенного на самостоятельную работу.

Студенты, пропустившие по какой-либо причине практическое занятие обязаны его отработать в порядке указанном преподавателем.

1. Законодательство об интеллектуальной собственности.

Рассматриваются вопросы (доклады) :

понятие и виды интеллектуальной собственности;

законодательство об авторском праве;

законодательство о смежных правах;

объекты патентного законодательства;

законодательство о «ноу-хау»;


международные правовые акты;

товарные знаки и знаки обслуживания;

информация о происхождении товара;

зарубежный опыт охраны интеллектуальной собственности.

2. Законодательство об информационной безопасности.

Рассматриваются вопросы (доклады) :

правовые аспекты информационной безопасности;

законодательство о безопасности и защите информации;

правовые методы защиты в нормативных актах других отраслей законодательства;

законодательство о защите государственной тайны;

законодательство о защите коммерческой тайны и других негосударственных видов тайны;

законодательство о защите персональных данных.

3. Аналитическая работа как основа формирования системы защиты информации.

Рассматриваются вопросы (доклады) :

цель и общие задачи аналитической работы в сфере защиты информации;

источники, угрозы, каналы распространения и утраты конфиденциальной информации;

задачи аналитической работы по выявлению угроз и каналов утраты конфиденциальной информации;

критерии целесообразности защиты информации;

направления использования результатов аналитической работы для формирования системы защиты информации.

4. Разработка и ведение перечня сведений, составляющих предпринимательскую тайну.

Рассматриваются вопросы (доклады) :

цель, задачи и направления классификации информационных ресурсов в предпринимательской сфере;

критерии ценности, полезности и конфиденциальности информации;

содержание процедуры разработки перечня ценных и конфиденциальных сведений;

содержание процедуры ведения перечня ценных и конфиденциальных назначение и содержание перечня конфиденциальных документов 5. Состав нормативно-методических материалов по регламентации системы защиты информации.

Рассматриваются вопросы (доклады) :

организационные документы системы защиты информации;

технологические документы системы защиты информации;

регламентация системы защиты информации для условий экстремальных ситуаций;

рекомендательные методические указания, правила, памятки и другие 6. Организация работы с персоналом, обладающим конфиденциальной информацией.

Рассматриваются вопросы (доклады) :

классификация направлений работы с персоналом, обладающим конфиденциальной информацией;

принципы, организационные формы и методика обучения и инструктирования сотрудников;

принципы и направления воспитательной работы с персоналом;

порядок проведения служебного расследования по фактам нарушения безопасности информации.

7. Порядок проведения совещаний и переговоров по конфиденциальным вопросам, прима посетителей.

Рассматриваются вопросы (доклады) :

классификация угроз информации при проведении совещаний, переговоров и приеме посетителей;

порядок подготовки и проведения совещаний и переговоров;

классификация посетителей, порядок работы с посетителями различных классификационных групп;

порядок контроля поведения посетителей на всех стадиях работы с 8. Основы защиты информации в компьютерах, локальных сетях и средствах связи.

Рассматриваются вопросы (доклады) :

угрозы безопасности информации в компьютерах, сетях и линиях анализ действующих руководящих и инструктивных документов в организационные методы защиты;

технические и программно-аппаратные методы защиты.

криптографическая защита информации.

9. Проблемы обработки конфиденциальных документов.

Рассматриваются вопросы (доклады) :

Традиционная и автоматизированная системы Проверка наличия документов.

Работа с конфиденциальными документами.

СПИСОК ЛИТЕРАТУРЫ

1. Конституция Российской Федерации // Российская газета. 1993. 25 дек.

2. Закон Российской Федерации «О конкуренции и ограничении монополистической деятельности на товарных рынках» от 22.03.91 с изменениями и дополнениями от 21.04.95.

3. Закон Российской Федерации «О безопасности» от 05.03.92 // Ведомости съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации. — 1992. № 15. ст. 769.

4. Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 // Ведомости СНД РФ и ВС РФ. 1992. № 42. Ст.2325.

5. Закон Российской Федерации «О товарных знаках, знаках обслуживания и наименованиях мест происхождения товаров» // Ведомости СНД РФ и ВС РФ. 1992. № 42. Ст.2322.

6. Закон Российской Федерации «О частной детективной и охранной деятельности в Российской Федерации» от 11.03.92.

7. Патентный Закон Российской Федерации от 13.09.92 // Ведомости СНД РФ и ВС РФ. 1992. № 42. Ст. 2319.

8. Закон Российской Федерации «Об авторском праве и смежных правах»

от 09.06.93 (в ред. от 19.07.95) // Собрание законодательства Российской Федерации, 1995. № 30. Ст. 2866.

9. Закон Российской Федерации «Об оперативно-розыскной деятельности»

от 05.07.95 // Собрание законодательства Российской Федерации. 1995.

10. Закон Российской Федерации «О государственной тайне» от 21.07.93 с изменениями и дополнениями от 06.10.97 // Собрание законодательства Российской Федерации. 1997. № 41. Ст.4673..

11. Закон Российской Федерации «Об информации, информатизации и защите информации» от 25.01.95. // Собрание законодательства Российской Федерации. 1995. № 8. Ст.609.

12. Гражданский кодекс Российской Федерации от 24.05.96 // Собрание законодательства Российской Федерации. — 1996. — № 25. — ст. 155.

13. Уголовный кодекс Российской Федерации от 24.05.96 // Собрание законодательства Российской Федерации. 1996. № 25. Ст. 155.

14. Указ Президента Российской Федерации от 10.01.2000 № 24 «О Концепции национальной безопасности Российской Федерации». // Собрание законодательства Российской Федерации. 2000. № 2. Ст.170.

15. Указ Президента Российской Федерации « Об утверждении перечня сведений конфиденциального характера» от 06.03.97 № 188 // Собрание законодательства Российской Федерации. 1997. № 10. Ст. 4775.

16. Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» от 24.01.98 № 61 // Собрание законодательства Российской Федерации. 1998. № 5. Ст. 561.

17. Постановление Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» от 05.12.91 № 35 // Собрание постановлений Правительства. 1991. № 3.

18. Постановление Правительства Российской Федерации «Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности» от 04.09.95 № 870 // Собрание законодательства Российской Федерации. 1995. № 37. Ст. 3619.

19. Постановление Правительства РФ «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» от 15.04.95 № 333.

20. Положение «О сертификации средств защиты информации» // Утверждено постановлением Правительства РФ от 26.07.95.

21. ГОСТ Р 50922-96 Защита информации. Основные термины и определения. — М., Изд. стандартов. 1996.

22. Основные правила работы ведомственных архивов. — М.: Главархив СССР, 1988.

1. Агапов А В Основы федерального информационного права России. М., 2. Андрианов В И и др. «Шпионские штучки» и устройства для зашиты объектов и информации: Справочное пособие СПб. 3. Андрианов В И. Соколов А В «Шпионские штучки-2», или Как сберечь свои секреты СПб., 1997.

4. Белов В. В., Виталиев Г В., Денисов.ГМ Интеллектуальная собственность:

Законодательство и практика его применения Учеб. пособие. М,. 1997.

5. Бержье Ж. Промышленный шпионаж на службе монополий М., 1986.

6. Герасименко В. А. Зашита информации в автоматизированных системах обработки данных. М, 7. Герасименко В. А., Гришаев С II. Павлов Л Я- и др Основы защиты коммерческой информации и интеллектуальной собственности. М., 1. Киселев А.Е., Чаплыгин В. М., Шейкин М. С. Коммерческая безопасность. М., 1993.

2. Копылов В. А. Информационное право: Учеб. пособие. М., 1997. Концепция информанионной безопасности России / Под ред. Д.С. Чсрешкина. М.,1994.

3. Крысин А. В. Безопасность предпринимательской деятельности. М..

4. Левин А. В. Секрет фирмы. М., 1992.

5. Мельников В. Защита информации в компьютерных системах. М., 1997.

6. Мироничев С. Коммерческая разведка и контрразведка или промышленный шпионаж в России и методы борьбы с ними. М., 1995.

7. Организация работы с документами: Учеб. // В.А.Кудряев, И.К.Корнеев, Г.Н.Ксандопуло и др. М., 1998.

8. Практика защиты коммерческой тайны в США: Руководство по защите деловой информации. М., 1990.

9. Paссолов М. М. Информационное право: Уч еб. пособие. М., 1999.

10. Рассолов М.М. Проблемы управления и информации в области права.

11. Ронин Р. Своя разведка: Практ. пособие. Минск, 1998.

12. Степанов Е.А. Безопасность информационных ресурсов // Делопроизводство. 1998. № 2. С. 28- 13. Степанов Е. А. Изготовление, издание и обработка подготовленных конфиденциальных документов // Там же. С. 40- 14. Степанов Е. А. Организация доступа персонала к конфиденциальным документам // Секретарское дело. 1998. № 2. С. 21-29.

15. Степанов Е. А. Особенности документирования конфиденциальной информации // Там же № 3. С. 48-57. Степанов Е. А. «Кроты» на фирме (персонал и конфиденциальная информация) // Там же. 1999. № 3 С. 23Степанов Е. А. Текущая работа с персоналом, обладающим конфиденциальной информацией // Управление персоналом. 1999. № 9. С.

17. Степанов Е. А. Защита персональных данных в работе отдела кадров // Там же. 2000. № 7 С. 61-67.

18. Степанов Е. А. Защита информации при работе с посетителями // Секретарское дело. 2000. № I. С. 28-32. Степанов Е.А., Корнеев И. К. Информационная безопасность и зашита информации: Учеб. пособие М., 2011.

19. Степанов Е. А., Степанова Е.Е. Технология традиционного и автоматизированного учета конфиденциальных документов // Делопроизводство. 1998. № 1. С. 58-68.

20. Степанов Е.А. Зашита информации при работе с ЭВМ // Служба кадров.

2000 № 2.С 16- 21. Стенюков М.В. Документы: Делопроизводство: Практ. пособие по документационному обеспечению деятельности предприятия. М., 1995.

22. Торокин А. А. Основы инженерно-технической защиты информации М., 23. Халяпин Д. К., Ярочкин В. И. Основы зашиты информации: Учеб. пособие М., 1994.

24. Шиверский А.А. Защита информации: проблемы теории и практики. М., 25. Ярочкин В.И. Система безопасности фирмы. М. 1997.

26. Ярочкин В. И. Служба безопасности коммерческого предприятия: Организационные вопросы. М., 1995.

27. Батурин Ю.М. Проблемы компьютерного права. М., 1991.

28. Бержье Ж. Промышленный шпионаж. М., 1972.

29. Byс М. А., Морозов В. П. Информационно-коммерческая безопасность:

Защита коммерческой тайны. СПб., 1993.

30. Гавриш В. Практическое пособие по защите коммерческой тайны. Симферополь, 1994.

31. Гайкович В., Першин А. Безопасность электронных банковских систем. М., 1994.

32. Комментарий к Федеральному закону «Об информации, информатизации и защите информации» / Под ред. И.Л. Бачило, А.В. Волокитина, В.А.

Копылова и др. М., 1996.

33. Кураков Л.П., Смирнов С.Н. Информация как объект правовой защиты М., 1998.

34. Одинцов А.А. Служба безопасности на предприятии. М., 1995.

35. Предпринимательство и безопасность / Под ред. Ю.Б.Долгополова. М., 36. Пшенко А.В. Делопроизводство: документационное обеспечение работы офиса: Учебн. пособие, М., 2000.

37. Розенберг В. Промысловая тайна. СПб., 1910.

38. Руководство по организации защиты информации коммерческой тайны.

39. Халяпин Д.Б., Ярочкин В. И. Основы промышленной и коммерческой информации: Термины и определения. М., 1992.

40. Хоффман Л. Дж. Современные методы защиты информации: Пер. с англ.

М., 1980. Экономическая безопасность предприятия: Защита коммерческой тайны: Практ. пособие для руководителей и специалистов / Под ред. В.Н.Чаплыгина. М., 1991.

41. Экономическая разведка и контрразведка: Практ. пособие. Новосибирск, 42. Ярочкин В.И. Коммерческая информация фирмы: Утечка или pазглашение конфиденциальной информации? М., 1997.

43. Ярочкин В.И. Безопасность информационных CИСТЕM. М., 1996.


44. Ярочкин В. И., Шевцова Г. А. Словарь терминов и определений по безопасности информации. М., 1996.

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОРГАНИЗАЦИИ

САМОСТОЯТЕЛЬНОЙ РАБОТЫ

Основной теоретический материал по дисциплине излагается на лекциях. Лекционный материал тесно связан между собой. Последующая лекция будет труднодоступной, если предыдущая плохо усвоена. Поэтому для глубокого понимания курса требуется систематическая отработка лекционного материала. Рекомендуется в день, когда прочитана лекция, уделить на самоподготовку 20-25 минут для прочтения материала, обязательно с черновиком.

Самостоятельная работа студентов над учебным материалом является наиболее важным и решающим фактором качественной подготовки высококвалифицированных специалистов.

Успешное овладение дисциплиной – это, прежде всего, результат целеустремленного труда каждого обучающегося. Успех самостоятельного изучения материала во многом зависит от умения обучающегося правильно работать над текстом учебника или учебного пособия.

Цель чтения учебного пособия – изучить и знать изложенный в нем материал, уметь затем применять эти знания на практике.

Прочность и действенность знаний определяется прежде всего не столько в овладении «на память» отдельными фактами и явлениями, сколько в умении вывести те или иные закономерности, в знании методов научного исследования.

Студентам рекомендуется в конспекте лекций оставлять большие поля с тем, чтобы при самостоятельной работе вносить дополнения к лекционному материалу, изучая и анализируя тот или иной вопрос по учебному пособию (учебнику).

На лекции у каждого студента должны быть:

•·тетрадь для конспектов лекций;

•·набор цветных шариковых ручек (фломастеров).

Вопросы по курсу, требующие выработку практических навыков, выносятся на практические занятия.

Практические занятия и подготовка к ним имеют целью углубления знаний по теоретическим вопросам, рассмотренным на лекциях, изучения особенностей организационного проектирования. В процессе подготовки к занятиям студенты приобретают навыки самостоятельной работы с литературой, нормативнотехнической документацией.

При подготовке к практическим занятиям необходимо:

• достичь понимания физической сущности процессов и явлений, рассмотренных на лекции;

• исключить механическое запоминание определений, формул и их выводов. Только после полного усвоения физической сущности процессов в рассматриваемом устройстве следует изучить математический аппарат, который дает количественную оценку физических процессов.

На практических занятиях у каждого студента должны быть:

• тетрадь для конспектов лекций;

• тетрадь для групповых и практических занятий;

• учебные пособия по дисциплине;

• набор цветных шариковых ручек или (фломастеров).

Примерный перечень контрольных вопросов и заданий для 1.Дать определение информационной безопасности и охарактеризовать ее цели, задачи и структуру.

2.Определить место информационной безопасности в структуре информационного права.

3. Проанализировать современные проблемы информационной безопасности предпринимательской деятельности.

4. Описать порядок охраны информационных ресурсов открытого доступа.

5. Охарактеризовать порядок защиты информационных ресурсов ограниченного доступа.

6. Определить критерии ценности информационных ресурсов и длительности сохранения ими этой характеристики.

7. Проанализировать содержание понятия разрешительной системы доступа персонала к конфиденциальным сведениям фирмы.

8. Проанализировать состав показателей (граф и зон) перечня конфиденциальных сведений фирмы, обосновать целевое назначение показателей и их взаимосвязь.

9. Регламентировать в виде фрагмента инструкции порядок доступа персонала к электронным конфиденциальным документам фирмы.

10. Обосновать критерии выделения конфиденциальных документов из общего потока поступающих документов.

11. Обосновать целесообразность состава процедур, сопровождающих автоматизированный учет конфиденциальных документов.

12. Составить графическую схему перемещения электронной и традиционной учетной карточки конфиденциального документа.

13.Обосновать состав показателей учетной карточки (по выбору преподавателя) и правила их заполнения 14. Сравнить способы учета конфиденциальных документов, изготовленных на дискете, выявить критерии определения эффективности каждого из способов.

15. Сравнить способы учета электронных конфиденциальных документов, передаваемых по линии защищенной компьютерной связи, выявить критерии определения эффективности каждого из способов.

16. Проанализировать особенности контроля за исполнением конфиденциальных документов, его организационное и технологическое отличие от контроля открытых документов.

17. Классифицировать состав бумажных и технических носителей информации, применяемых для составления деловой (управленческой) и технической конфиденциальной документации.

18. Проанализировать особенности текста конфиденциального документа.

19. Дать графическую схему расположения специфических реквизитов формуляра конфиденциального документа, описать порядок оформления реквизитов.

20. Регламентировать в виде фрагмента инструкции порядок работы исполнителей с конфиденциальными документами.

21. Проанализировать пути использования существующих средств копирования и тиражирования документов для изготовления экземпляров и копий конфиденциальных документов.

22. Обосновать необходимость реквизитов, указываемых на лицевой и оборотной стороне пакета (конверта) с конфиденциальным документом.

23. Сформулировать возможности, трудности и направления использования электронной почты для передачи конфиденциальных документов.

24. Составить фрагмент номенклатуры дел, содержащих конфиденциальные документы.

25. Регламентировать в виде фрагмента инструкции порядок формировании в дела электронных конфиденциальных документов.

26. Проанализировать задачи защиты информации, которые должны быть решены при формировании и оформлении дел с конфиденциальными документами.

27. Проанализировать целесообразность, назначение и порядок оформления реквизитов акта об уничтожении документов и дел.

28. Классифицировать способы и средства физического уничтожения документов, изготовленных на носителях различных типов.

29. Проанализировать пути поиска документов и дел, не обнаруженных при проверке их наличия, дать рекомендации, повышающие эффективность поиска и предотвращающиe yтрату документов и дел.

30. Составить план эвакуации и охраны конфиденциальных документов и дел при возникновении угрозы экстремальной ситуации, регламентировав способы обеспечения их сохранности при упаковке и транспортировке.

31. Составить и проанализировать технологическую схему (цепочку) приема (перевода) лиц на работ, связанную с владением конфиденциальной информацией.

32. Составить и проанализировать технологическую схему (цепочку) увольнения сотрудников, владеющих конфиденциальной информацией.

33. Составить тематический план учебных занятий (инструктажей) по защите информации для различных категорий персонала фирмы.

34. Составить план подготовки совещания по конфиденциальному вопросу.

35. Составить памятку для секретаря-референта по работе с посетителями фирмы.

36. Проанализировать виды угроз безопасности конфиденциальной информации фирмы при демонстрации на выставке новой продукции.

37. Составить схему каналов возможной утраты конфиденциальной информации, находящейся в компьютере, локальной сети, проанализировать степень опасности каждого канала.

МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ВЫПОЛНЕНИЮ

Контрольные работы выполняются студентами в течение изучения курса и представляют собой, так называемый, текущий контроль знаний студентов.

Они имеют большой диапазон различных видов, что в совокупности дает основание для определения объективной итоговой оценки по дисциплине в целом.

Текущий контроль знаний студентов включает :

• устный или письменный блиц-опрос студентов по прочитанной лекции (10 мин.), ответы на вопросы для всех студентов, • контрольная работа по практическому занятию, • коллоквиум — опрос студентов индивидуальный или в виде дискуссии, собеседование по комплексу сообщаемых заранее проблем (вопросов).

Оценка по результатам практического занятия поставляется студенту, выступившему с докладом или сообщением. Оценка проставляется также студентам после отработки ими пропущенных практических занятий.

Устный или письменный блиц-опрос студентов проводится, как правило, по предыдущей прочитанной лекции. Студентам задается 5 вопросов, на которые они отвечают без использования каких-либо материалов. Работа каждого студента оценивается по шестибальной шкале (от 0 до 5).

На каждом третьем практическом занятии студентам дается письменная контрольная работа по изученным вопросам. Каждый студент получает задание (вопрос), на которое он должен письменно ответить. Работа оценивается также по шестибальной шкале.

В конце изучения дисциплины может проводиться проблемная итоговая контрольная работа, результаты которой в совокупности с другими оценками текущего контроля могут рассматриваться как письменный экзамен.

ТРЕБОВАНИЯ К РЕЙТИНГ-КОНТРОЛЮ

Рейтинг первого кон- Рейтинг второго контро- Итоговый контроль

ИТОГОВАЯ ОЦЕНКА ПО ДИСЦИПЛИНЕ

ВОПРОСЫ К ЭКЗАМЕНУ

1. Концептуальные основы информационной безопасности в современном обществе.

2. Цели и структура экономической безопасности предпринимательской деятельности.

3. Информационные ресурсы как интеллектуальная и вещная собственность.

4. Информационная безопасность, безопасность информации и защита информации.

5. Охрана информационных ресурсов открытого доступа.

6. Основные законодательные акты в области информационной безопасности.

7. Понятие тайны, секрета. Виды тайны.

8. Конфиденциальность информации, состав информации, которая не может быть отнесена к категории конфиденциальной.

9. Понятие конфиденциального документа, сроки ограничения доступа к документу.

10. Содержание служебной тайны.

11. Содержание профессиональной тайны.

12. Содержание предпринимательской (коммерческой) тайны.

13. Содержание личной и семейной тайны, персональные данные о гражданах.

14. Источники конфиденциальной информации и каналы ее объективного распространения.

15. Состав источника конфиденциальной информации — персонала фирмы.

16. Состав источника конфиденциальной информации — документации фирмы.

17. Виды угроз источникам и каналам распространения конфиденциальной информации.

18. Понятие и условия возникновения угроз конфиденциальной информации.

19. Состав основных угроз конфиденциальным традиционным и электронным документам.

20. Организационные каналы утраты конфиденциальной информации.

2l. Технические каналы утраты конфиденциальной информации.

22. Содержание аналитической работы по выявлению каналов утраты конфиденциальной информации.

23. Основные направления и методы проверки наличия документов, дел и баз данных.

24. Понятие системы защиты информации, ее место в информационной безопасности фирмы.

25. Содержание элемента правовой защиты информации.

26. Содержание элемента организационной защиты информации.

27. Содержание элементов программно-аппаратной и криптографической защиты информации.

28. Состав и содержание ценной информации фирмы, подлежащей защите.

29. Назначение, порядок разработки и ведения перечня сведений, составляющих тайну фирмы, назначение перечня конфиденциальных документов.

30. Порядок приема или перевода сотрудников на работу, связанную с владением конфиденциальной информацией.

31. Понятие, назначение и содержание разрешительной (разграничительной) системы доступа персонала фирмы к конфиденциальной информации.

32. Иерархичность доступа персонала к электронным документам.

33. Назначение и структура текущей работы с персоналом, владеющим тайной фирмы. Порядок обучения и инструктирования сотрудников.

34. Воспитательная работа с персоналом, владеющим конфиденциальной информацией.

35. Порядок увольнения сотрудников, владеющих конфиденциальной информацией.

36. Понятие и содержание защищенного документооборота. Документопотоки, характеристика стадий каждого документопотока.

37. Требования, предъявляемые к технологической системе обработки конфиденциальных документов, виды технологических систем.

38. Особенности автоматизированной технологической системы обработки конфиденциальных документов.

39. Технология обработки поступивших и отправляемых конфиденциальных документов.

40. Учет конфиденциальных документов и учетных форм, построение справочно-информационного банка данных по документам.

41. Назначение и виды учета конфиденциальных документов.

42. Особенности автоматизированного учета конфиденциальных документов.

43.Порядок работы персонала с конфиденциальными традиционными и электронными документами.

44. Оформление, формирование, учет и хранение дел с конфиденциальными документами.

45. Работа с конфиденциальными документами в ведомственном архиве.

46. Защита конфиденциальной информации фирмы при проведении совещаний и переговоров, приеме посетителей.


47. Нормативно-методическое обеспечение защиты документированной информации.

48. Состав дополнений, вносимых в организационные документы фирмы в целях построения системы защиты информации.

49. Порядок уничтожения конфиденциальных документов.

50. Порядок работы исполнителей с конфиденциальными документами.

51. Порядок изготовления, копирования и тиражирования конфиденциальных документов.

52. Особенности документирования конфиденциальной информации.

53. Информационная безопасность средств вычислительной техники и автоматизированных систем.

ГЛОССАРИЙ

ТЕМЫ РЕФЕРАТОВ

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

Реферат является важной составной частью самостоятельной учебноисследовательской работы студента и предназначен для углубленного изучения проблематики дисциплины, развития индивидуальных творческих способностей студента.

Задачами работы студента над рефератом являются :

• углубленное изучение выбранной темы;

• приобретение умения вести поиск необходимого фактического материала, его анализа и систематизации, формулирования научных выводов;

• приобретение навыков грамотного и логически доказательного изложения текста, правильности оформления работы и приложений.

Реферат представляет собой исследование по отдельной теме (вопросу) дисциплины и пишется, как правило, на основе опубликованных источников и научной литературы. Отражает одну некрупную проблему; умение вести анализ, сравнивать мнения авторов, делать выводы, иметь свою точку зрения.

Одновременно реферат может содержать анализ имеющихся в распоряжении студента нормативных, лекционных и других материалов, их творческое обобщение и систематизацию. В реферате могут использоваться материалы, полученные в период учебно-исследовательской практики, экскурсий, посещения научных конференций и семинаров. В виде реферата может оформляться доклад студента на практическом занятии. Объем реферата не менее 20 листов.

Результатом работы студента над темой реферата может быть составление определенной схемы, таблицы, графика, формулы или расчета.

Для написания реферата студентом используется время, отводимое на самостоятельную работу. Самостоятельная работа студента включает: работу в библиотеке, работу в архиве или сети Интернет, поиск необходимой информации в информационных центрах и информационных сетях учреждений, организаций и предприятий, получение консультаций у преподавателя. Результаты самостоятельной работы студентом документируются и должны быть представлены в виде картотек, записей, базы данных.

В течение недели студент должен выбрать или сформулировать интересующую его тему, согласовать ее с преподавателем. Студент имеет право предложить для разработки тему, не вошедшую в примерную тематику.

Научным руководителем студента при написании реферата является преподаватель, ведущий практические занятия по дисциплине.

Рефераты оцениваются научным руководителем с учетом правильности и полноты исследования темы, доли творческого вклада студента в раскрытие темы, стиля изложения и качества оформления работы. Научный руководитель имеет право вернуть реферат студенту для доработки. Реферат защищается студентом в процессе экзамена. Студенты, не предоставившие научному руководителю готовый реферат, к сдаче экзамена по дисциплине не допускаются.

Оценка за реферат учитывается в числе других показателей текущего контроля при определении итоговой (экзаменационной) оценки по дисциплине.

1. Информационное право и информационная безопасность.

2. Концепция информационной безопасности.

3. Основы экономической безопасности предпринимательской деятельности.

4. Анализ законодательных актов об охране информационных ресурсов открытого доступа.

5. Анализ законодательных актов о защите информационных ресурсов ограниченного доступа.

6. Соотношение понятий: информационные ресурсы, информационные системы и информационная безопасность.

7. Информационная безопасность (по материалам зарубежных источников и литературы).

8. Правовые основы защиты конфиденциальной информации.

9. Экономические основы защиты конфиденциальной информации.

10. Организационные основы защиты конфиденциальной информации.

11. Структура, содержание и методика составления перечня сведений, относящихся к предпринимательской тайне.

12. Составление инструкции по обработке и хранению конфиденциальных документов.

13. Направления и методы защиты документов на бумажных носителях.

14. Направления и методы защиты машиночитаемых документов.

15. Архивное хранение конфиденциальных документов.

16. Направления и методы защиты аудио- и визуальных документов.

17. Порядок подбора персонала для работы с конфиденциальной информацией.

18. Методика тестирования и проведения собеседования с претендентами на должность, связанную с секретами фирмы.

19. Назначение, структура и методика построения разрешительной системы доступа персонала к секретам фирмы.

20. Порядок проведения переговоров с совещаний по конфиденциальным вопросам.

21. Виды и назначение технических средств защиты информации в помещениях, используемых для ведения переговоров и совещаний.

22. Порядок работы с посетителями фирмы, организационные и технические методы защиты секретов фирмы.

23. Порядок защиты информации в рекламной и выставочной деятельности.

24. Организационное обеспечение зашиты информации, обрабатываемой средствами вычислительной и организационной техники.

25. Анализ источников, каналов распространения и каналов утечки информации (на примере конкретной фирмы).

26. Анализ конкретной автоматизированной системы, предназначенной для обработки и хранения информации о конфиденциальных документах фирмы.

27. Основы технологии обработки и хранения конфиденциальных документов (по зарубежной литературе).

28. Назначение, виды, структура и технология функционирования системы зашиты информации.

29. Поведение персонала и охрана фирмы в экстремальных ситуациях различных типов.

30. Аналитическая работа по выявлению каналов утечки информации фирмы.

31. Анализ функций секретаря-референта небольшой фирмы в области защиты информации.

32. Направления и методы защиты профессиональной тайны.

33. Направления и методы защиты служебной тайны.

34. Направления и методы защиты персональных данных о гражданах.

35. Методы защиты личной и семейной тайны.

36. Построение и функционирование защищенного документооборота.

37. Защита секретов в дореволюционной России.

38. Методика инструктирования и обучения персонала правилами защиты секретов фирмы.

ПЕРЕЧЕНЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

1. Microsoft Office XP with FrontPage 2. Internet Explorer

«МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ Краснокутский зооветеринарный техникум — филиал Федерального государственного бюджетного образовательного учреждения высшего профессионального образования Саратовский государственный аграрный университет имени Н.И. Вавилова Утверждаю Директор филиала /Осипов П.И./ 20_г. РАБОЧАЯ ПРОГРАММА УЧЕБНОЙ ДИСЦИПЛИНЫ Дисциплина Основы безопасности жизнедеятельности Специальность 270802.51 Строительство и эксплуатация зданий и Квалификация сооружений. »

«Министерство образования и науки РФ Уральский государственный лесотехнический университет Кафедра бухгалтерского учета, анализа и экономической безопасности Одобрена: Утверждаю: кафедрой менеджмента и ВЭД предприятия Декан ФЭУ В.П.Часовских протокол № 8 от 5 апреля 2012 г. Зав.кафедрой _ В.П. Часовских методической комиссией ФЭУ Протокол № 8 от 26 апреля 2012 г. Председатель НМС ФЭУ Д.Ю. Захаров Программа учебной дисциплины Экономика отрасли ОПД.В.03 Направление 080500.62 Менеджмент Семестры 7. »

«Лаборатория ADR Удобрения на основе нитрата аммония Электронное пособие Перевод с английского А.Е. Пахно, С.К. Казарская Донецк 2011 1 ОГЛАВЛЕНИЕ Предисловие.. 3 Часть 1. Сфера охвата и структура пособия. 5 Часть 2. Официальный текст типовых правил. 7 Часть 3. Логическая схема. 10 Часть 4. Примечания к логической схеме. »

«1 I. Пояснительная записка Рабочая программа дисциплины разработана в соответствии с Федеральным государственным образовательным стандартом (ФГОС) высшего профессионального образования по направлению подготовки (специальности) 060105 Медико-профилактическое дело (квалификация (степень) специалист), с учётом рекомендаций примерной основной образовательной программы высшего профессионального образования по направлению подготовки (специальности) 060105 Медикопрофилактическое дело и примерной. »

«Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека Территориальное управление Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Ставропольскому краю Федеральное государственное учреждение здравоохранения Центр гигиены и эпидемиологии в Ставропольском крае ГОСУДАРСТВЕННЫЙ ДОКЛАД О санитарно-эпидемиологической обстановке в Ставропольском крае в 2004 году Ставрополь – 2005 ГОСУДАРСТВЕННЫЙ ДОКЛАД О. »

«Март 2014 года COFI/2014/2 Rev.1 R КОМИТЕТ ПО РЫБНОМУ ХОЗЯЙСТВУ Тридцать первая сессия Рим, 9-13 июня 2014 года СОСТОЯНИЕ МИРОВОГО РЫБОЛОВСТВА И АКВАКУЛЬТУРЫ И ПРИМЕНЕНИЕ КОДЕКСА ВЕДЕНИЯ ОТВЕТСТВЕННОГО РЫБОЛОВСТВА И СООТВЕТСТВУЮЩИХ ДОКУМЕНТОВ Резюме В настоящем документе кратко излагаются результаты анализа мер по применению Кодекса ведения ответственного рыболовства ФАО 1995 года (Кодекса) и связанных с ним документов, проведенного членами ФАО, региональными рыбохозяйственными организациями. »

«Руководство пользователя Содержание МЕРЫ ПРЕДОСТОРОЖНОСТИ Условия хранения, транспортировки и использования 6 Обслуживание 7 Радиочастотная безопасность 9 Утилизация 10 ВНЕШНИЙ ВИД ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ ПРИСТУПАЯ К РАБОТЕ Зарядка аккумулятора 13 Управление питанием 14 Загрузка файлов в память Устройства 16 Навигация 17 Работа с экранной клавиатурой 18 Установка дополнительных словарей ГЛАВНОЕ МЕНЮ Последние события Библиотека Заметки Приложения Змейка Часы-календарь Калькулятор Косынка. »

«воз Серия СПИД 9 Руководство по технике биологической безопасности для диагностических и научно-исследовательских лабораторий, работающих с вирусом иммунодефицита человека (ВИЧ) В ы п у щ е н о издательством Медицина по поручению Министерства здравоохранения Российской Ф е д е р а ц и и, которому В О З вверила выпуск данного издания на русском языке ВСЕМИРНАЯ ОРГАНИЗАЦИЯ ЗДРАВООХРАНЕНИЯ ЖЕНЕВА 1993 Д л я каталога публикаций В О З Руководство п о технике биологической безопасности для. »

«ThinkStation: Руководство по технике безопасности и гарантии Примечание Перед тем, как воспользоваться этой информацией и самим продуктом, обязательно прочтите следующее: v Глава 1, “Важная информация по технике безопасности”, на стр. 1 v Глава 3, “Ограниченная гарантия Lenovo”, на стр. 21 v Глава 6, “Замечания”, на стр. 37 Первое издание (октябрь 2009) © Copyright Lenovo 2009. Содержание Глава 1. Важная информация по технике безопасности. 1 Состояния, требующие немедленных действий. »

«УЧРЕЖДЕНИЕ РОССИЙСКОЙ АКАДЕМИИ НАУК ИНСТИТУТ МИРОВОЙ ЭКОНОМИКИ И МЕЖДУНАРОДНЫХ ОТНОШЕНИЙ РАН Н.Г. РОГОЖИНА ЭКОЛОГИЧЕСКАЯ СТРАТЕГИЯ СТРАН ЮГО-ВОСТОЧНОЙ АЗИИ (социально-политический аспект) Москва ИМЭМО РАН 2010 УДК 332.142 ББК 65.04(58) Рого 598 Серия “Библиотека Института мировой экономики и международных отношений” основана в 2009 году Рого 598 Рогожина Н.Г. Экологическая стратегия стран Юго-Восточной Азии (социальнополитический аспект). – М.: ИМЭМО РАН, 2010. – 197 с. ISBN 978-5-9535-0262- В. »

«МЧС РОССИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ САНКТ-ПЕТЕРБУРГСКИЙ УНИВЕРСИТЕТ ГОСУДАРСТВЕННОЙ ПРОТИВОПОЖАРНОЙ СЛУЖБЫ МИНИСТЕРСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ПО ДЕЛАМ ГРАЖДАНСКОЙ ОБОРОНЫ, ЧРЕЗВЫЧАЙНЫМ СИТУАЦИЯМ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ СТИХИЙНЫХ БЕДСТВИЙ СИБИРСКИЙ ИНСТИТУТ ПОЖАРНОЙ БЕЗОПАСНОСТИ – ФИЛИАЛ САНКТ-ПЕТЕРБУРГСКОГО УНИВЕРСИТЕТА ГОСУДАРСТВЕННОЙ ПРОТИВОПОЖАРНОЙ СЛУЖБЫ МИНИСТЕРСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ПО ДЕЛАМ ГРАЖДАНСКОЙ. »

«ЗАБЫТЫЙ ГЕНОЦИД Волынская резня 1943–1944 годов Документы и исследования Москва Алексей Яковлев 2008 УДК 94(477) 1943/1944 (083) ББК 633(2)622.1я43 З-12 З-12 ЗАБЫТЫЙ ГЕНОЦИД: Волынская резня 1943– 1944 годов: сборник документов и исследований / сост. А. Дюков. М.: Алексей Яковлев, 2008. – 144 с. ISBN 978-5-903588-09-1 Книга, которую вы держите в руках, – первое российское издание, посвященное Волынской резне 1943–1944 годов. В ней вы найдете как архивные документы, так и научные статьи. »

«СТОРОННИКИ КОНЦЕПЦИИ ОБЩЕСТВЕННОЙ БЕЗОПАСНОСТИ НАРОДНЫЙ ПРОЕКТ ПРЕОБРАЖЕНИЯ РОССИИ БУДУЩЕЕ РОССИИ НАРОДНЫЙ ПРОЕКТ (Издание третье, откорректированное и дополненное). Теоретическая платформа и руководство к действию всех добронравных людей Санкт-Петербург 2012 г. 1 И не нужно специально искать национальную идею. Она сама уже вызревает в нашем обществе В.В.Путин, 2000 г. К сведению читателя. Настоящий замысел жизнеустройства общества (далее Проект) выполнен народной инициативой России на основе. »

«МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БЕЛАРУСЬ УТВЕРЖДАЮ Заместитель министра, Главный государственный санитарный врач Республики Беларусь _ М.И. Римжа _28_ декабря 2005 г. Регистрационный № 110-1005 МЕДИКО-ГИГИЕНИЧЕСКОЕ СОПРОВОЖДЕНИЕ СОВРЕМЕННЫХ ОБРАЗОВАТЕЛЬНЫХ ТЕХНОЛОГИЙ В УСЛОВИЯХ МОДЕРНИЗАЦИИ СИСТЕМЫ ОБРАЗОВАНИЯ В РЕСПУБЛИКЕ БЕЛАРУСЬ Инструкция по применению Учреждения-разработчики: Республиканский научно-практический центр гигиены, Комитет по здравоохранению Минского городского. »

«Организация Объединенных Наций ECE/TRANS/SC.3/2012/6 Экономический Distr.: General 12 September 2012 и Социальный Совет Russian Original: English, French and Russian Европейская экономическая комиссия Комитет по внутреннему транспорту Рабочая группа по внутреннему водному транспорту Пятьдесят шестая сессия Женева, 10–12 октября 2012 года Пункт 6 b) предварительной повестки дня Унификация технических предписаний и правил безопасности на внутренних водных путях Инструкция по сигнальным знакам. »

«Областное государственное учреждение Центр по гражданской обороне, защите населения и территорий от чрезвычайных ситуаций и обеспечению пожарной безопасности 433 Учебно-методический центр по гражданской обороне и чрезвычайным ситуациям Иркутской области Справочный материал для подготовки работников и обучающихся ФГБОУ ВПО БрГУ по тематике ГО и ЧС 2 СОДЕРЖАНИЕ Опасности, возникающие при ведении военных действий или вследствие этих действий, при чрезвычайных ситуациях и пожарах. Основные. »

«ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ ГОСТ Р СТАНДАРТ 53254— 2009 РОССИЙСКОЙ Ф Е Д Е РА Ц И И ТЕХНИКА ПОЖАРНАЯ. ЛЕСТНИЦЫ ПОЖАРНЫЕ НАРУЖНЫЕ СТАЦИОНАРНЫЕ. ОГРАЖДЕНИЯ КРОВЛИ. Общие технические требования. Методы испытаний Издание официальное Москва Стандартинформ ГОСТ Р 53254— Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ О техническом регулировании, а правила применения. »

«_ НАУЧНЫЕ ПУБЛИКАЦИИ УДК 620.179.1 Мониторинг технического состояния в проблеме обеспечения техногенной безопасности. Обратная задача Structural Health Monitoring in the Problem of Anthropogenic Safety Provision. Stateof theart Венгринович В.Л. Vengrinovich V.L. В статье излагается современное состояние проблемы мониторинга технического состояния потенциально опасных промышленных объектов с целью обеспечения их безопасности. Особое внимание уделено принципиальным вопросам обработки. »

«Выходит с января 1941 г. Пятница 29 июля 2005 г. No 18 (3565) Цена 50 коп. Сегодня в номере Вести из цехов. 2 стр. Спрашивали? Отвечаем! 3 стр. Поездка на Соловки. 4,5 стр Пенсионерам на заметку. Новые книги. 6 стр. Будьте здоровы! 7 стр. Вот и наступила ягодная пора. Одна из первых ягод, которая радует северян в июле, это морошка. О пользе ее говорить не приходится. Северные ягоды – морошка, черника, голубика, брусника, клюква – пожалуй, Поздравления. самые полезные ягоды. По крайней мере, так. »

«ZSS-05_01-02_Soder.qxd 30.05.2007 14:44 Page 1 в номере: Сам себе адвокат Анастасия ЛАРИНА, эксперт Как вернуть налог с доходов, потраченных на лекарства. . 3 Расходы на лекарства есть практически в каждой семье. У кого-то они возникают чаще, у кого-то реже. Но не многие знают, что часть потраченных на медикаменты средств можно вернуть. Ваш дом Виктор КОПЫТИН, эксперт бюро независимых экспертиз ИНДЕКС Что делать, если вашу квартиру затопили соседи 11. »

© 2014 www.kniga.seluk.ru — «Бесплатная электронная библиотека — Книги, пособия, учебники, издания, публикации»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.

Вопросы по курсу «Защита информации в компьютерных системах»

2. Защита информации от потери и разрушения.

3. Защита информации от несанкционированного доступа.

4. Защита информации в сети Интернет.

1. Основные принципы защиты информации

Защита информации должна быть основана на системном подходе. Системный подход заключается в том, что все средства, используемые для обеспечения информационной безопасности должны рассматриваться как единый комплекс взаимосвязанных мер.

Одним из принципов защиты информации является принцип «разумной достаточности», который заключается в следующем: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты информации, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.

Защиту информации можно условно разделить на защиту:

1) от потери и разрушения;

2) от несанкционированного доступа.

2. Защита информации от потери и разрушения

Потеря информации может произойти по следующим причинам:

1) нарушение работы компьютера;

2) отключение или сбои питания;

3) повреждение носителей информации;

4) ошибочные действия пользователей;

5) действие компьютерных вирусов;

6) несанкционированные умышленные действия других лиц.

Предотвратить указанные причины можно резервированием данных, т.е. созданием их резервных копий. К средствам резервирования относятся:

  • программные средства для создания резервных копий, входящие в состав большинства операционных систем. Например, MS Backup, Norton Backup;
  • создание архивов на внешних носителях информации.

В случае потери информация может быть восстановлена. Но это возможно только в том случае, если:

1) после удаления файла на освободившееся место не была записана новая информация;

2) если файл не был фрагментирован, т.е. (поэтому надо регулярно выполнять операцию дефрагментации с помощью, например, служебной программы «Дефрагментация диска», входящей в состав операционной системы Windows).

Восстановление производится следующими программными средствами:

· Undelete из пакета служебных программ DOS;

· Unerase из комплекта служебных программ Norton Utilites.

Если данные представляют особую ценность для пользователя, то можно применять защиту от уничтожения:

1) присвоить файлам свойство Read Only (только для чтения);

2) использовать специальные программные средства для сохранения файлов после удаления, имитирующие удаление. Например, Norton Protected Recycle Bin (защищенная корзина).

Большую угрозу для сохранности данных представляют нарушения в системе подачи электропитания – отключение напряжения, всплески и падения напряжения и т.п.

Практически полностью избежать потерь информации в таких случаях можно, применяя источники бесперебойного питания. Они обеспечивают нормальное функционирование компьютера даже при отключении напряжения за счет перехода на питание от аккумуляторных батарей.

3. Защита информации от несанкционированного доступа

Несанкционированный доступ – это чтение, изменение или разрушение информации при отсутствии на это соответствующих полномочий.


Основные типовые пути несанкционированного получения информации:

1) хищение носителей информации;

2) копирование носителей информации с преодолением мер защиты;

3) маскировка под зарегистрированного пользователя;

4) мистификация (маскировка под запросы системы);

5) использование недостатков операционных систем и языков программирования;

6) перехват электронных излучений;

7) перехват акустических излучений;

8) дистанционное фотографирование;

9) применение подслушивающих устройств;

10) злоумышленный вывод из строя механизмов защиты.

Для защиты информации от несанкционированного доступа применяются:

1. Организационные мероприятия.

2. Технические средства.

3. Программные средства.

1. Организационные мероприятия включают в себя:

a) пропускной режим;

b) хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура);

c) ограничение доступа лиц в компьютерные помещения.

2. Технические средства включают в себя различные аппаратные способы защиты информации:

a) фильтры, экраны на аппаратуру;

b) ключ для блокировки клавиатуры;

c) устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.п.

3. Программные средства защиты информации заключаются в разработке специального программного обеспечения, которое бы не позволяло постороннему человеку получать информацию из системы. Программные средства включают в себя:

a) парольный доступ;

b) блокировка экрана и клавиатуры с помощью комбинации клавиш;

c) использование средств парольной защиты BIOS (basic input-output system – базовая система ввода-вывода).

4. Под криптографическим способом защиты информации подразумевается ее шифрование при вводе в компьютерную систему.

Системам шифрования столько же лет, сколько письменному обмену информацией. Обычный подход состоит в том, что к документу применяется некий метод шифрования (назовем его ключом), после чего документ становится недоступен для чтения обычными средствами. Его можно прочитать только тот, кто знает ключ, — только он может применить адекватный метод чтения. Аналогично происходит шифрование и ответного сообщения.

Если в процессе обмена информацией для шифрования и чтения пользуются одним и тем же ключом, то такой криптографический процесс является симметричным. Основной недостаток симметричного процесса заключается в том, что, прежде чем начать обмен информацией, надо выполнить передачу ключа, а для этого опять-таки нужна защищенная связь, то есть проблема повторяется, хотя и на другом уровне. Если рассмотреть оплату клиентом товара или услуги с помощью кредитной карты, то получается, что торговая фирма должна создать по одному ключу для каждого своего клиента и каким-то образом передать им эти ключи. Это крайне неудобно.

Поэтому в настоящее время в Интернете используют несимметричные криптографические системы, основанные на использовании не одного, а двух ключей. Происходит это следующим образом. Компания для работы с клиентами создает два ключа: один — открытый (public — публичный) ключ, а другой — закрытый (private — личный) ключ. На самом деле это как бы две «половинки» одного целого ключа, связанные друг с другом.

Ключи устроены так, что сообщение, зашифрованное одной половинкой, можно расшифровать только другой половинкой (не той, которой оно было закодировано). Создав пару ключей, торговая компания широко распространяет публичный ключ (открытую половинку) и надежно сохраняет закрытый ключ (свою половинку).

Как публичный, так и закрытый ключ представляют собой некую кодовую последовательность. Публичный ключ компании может быть опубликован на ее сервере, откуда каждый желающий может его получить. Если клиент хочет сделать фирме заказ, он возьмет ее публичный ключ и с его помощью закодирует свое сообщение о заказе и данные о своей кредитной карте. После кодирования это сообщение может прочесть только владелец закрытого ключа. Никто из участников цепочки, по которой пересылается информация, не в состоянии это сделать. Даже сам отправитель не может прочитать собственное сообщение, хотя ему хорошо известно содержание. Лишь получатель сможет прочесть сообщение, поскольку только у него есть закрытый ключ, дополняющий использованный публичный ключ.

Если фирме надо будет отправить клиенту квитанцию о том, что заказ принят к исполнению, она закодирует ее своим закрытым ключом. Клиент сможет прочитать квитанцию, воспользовавшись имеющимся у него публичным ключом данной фирмы. Он может быть уверен, что квитанцию ему отправила именно эта фирма, и никто иной, поскольку никто иной доступа к закрытому ключу фирмы не имеет.

Принцип достаточности защиты

Защита публичным ключом (впрочем, как и большинство других видов защиты информации) не является абсолютно надежной. Дело в том, что поскольку каждый желающий может получить и использовать чей-то публичный ключ, то он может сколь угодно подробно изучить алгоритм работы механизма шифрования и пытаться установить метод расшифровки сообщения, то есть реконструировать закрытый ключ.

Это настолько справедливо, что алгоритмы кодирования публичным ключом даже нет смысла скрывать. Обычно к ним есть доступ, а часто они просто широко публикуются.

Тонкость заключается в том, что знание алгоритма еще не означает возможности провести реконструкцию ключа в разумно приемлемые сроки. Так, например, правила игры в шахматы известны всем, и нетрудно создать алгоритм для перебора всех возможных шахматных партий, но он никому не нужен, поскольку даже самый быстрый современный суперкомпьютер будет работать над этой задачей дольше, чем существует жизнь на нашей планете.

Количество комбинаций, которое надо проверить при реконструкции закрытого ключа, не столь велико, как количество возможных шахматных партий, однако защиту информации принято считать достаточной, если затраты на ее преодоление превышают ожидаемую ценность самой информации. В этом состоит принцип достаточности защиты, которым руководствуются при использовании несимметричных средств шифрования данных. Он предполагает, что защита не абсолютна, и приемы ее снятия известны, но она все же достаточна для того, чтобы сделать это мероприятие нецелесообразным. При появлении иных средств, позволяющих-таки получить зашифрованную информацию в разумные сроки, изменяют принцип работы алгоритма, и проблема повторяется на более высоком уровне.

Разумеется, не всегда реконструкцию закрытого ключа производят методами простого перебора комбинаций. Для этого существуют специальные методы, основанные на исследовании особенностей взаимодействия открытого ключами с определенными структурами данных. Область науки, посвященная этим исследованиям, называется криптоанализом, а средняя продолжительность времени, необходимого для реконструкции закрытого ключа по его опубликованному открытому ключу, называется криптостойкостью алгоритма шифрования.

Для многих методов несимметричного шифрования криптостойкость, полученная в результате криптоанализа, существенно отличается от величин, заявляемых разработчиками алгоритмов на основании теоретических оценок. Поэтому во многих странах вопрос применения алгоритмов шифрования данных находится в поле законодательног регулирования. В частности, в России к использованию в государственных и коммерческих организациях разрешены только те программные средства шифрования данных, которые прошли государственную сертификацию в административных органах.

Понятие об электронной подписи

Мы рассмотрели, как клиент может переслать организации свои конфиденциальные данные (например, номер электронного счета). Точно так же он может общаться и с банком, отдавая ему распоряжения о перечислении своих средств на счета других лиц и организаций. Ему не надо ездить в банк и стоять в очереди — все можно сделать, не отходя от компьютера. Однако здесь возникает проблема: как банк узнает, что распоряжение поступило именно от данного лица, а не от злоумышленника, выдающего себя за него? Эта проблема решается с помощью так называемой электронной подписи.

Принцип ее создания тот же, что и рассмотренный выше. Если нам надо создать себе электронную подпись, следует с помощью специальной программы (полученной от банка) создать те же два ключа: закрытый и публичный. Публичный ключ передается банку. Если теперь надо отправить поручение банку на операцию с расчетным счетом, оно кодируется публичным ключом банка, а своя подпись под ним кодируется собственным закрытым ключом. Банк поступает наоборот. Он читает поручение с помощью своего закрытого ключа, а подпись — с помощью публичного ключа поручителя. Если подпись читаема, банк может быть уверен, что поручение ему отправили именно мы, и никто другой.

Защиту данных можно также условно разделить на защиту от чтения и защиту от записи.

  • Защита от чтения осуществляется:
    1. наиболее просто – на уровне DOS введением для файлов атрибута Hidden (скрытый);
    2. наиболее эффективно – шифрованием.
  • Защита от записи осуществляется:
    1. установкой для файлов свойства Read Only (только для чтения);
    2. запрещением записи на дискету путем передвижения или выламывания рычажка;
    3. запрещением записи через установку BIOS – «дисковод не установлен».

При защите информации часто возникает проблема надежного уничтожения данных, которая обусловлена следующими причинами:

  • при удалении файла информация не стирается полностью;
  • даже после форматирования дискеты или диска данные могут быть восстановлены с помощью специальных средств по остаточному магнитному полю.

Для надежного удаления данных используют специальные служебные программы, которые стирают данные путем многократной (не менее трех раз) записи на место удаляемых данных случайной последовательности нулей и единиц. Например, программа Wipeinfo из пакета Norton Utilites.
4. Защита информации в сети Интернет

При работе в Интернете следует иметь в виду, что насколько ресурсы Всемирной сети открыты каждому клиенту, настолько же и ресурсы его компьютерной системы могут быть при определенных условиях открыты всем, кто обладает необходимыми средствами.

Для частного пользователя этот факт не играет особой роли, но знать о нем необходимо, чтобы не допускать действий, нарушающих законодательства тех стран, на территории которых расположены серверы Интернета. К таким действиям относятся вольные или невольные попытки нарушить работоспособность компьютерных систем, попытки взлома защищенных систем, использование и распространение программ, нарушающих работоспособность компьютерных систем (в частности, компьютерных вирусов).

Работая во Всемирной сети, следует помнить о том, что абсолютно все действия фиксируются и протоколируются специальными программными средствами и информация как о законных, так и о незаконных действиях обязательно где-то накапливается. Таким образом, к обмену информацией в Интернете следует подходить как к обычной переписке с использованием почтовых открыток. Информация свободно циркулирует в обе стороны, но в общем случае она доступна всем участникам информационного процесса. Это касается всех служб Интернета, открытых для массового использования.

Однако даже в обычной почтовой связи наряду с открытками существуют и почтовые конверты. Использование почтовых конвертов при переписке не означает, что партнерам есть, что скрывать. Их применение соответствует давно сложившейся исторической традиции и устоявшимся морально-этическим нормам общения. Потребность в аналогичных «конвертах» для защиты информации существует и в Интернете. Сегодня Интернет является не только средством общения и универсальной справочной системой — в нем циркулируют договорные и финансовые обязательства, необходимость защиты которых как от просмотра, так и от фальсификации, очевидна. Начиная с 1999 года Интернет становится мощным средством обеспечения розничного торгового оборота, а это требует защиты данных кредитных карт и других электронных платежных средств.

Принципы защиты информации в Интернете опираются на определение информации, сформулированное нами в первой главе этого пособия. Информация — это продукт взаимодействия данных и адекватных им методов. Если в ходе коммуникационного процесса данные передаются через открытые системы (а Интернет относится именно к таковым), то исключить доступ к ним посторонних лиц невозможно даже теоретически.

Соответственно, системы защиты сосредоточены на втором компоненте информации – на методах. Их принцип действия основан на том, чтобы исключить или, по крайней мере, затруднить возможность подбора адекватного метода для преобразования данных в информацию.
скачать

Программа государственного квалификационного экзамена для специальности

Название Программа государственного квалификационного экзамена для специальности
страница 2/3
Дата публикации 05.10.2014
Размер 438.72 Kb.
Тип Программа
^ РАЗДЕЛ 3. ЗАЩИТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

(530 часов, 14 вопросов)

3.1. Теория информационной безопасности и методология защиты информации (200 часов, 3 семестр, 5 вопросов)

Сущность и понятие информационной безопасности, характеристика ее составляющих; значение информационной безопасности для субъектов информационных отношений; место информационной безопасности в системе национальной безопасности; современная концепция информационной безопасности; понятие и сущность защиты информации, ее место в системе информационной безопасности; цели и концептуальные основы защиты информации; критерии, условия и принципы отнесения информации к защищаемой; носители защищаемой информации; классификация конфиденциальной информации по видам тайны и степеням конфиденциальности; понятие и структура угроз защищаемой информации; источники, виды и методы дестабилизирующего воздействия на защищаемую информацию; причины, обстоятельства и условия, вызывающие дестабилизирующее воздействие на защищаемую информацию; виды уязвимости информации и формы ее проявления; каналы и методы несанкционированного доступа к конфиденциальной информации; направления, виды и особенности деятельности спецслужб по несанкционированному доступу к конфиденциальной информации; методологические подходы к защите информации и принципы ее организации; объекты защиты; виды защиты; классификация методов и средств защиты информации; кадровое и ресурсное обеспечение защиты информации; системы защиты информации.

^ 3.2. Защита информационных процессов в компьютерных системах

(90 часов, 6 семестр, 2 вопроса).

Основные угрозы информации в компьютерных системах; параллельный анализ целей и возможностей злоумышленника в компьютерной сети и в ситуации при наличии изолированного компьютера; специфика возникновения угроз в открытых сетях; особенности защиты информации на узлах компьютерной сети; системные вопросы защиты программ и данных; основные категории требований к программной и программно-аппаратной реализации средств защиты информации; требования к защите автоматизированных систем от НСД.

^ 3.3. Криптографическая защита информации (120 часов, 5 семестр, 3 вопроса).

История криптографии; классические шифры, шифры гаммирования и колонной замены; простейшие шифры и их свойства; композиции шифров; системы шифрования с открытыми ключами; криптографическая стойкость шифров; модели шифров; основные требования к шифрам; вопросы практической стойкости; имитостойкость и помехоустойчивость шифров; принципы построения криптографических алгоритмов; различие между программными и аппаратными реализациями; криптографические параметры узлов и блоков шифраторов; синтез шифров; методы получения случайных и псевдослучайных последовательностей; программные реализации шифров; особенности использования вычислительной техники в криптографии вопросы организации сетей засекреченной связи; ключевые системы; криптографические хеш-функции; электронная цифровая подпись; криптографические протоколы.

^ 3.4. Программно-аппаратная защита информации (120 часов, 8 семестр, 4 вопроса).

Предмет и задачи программно-аппаратной защиты информации; идентификация субъекта, понятие протокола идентификации, идентифицирующая информация; основные подходы к защите данных от НСД; шифрование, контроль доступа и разграничение доступа, иерархический доступ к файлу, защита сетевого файлового ресурса, фиксация доступа к файлам; доступ к данным со стороны процесса; способы фиксации факта доступа; надежность систем ограничения доступа; защита файлов от изменения; электронная цифровая подпись (ЭЦП); программно-аппаратные средства шифрования; построение аппаратных компонент криптозащиты данных; защита алгоритма шифрования; принцип чувствительной области и принцип главного ключа, необходимые и достаточные функции аппаратного средства криптозащиты; методы и средства ограничения доступа к компонентам ЭВМ; защиты программ от несанкционированного копирования; пароли и ключи, организация хранения ключей; защита программ от излучения; защита от отладки, защита от дизассемблирования, защита от трассировки по прерываниям; защита от разрушающих программных воздействий (РПВ); компьютерные вирусы как особый класс РПВ; необходимые и достаточные условия недопущения разрушающего воздействия; понятие изолированной программной среды.

^ ВОПРОСЫ, ПРЕДСТАВЛЕННЫЕ РУКОВОДИТЕЛЯМИ КУРСОВ К ГОСЭКЗАМЕНУ

РАЗДЕЛ 1. ОРГАНИЗАЦИОННО-ПРАВОВАЯ ЗАЩИТА ИНФОРМАЦИИ

1.1. Введение в специальность /1-4/.

1. Квалификационная характеристика специалиста по защите информации специальности 090103. Объекты и виды профессиональной деятельности, состав решаемых задач. Требования к профессиональной подготовленности, что должен профессионально знать и уметь использовать.

^ 1.2. История и современная система защиты информации в России /5-12/.

2. Возникновение необходимости защиты информации в Российском государстве на рубеже XVIII-XIX веков.

3. Использование опыта защиты информации в Российской империи при организации защиты информации в Советской России и СССР.

4. Деятельность государственных и ведомственных органов защиты информации в годы Великой Отечественной войны (1941 – 1945 годы).

5. Современная государственная политика в области защиты информации.

^ 1.3. Системы защиты информации в ведущих зарубежных странах /13-17/.

6. Возникновение и организация защиты информации на Древнем Востоке и средневековой Европе.

7. Опыт создания первых европейских государственных служб защиты информации в Европе XVIII-XIX вв.

8. Особенности формирования современных систем защиты информации в ведущих зарубежных странах в XX веке.

^ 1.4. Организационная защита информации /18-22/.

9. Виды тайн. Источники угроз. Способы воздействия угроз.

10. Меры защиты информации: законодательного, административного, процедурного, программно-технического уровней.

11. Нормативно-правовая база организационной защиты. Источники права в области информационной безопасности. Типы нормативных документов. Примеры отечественных и зарубежных законодательных документов.

12. Разработка политики безопасности. Основные положения информационной безопасности. Область применения. Цели и задачи обеспечения информационной безопасности. Распределение ролей и ответственности. Общие обязанности.

13. Уровни политики безопасности: верхний, средний и нижний.

14. Работа с персоналом: виды угроз информационным ресурсам, связанные с персоналом, подбор персонала.

^ 1.5. Организация и управление службой защиты информации на предприятии /23-26/.

15. Состояние проблемы обеспечения безопасности. Угрозы экономической, физической, информационной и материальной безопасности.

16. Анализ современного состояния проблемы безопасности. Принципы создания и работы системы зашиты. Качественные характеристики зашиты. Организационные принципы. Принципы реализации системы зашиты. Практические рекомендации.

17. Структура Службы безопасности.

^ 1.6. Правовая защита информации /27-33/.

18. Формирование информационных ресурсов и их классификация.

19. Правовые основы защиты государственной, коммерческой и профессиональной тайны.

20. Правовое регулирование взаимоотношений администрации и персонала предприятия в области защиты информации.

21. Правовые формы защиты интеллектуальной собственности.

22. Система правовой ответственности за разглашение, утечку информации.

23. Правовая защита от компьютерных преступлений.

^ 1.7. Экономика защиты информации /34-40/.

24. Информация как товар, цена информации; основные подходы к определению затрат на защиту информации.

25. Интеллектуальная собственность фирмы и ее стоимостная оценка.

26. Обеспечение экономической безопасности предприятия в рыночных условиях. Виды ущерба, наносимые информации.

^ РАЗДЕЛ 2. ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА

2.1. Инженерно-техническая защита информации /41-45/.

27. Основные задачи и типовая структура системы радиоразведки. Основные этапы и процессы добывания информации техническими средствами. Принципы идентификации и интерпретации информативных признаков объектов. Методы доступа к информации без проникновения в контролируемую зону. Классификация технических каналов утечки информации. Классификация и особенности распространения радиоволн в различных диапазонах.

28. Классификация радиотехнических систем. Задачи, решаемые системами наблюдения объектов для извлечения информации об их характеристиках. Сравнительная характеристика технических средств, работающих в различных диапазонах длин волн. Основные виды антенн и их характеристики. Виды, структура и характеристики радиоприемников. Максимальная энергетическая дальность действия технического средства. Принципы определения местоположения источников радиоизлучений. Сравнительная характеристика различных типов пеленгаторов.

29. Типовая структура комплекса технических средств охраны объектов. Демаскирующие признаки злоумышленника и пожара. Назначение, принцип работы и основные характеристики оптико-электронных и радиоволновых извещателей. Способы снижения влияния помех на извещатели. Принципы обнаружения злоумышленников пассивными детекторами движения и активными извещателями, основанными на эффекте Доплера.

30. Сущность информационного и энергетического скрытия информации. Способы повышения помехозащищенности технических средств. Применение шумоподобных сигналов.

31. Сущность методов оценки дальности (фазовый, импульсный, частотный) до объектов вторжения на охраняемую территорию, применяемых в системах охранных сигнализаций. Взаимосвязь тактических характеристик (дальность, максимально возможная дальность, мертвая зона) с техническими параметрами системы (длительность импульса, период повторения импульсов, период модуляции, девиация частоты, центральная частота сигнала). Понятие диапазона однозначного измерения дальности.

32. Сущность методов пеленгования источников излучений (фазовый, амплитудный, частотный). Взаимосвязь тактических характеристик (угловой сектор сканирования) с техническими параметрами системы (ширина диаграммы направленности, коэффициент усиления антенны, центральная частота сигнала, крутизна пеленгационной характеристики, размер антенны, база антенной системы). Диапазон однозначного измерения угловой координаты.

^ 2.2. Средства и системы технического обеспечения обработки, хранения и передачи информации /46-53/.

33. Сигналы и основные виды их электронного преобразования (типы сигналов, сложение и разложение сигналов, усиление, дискриминация, фильтрация, модуляция, демодуляция, выпрямление, аналого-цифровые и цифро-аналоговые преобразования сигналов).

34. Принципы построения усилителей (усилители и их основные виды и характеристики, искажение сигналов, шумы, побочная генерация).

35. Источники питания электронной аппаратуры (выпрямители, стабилизаторы, принципы построения).

36. Способы передачи цифровой информации (преимущества и ограничения, скорость передачи информации, модемы, организация связи с помощью ЭВМ).


37. Системы телефонной связи (принципы телефонной связи, телефонная сеть, офисные АТС, радиотелефоны, сотовая связь).

^ 2.3. Защита и обработка конфиденциальных документов /54-58/.

38. Классификации информации и документов. Свойства различных видов документов.

39. Понятия, определения и особенности конфиденциального документооборота.

40. Принципы обработки конфиденциальных документов.

41. Назначение, состав, этапы организации бумажного защищенного делопроизводства.

42. Технологические основы обработки электронных документов. Электронное защищенное делопроизводство. Состав. Функции.

^ 2.4. Комплексные системы защиты информации на предприятии /59-65/.

43. Состав комплексной системы защиты (КСЗИ) объекта информатизации (ОИ). Этапы создания. Организационно-нормативная документация. Аттестационные испытания ОИ: АС различного уровня и назначения; системы связи, отображения и размножения с помещениями. Объекты аттестационных испытаний: отдельные ЭВМ; комплексы ЭВМ, средств обработки и передачи информации; ЛВС; общее и специальное программное обеспечение автоматизированных систем; системы и средства защиты информации; инженерные коммуникации и оборудование объектов.

44. Разработка проекта комплексной системы защиты объекта информатизации (ОИ). согласно ГОСТ Р 51275-99: информационные ресурсы, средства обеспечения, помещения и выделенные объекты. Типовые задачи защиты информации: вычислительные сети (внешние и внутренние), служебные кабинеты, абонентский участок и телефонные линии, оснащение службы безопасности, пропускной режим на территории, разграничение полномочий по доступу. Категорирование ОИ. Типовой перечень работ по комплексной защите ОИ.

45. Специальные требования и рекомендации (СТР-К) по защите информации обрабатываемой в СВТ, в АРМ на базе автономных ПЭВМ, в ЛВС, при межсетевом взаимодействии на предприятии, при работе с СУБД и при выходе в сети общего назначения.

46. Процесс квалификационного анализа ИТ-продуктов с использованием профилей защиты и заданий по безопасности. ГОСТ Р 15408:2002 — структура и области применения. последовательность формирования требований и спецификаций: среда безопасности, цели безопасности, требования безопасности и краткая спецификация объекта оценки.

47. Парадигма функциональных требований. Представление функциональных требований: классы, семейства (ранжирование, управление, аудит), компоненты (подчиненность по иерархии, зависимости – прямые, косвенные, выбираемые, операции – итерация, назначение, выбор, уточнение), элементы. Примеры функциональных классов.

48. Парадигма доверия: значимость и причины возникновения уязвимостей, роль оценки. Представление требований доверия: структура класса, семейства, компонента, элемента. Примеры классов доверия. Парадигма поддержки доверия. Оценочные уровни доверия (ОУД1-ОУД7). Их примерное соответствие требованиям по классам безопасности Оранжевой книги, Европейских критериев и РД ГТК РФ.

^ РАЗДЕЛ 3. ЗАЩИТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

3.1. Теория информационной безопасности и методология защиты информации /66-69/.

49. Надежность информации. Цели защиты информации (ЗИ). Характер сохраняемой тайны. Виды защищаемой информации. Причины, виды и каналы утечки информации (ГОСТ Р 50922-96). Факторы, воздействующие на информацию (ГОСТ Р 51275-99). Концепция защиты от НСД к информации. Модель нарушителя: уровни возможностей. Уровни рассмотрения вопросов информационной безопасности (ИБ): АС и СВТ. Состав типовой комплексной системы защиты информации на предприятии: СКУД, ОТ, ОПС, ПЭШ, КС. Уровни секретности и конфиденциальности. Политика безопасности предприятия.

50. Подходы и принципы обеспечения информационной безопасности. Системность, комплексность, непрерывность защиты, гибкость управления и применения, открытость алгоритмов и механизмов защиты, разумная достаточность, простота применения защитных мер и средств. Структуризация методов обеспечения ИБ по уровням: носителей информации, средствам взаимодействия с носителем, представления информации и содержания информации.

51. Дискреционное управление доступом. Дискреционная политика безопасности. Матрица доступа. Основные свойства. Достоинства и недостатки. Области применения. Мандатное управление доступом. Мандатная политика безопасности. Метки безопасности. Основные свойства. Достоинства и недостатки в сравнении с дискреционной моделью. Области применения.

52. Международные стандарты информационной безопасности (TCSEC, ITSEC, FCITS, CTCPEC и ISO 15408). Задачи и основные понятия.

53. Руководящие документы ГТК РФ. Классификация и показатели защищенности: АС, СВТ, АВС, МЭ, ПО, СЗЗ. Примерное соответствие с требованиями международных стандартов.

^ 3.2. Защита информационных процессов в компьютерных системах /70-72/.

54. Сервисы безопасности: идентификация и аутентификация, разграничение доступа, протоколирование и аудит, экранирование, туннелирование, шифрование, контроль целостности, контроль защищенности, обнаружение отказов и оперативное восстановление, управление. Принципы построения и архитектура систем автоматизированного аудита. Принципы выявления злоумышленной и аномальной активности.

55. Технологии защиты информации в компьютерных системах, основанные на использовании аппарата искусственных нейронных сетей: биометрические системы контроля доступа на основе клавиатурного и рукописного почерка. Типы и основные особенности используемых в системах информационной защиты искусственных нейронных сетей.

^ 3.3. Криптографическая защита информации /73-80/.

56. Симметричные криптосистемы. Принципы работы современных блочных шифров. Современные методы криптоанализа. Поточные шифры.

57. Асимметричные системы шифрования. Основные этапы реализации электронной цифровой подписи.

58. Общая схема подписывания и проверки подписи с использованием хэш-функции. Основные свойства хэш-функций. Схема вычисления хэш-функции.

^ 3.4. Программно-аппаратная защита информации /81-86/.

59. Программно-аппаратные средства реализации криптографических функций: шифрования; контроля целостности с использованием электронной цифровой подписи и схемы выработки имитовставки. Защита программ с помощью электронных ключей и смарт-карт.

60. Системы управления ключами: генерация, хранение и распределение ключей. Рассылка симметричных ключей центром распределения ключей, с помощью электронного цифрового конверта, по схеме Диффи-Хеллмана. Сертификаты открытых ключей и схема их рассылки.

61. Системы аутентификации. Схемы аутентификации с применением паролей. Обеспечение подлинности сеанса связи с использованием механизмов запроса-ответа, отметок времени.

62. Защита программ от изучения, отладки и дизассемблирования, защита от трассировки по прерываниям; защита от разрушающих программных воздействий (РПВ).

^ СПИСОК ИНФОРМАЦИОННЫХ ИСТОЧНИКОВ, РЕКОМЕНДОВАННЫХ РУКОВОДИТЕЛЯМИ КУРСОВ ДЛЯ ПОДГОТОВКИ ПО ВОПРОСАМ ГОСЭКЗАМЕНА

РАЗДЕЛ 1. ОРГАНИЗАЦИОННО-ПРАВОВАЯ ЗАЩИТА ИНФОРМАЦИИ

^ 1.1. Введение в специальность.

1. Комплексная защита объектов информатизации. Специальность 075300: Государственный образовательный стандарт высшего профессионального образования и примерные программы дисциплин федерального компонента (циклы естественно-научных, общепрофессиональных дисциплин и дисциплин специализаций) / Отв. ред. В.В.Минаев. – М.: РГГУ, 2001. – 358 с.

2. Белов Е.Б., Лось В.П. и др. Основы информационной безопасности. – М.: Горячая линия – Телеком, 2005. – 464 с.

3. Воронцов Л.В., Фролов Д.Б. История и современность информационного противоборства. – М.: Горячая линия – Телеком, 2006. 192 с.

4. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2004. 280 с.

^ 1.2. История и современная система защиты информации в России.

5. Шанкин Г.П. Ценность информации: вопросы теории и приложений / Г. П. Шанкин. — М.: Филоматис, 2004. — 126 с.

6. Соколов А. Защита от компьютерного терроризма: справ. пособие / А. Соколов, О. Степанюк. – СПб.: БХВ-Петербург; : Арлит, 2002. – 496 с.

7. Проблемы управления информационной безопасностью: сб. трудов / РАН, Ин-т системного анализа; под ред. Черешкина Д.С. – М.: УРСС, 2002. – 221 с.

8. Петраков А.В. Защита и охрана личности, собственности, информации: справ. пособие / А. В. Петраков. – М.: Радио и связь, 1997. – 318 с.

9. Крылова И.А. Проблема безопасности России в контексте глобалистики / И. А. Крылова; РАН, Ин-т философии. – М., 2001. – 241 с.

10. Конеев И. Информационная безопасность предприятия / И. Конеев, А. Беляев. – СПб.: БХВ-Петербург , 2003. – 733 с.

11. Информационная безопасность России: информ.-аналит. бюллетень: спец. вып. / Клуб «Реалисты»; отв. ред. Чернейко Г.А. – М., 1998. – 224 с.

12. Дзлиев М.И. Основы обеспечения безопасности России: учеб. пособие для студ. вузов / М. И. Дзлиев, А. Д. Урсул. – М.: Экономика, 2003. – 424 с.

^ 1.3. Системы защиты информации в ведущих зарубежных странах.

13. Садердинов А.А. Информационная безопасность предприятия: учеб. пособие / А. А. Садердинов, В. А. Трайнев, А. А. Федулов; Междунар. академия наук информации, информационных процессов и технологий. – М.: Дашков и К, 2004. – 335 с.

14. Меньшаков Ю.К. Защита объектов и информации от технических средств разведки: учеб. пособие / Ю. К. Меньшаков; РГГУ. – М., 2002. – 399 с.

15. Научные и методологические проблемы информационной безопасности: сб. ст. / Ин-т проблем информационной безопасности МГУ; под ред. В.П. Шерстюка. – М.: МЦНМО, 2004. – 207 с.

16. Крысин А.В. Безопасность предпринимательской деятельности / А. В. Крысин. – М.: Финансы и статистика, 1996. – 380 с.

17. Баяндин Н.И. Технологии безопасности бизнеса : введение в конкурентную разведку: учебно-практ. пособие / Н. И. Баяндин. – М.: Юристъ, 2002. – 319 с.

^ 1.4. Организационная защита информации.

18. Герасименко В. Защита информации в автоматизированных системах обработки данных. В 2-х книгах, Энергоатомиздат, 1994, книга 1-я: 401с., книга 2-я: – 176с.

19. Мельников В.В. Защита информации в компьютерных системах. — М.: Финансы и статистика; Электроинформ, 1997. – 368 с.

20. Белов Е.Б., Лось В.П., Мещеряков Р.В., Шелупанов А.А. Основы информационной безопасности. Учебное пособие для ВУЗов. – М.: Горячая линия — Телеком, 2006. – 544c.

21. Тихонов В.А., Райх В.В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты. Учебное пособие. — М.: Гелиос АРВ, 2006. – 528 с.

22. Корт С.С. Теоретические основы защиты информации. М.: Гелиос АРВ,2004. – 240с.

^ 1.5. Организация и управление службой защиты информации на предприятии.

23. Доктрина информационной безопасности Российской Федерации: (Российская газета, 28 сентября 2000 г., № 187). – М.: Ось-89, 2004. – 48 с.

24. Корнеев И.К. Информационное обеспечение управленческой деятельности. Информационные системы: Учеб. пособие. – М.: Мастерство, 2000. – 208 с.

25. Баяндин Н.И. Технологии безопасности бизнеса: введение в конкурентную разведку: учебно-практ. пособие / Н. И. Баяндин. – М.: Юристъ, 2002. – 319 с.

26. Гамза В.А. Концепция и система безопасности банка / В. А. Гамза, И. Б. Ткачук; Академия права и управления, Институт проблем безопасности. – М.: Шумилова И.И., 2003. – 116 с.

^ 1.6. Правовая защита информации.

27. Копылов В.А. Информационное право: Учебное пособие. – М.: Юристъ, 1997. – 348 с.

28. Струков В.И. Правовое обеспечение защиты информации. Методическое пособие. Таганрог: ТРТУ, 1999г. – 75 с. (№2728).

29. Крылов В.В. Информационные компьютерные преступления. — М.: НОРМА, 1997. – 225 с.

30. Соловьев Э. Коммерческая тайна и ее защита. — М.: Главбух, 1995. – 51с

31. Электронный учебник по курсу «Правовое обеспечение информационной безопасности», на сайте кафедры БИТ, http://bit.tsure.ru/.. Крылов В.В. Информационные компьютерные преступления. – М.: НОРМА, 1997. – 225 с.

32. Соловьев Э. Коммерческая тайна и ее защита. – М.: Главбух, 1995. – 51 с.

33. Ярочкин В.И. Служба безопасности коммерческого предприятия. Организационные вопросы. М.: «Ось-89», 1995. – 94 с.

^ 1.7. Экономика защиты информации.

34. Основы экономической безопасности. Под ред. Олейникова Е.А. М.: ЗАО “Бизнес-школа Интел-Сервис”, 1997. – 305 с.

35. Струков В.И., Кухаренко А.П. Основы защиты информации в предпринимательской деятельности. Методическое пособие. Таганрог: ТРТУ, 2000г. – 110 с. (№2973).

36. Ярочкин В.И. Коммерческая информация фирмы. – М.: Ось-89, 1997 – 204 с.

37. Ярочкин В.И. Система безопасности фирмы. – М.: Ось-89, 1997. – 151 с.

38. Хозяйственный риск и методы его измерения. Пер. с венг. М.: Экономика, 1979. – 342 с.

39. Сербиновский Б.Ю., Горькуша В.Н. Страховое дело: Учебное пособие для вузов. – Ростов-на-Дону.: Феникс, 2000. – 268 с.

Защита информации от потери и разрушения

Защита информации в компьютерных системах

1. Основные принципы защиты информации

Защита информации должна быть основана на системном подходе. Системный подход заключается в том, что все средства, используемые для обеспечения информационной безопасности должны рассматриваться как единый комплекс взаимосвязанных мер. Одним из принципов защиты информации является принцип «разумной достаточности», который заключается в следующем: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты информации, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.

Защиту информации можно условно разделить на защиту:

· от потери и разрушения;

· от несанкционированного доступа.

Защита информации от потери и разрушения

Потеря информации может произойти по следующим причинам:

· нарушение работы компьютера;

· отключение или сбои питания;

· повреждение носителей информации;

· ошибочные действия пользователей;

· действие компьютерных вирусов;

· несанкционированные умышленные действия других лиц.

Предотвратить указанные причины можно резервированием данных, т.е. созданием их резервных копий. К средствам резервирования относятся:

· программные средства для создания резервных копий, входящие в состав большинства операционных систем. Например, MS Backup, NortonBackup;

· создание архивов на внешних носителях информации.

В случае потери информация может быть восстановлена. Но это возможно только в том случае, если:

· после удаления файла на освободившееся место не была записана новая информация;

· если файл не был фрагментирован, т.е. (поэтому надо регулярно выполнять операцию дефрагментации с помощью, например, служебной программы «Дефрагментация диска», входящей в состав операционной системы Windows).

Восстановление производится следующими программными средствами:

· Undelete из пакета служебных программ DOS;

· Unerase из комплекта служебных программ NortonUtilites.

Если данные представляют особую ценность для пользователя, то можно применять защиту от уничтожения:

· присвоить файлам свойство ReadOnly (только для чтения);

· использовать специальные программные средства для сохранения файлов после удаления, имитирующие удаление. Например, NortonProtectedRecycleBin (защищенная корзина). .

Большую угрозу для сохранности данных представляют нарушения в системе подачи электропитания — отключение напряжения, всплески и падения напряжения и т.п. Практически полностью избежать потерь информации в таких случаях можно, применяя источники бесперебойного питания. Они обеспечивают нормальное функционирование компьютера даже при отключении напряжения за счет перехода на питание от аккумуляторных батарей.

3. Защита информации от несанкционированного доступа

Несанкционированный доступ — это чтение, изменение или разрушение информации при отсутствии на это соответствующих полномочий.

Основные типовые пути несанкционированного получения информации:

· хищение носителей информации;

· копирование носителей информации с преодолением мер защиты;

· маскировка под зарегистрированного пользователя;

· мистификация (маскировка под запросы системы);

· использование недостатков операционных систем и языков программирования;


· перехват электронных излучений;

· перехват акустических излучений;

· применение подслушивающих устройств;

· злоумышленный вывод из строя механизмов защиты.

Для защиты информации от несанкционированного доступа применяются:

1. Организационные мероприятия включают в себя:

· хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура);

· ограничение доступа лиц в компьютерные помещения.

2. Технические средства включают в себя различные аппаратные способы защиты информации:

· фильтры, экраны на аппаратуру;

· ключ для блокировки клавиатуры;

· устройства аутентификации — для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.п.

3. Программные средства защиты информации заключаются в разработке специального программного обеспечения, которое бы не позволяло постороннему человеку получать информацию из системы. Программные средства включают в себя:

· блокировка экрана и клавиатуры с помощью комбинации клавиш;

· использование средств парольной защиты BIOS (basicinput-outputsystem — базовая система ввода-вывода).

4. Под криптографическим способом защиты информации подразумевается ее шифрование при вводе в компьютерную систему. Суть данной защиты заключается в том, что к документу применяется некий метод шифрования (ключ), после чего документ становится недоступен для чтения обычными средствами. Чтение документа возможно при наличии ключа или при применении адекватного метода чтения. Если в процессе обмена информацией для шифрования и чтения используется один ключ, то криптографический процесс является симметричным. Недостаток – передача ключа вместе с документом. Поэтому в INTERNET используют несимметричные криптографические системы, где используется не один, а два ключа. Для работы применяют 2 ключа: один – открытый (публичный – public), а другой — закрытый (личный — private). Ключи построены так, что сообщение, зашифрованное одной половинкой, можно расшифровать только другой половинкой. Создав пару ключей, компания широко распространяет публичный ключ, а закрытый ключ сохраняет надежно.

Оба ключа представляют собой некую кодовую последовательность. Публичный ключ публикуется на сервере компании. Любой желающий может закодировать с помощью публичного ключа любое сообщение, а прочесть после кодирования может только владелец закрытого ключа.

Принцип достаточности защиты. Многие пользователи, получая чужой публичный ключ, желают получить и использовать их, изучая, алгоритм работы механизма шифрования и пытаются установить метод расшифровки сообщения, чтобы реконструировать закрытый ключ. Принцип достаточности заключается в проверке количества комбинаций закрытого ключа.

Понятие об электронной подписи. С помощью электронной подписи клиент может общаться с банком, отдавая распоряжения о перечислении своих средств на счета других лиц или организаций. Если необходимо создать электронную подпись, следует с помощью специальной программы (полученной от банка) создать те же 2 ключа: закрытый (остается у клиента) и публичный (передается банку).

Защита от чтения осуществляется:

· на уровне DOS введением для файла атрибутов Hidden (скрытый);

Защита то записи осуществляется:

· установкой для файлов свойства ReadOnly (только для чтения);

· запрещением записи на дискету путем передвижения или выламывания рычажка;

· запрещением записи через установку BIOS — «дисковод не установлен»

При защите информации часто возникает проблема надежного уничтожения данных, которая обусловлена следующими причинами:

· при удалении информация не стирается полностью;

· даже после форматирования дискеты или диска данные можно восстановить с помощью специальных средств по остаточному магнитному полю.

Для надежного удаления используют специальные служебные программы, которые стирают данные путем многократной записи на место удаляемых данных случайной последовательности нулей и единиц.

3. Защита информации в сети INTERNET

При работе в Интернете следует иметь в виду, что насколько ресурсы Всемирной сети открыты каждому клиенту, настолько же и ресурсы его компьютерной системы могут быть при определенных условиях открыты всем, кто обладает необходимыми средствами. Для частного пользователя этот факт не играет особой роли, но знать о нем необходимо, чтобы не допускать действий, нарушающих законодательства тех стран, на территории которых расположены серверы Интернета. К таким действиям относятся вольные или невольные попытки нарушить работоспособность компьютерных систем, попытки взлома защищенных систем, использование и распространение программ, нарушающих работоспособность компьютерных систем (в частности, компьютерных вирусов). Работая во Всемирной сети, следует помнить о том, что абсолютно все действия фиксируются и протоколируются специальными программными средствами и информация, как о законных, так и о незаконных действиях обязательно где-то накапливается. Таким образом, к обмену информацией в Интернете следует подходить как к обычной переписке с использованием почтовых открыток. Информация свободно циркулирует в обе стороны, но в общем случае она доступна всем участникам информационного процесса. Это касается всех служб Интернета, открытых для массового использования.

Однако даже в обычной почтовой связи наряду с открытками существуют и почтовые конверты. Использование почтовых конвертов при переписке не означает, что партнерам есть, что скрывать. Их применение соответствует давно сложившейся исторической традиции и устоявшимся морально-этическим нормам общения. Потребность в аналогичных «конвертах» для защиты информации существует и в Интернете. Сегодня Интернет является не только средством общения и универсальной справочной системой — в нем циркулируют договорные и финансовые обязательства, необходимость защиты которых как от просмотра, так и от фальсификации, очевидна. Начиная с 1999 года INTERNET становится мощным средством обеспечения розничного торгового оборота, а это требует защиты данных кредитных карт и других электронных платежных средств.

Принципы защиты информации в Интернете опираются на определение информации, сформулированное нами в первой главе этого пособия. Информация — это продукт взаимодействия данных и адекватных им методов. Если в ходе коммуникационной процесса данные передаются через открытые системы (а Интернет относится именно к таковым), то исключить доступ к ним посторонних лиц невозможно даже теоретически. Соответственно, системы защиты сосредоточены на втором компоненте информации — на методах. Их принцип действия основан на том, чтобы исключить или, по крайней мере, затруднить возможность подбора адекватного метода для преобразования данных в информацию.

Diplom Consult.ru

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми, и этот процесс обречен на бесконечность в своей последовательности. Хотя, если уж быть точным, новые проблемы — это всего лишь обновленная форма старых.

Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:

· перехват информации — целостность информации сохраняется, но её конфиденциальность нарушена;

· модификация информации — исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;

· подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web — сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.

Обеспечение защиты информации в сетях.

Возникновение глобальных информационных сетей типа INTERNET является важным достижением компьютерных технологий, однако, с INTERNET связана масса компьютерных преступлений.

Результатом опыта применения сети INTERNET является выявленная слабость традиционных механизмов защиты информации и отставания в применении современных методов. Криптография предоставляет возможность обеспечить безопасность информации в INTERNET и сейчас активно ведутся работы по внедрению необходимых криптографических механизмов в эту сеть. Не отказ от прогресса в информатизации, а использование современных достижений криптографии — вот стратегически правильное решение. Возможность широкого использования глобальных информационных сетей и криптографии является достижением и признаком демократического общества.

Исследования практики функционирования систем обработки данных и вычислительных систем показали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:

· чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

· копирование носителей информации и файлов информации с преодолением мер защиты;

· маскировка под зарегистрированного пользователя;

· маскировка под запрос системы;

· использование программных ловушек;

· использование недостатков операционной системы;

· незаконное подключение к аппаратуре и линиям связи;

· злоумышленный вывод из строя механизмов защиты;

· внедрение и использование компьютерных вирусов.

Обеспечение безопасности информации в ВС и в автономно работающих ПЭВМ достигается комплексом организационных, организационно-технических, технических и программных мер.

К организационным мерам защиты информации относятся:

· ограничение доступа в помещения, в которых происходит подготовка и обработка информации;

· допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;

· хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;

· исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т.д.;

· использование криптографических кодов при передаче по каналам связи ценной информации;

· уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.

Защита информации

Рубрика: Информационные технологии

Дата публикации: 18.05.2015 2015-05-18

Статья просмотрена: 380 раз

Библиографическое описание:

Ермолаева В. В., Аленов Д. М., Филиппов Е. А. Защита информации // Молодой ученый. — 2015. — №10. — С. 49-53. — URL https://moluch.ru/archive/90/19033/ (дата обращения: 12.11.2020).

Информационная безопасность имеет большое значение для обеспечения жизненно важных интересов любого государства Создание развитой и защищенной среды является обязательным условием развития общества и государства и, в основе которого должны быть самые автоматизированные технические средствами. Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик ИС. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы). [1] Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС. Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

В 2006 г. затраты американских компаний на информационную безопасность составили $61,5 млрд. А по итогам 2010 г. показатель превысил отметку в $100 млрд. За прошлый год произошел прирост почти на треть — до $130 млрд. В результате за каких-то 5 лет затраты на превентивные меры удвоились. Надо ли говорить, что цифра и дальше продолжит расти.

Что касается России, то для хакера не важно, в какой стране находится компания. В интернет-пространстве нет границ. По итогам 2011 г. на киберпреступность приходилась почти четверть всех экономических преступлений в России. Это в целом соответствует глобальному уровню. Проблема заключается в том, что данный показатель не перестает расти. Если в прошлом году хакеры нанесли убыток, в общем счете, на $1,3 млрд, то за год эта цифра выросла на 77 % до $2,3 млрд.

Распределение источников DDoS-атак по странам

За полгода работы наши системы зафиксировали атаки с компьютеров, находящихся в 201 стране мира. Однако 90 % DDoS-трафика исходило из 23 стран.

Угроза — это потенциальная возможность определенным образом нарушить информационную безопасность информационных систем или технологию работающею с системой.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних, которые в свою очередь могут быть как внутренними, так и внешними).

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на информационную среду, защита которых должна предприниматься в комплексном виде для временного или частичного блока и безопасности используемых данных. [2]

Если речь идет об ошибках в программном обеспечении, то окно опасности «открывается» с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих, но и это не дает гарантии о полной защите и безопасности средств информации и информационных систем в целом.

Мы уже указывали, что новые уязвимые места и средства их использования появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат — как можно более оперативно.

Подчеркнем, что само понятие «угроза» в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в информационной безопасности, зависят от интересов субъектов информационных отношений (и от того, какой ущерб является для них неприемлемым).

Угрозы можно классифицировать по нескольким критериям:

Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих методах:

Все страны мира по степени риска заражения при серфинге в интернете можно распределить на три группы.

Группа повышенного риска:

В эту группу с результатом выше 41 % вошли первые девять стран из TOP 20. Эта группа уменьшилась: по итогам 2013 года в нее входило 15 стран.Группа риска

В эту группу с показателями 21–40,9 % попали 111 стран, в том числе: Киргизия (40,1 %), Германия (39,6 %), Катар (38,8 %), Таджикистан (38,5 %), Грузия (37,7), Саудовская Аравия (36 %), Турция (35,4 %), Франция (34,9 %), Индия (34,8 %), Испания (34,4 %), США (33,8 %), Канада (33,4 %), Австралия (32,5 %), Бразилия (32,1 %), Польша (31,7 %), Италия (31,5 %), Израиль (30,2 %), Китай (30,1 %), Великобритания (30 %), Египет (27,8 %), Мексика (27,5 %), Филиппины (27,2 %), Хорватия (26,2 %), Пакистан (26,1 %), Румыния (25,7 %), Япония (21,2 %), Аргентина (21, 1 %).

Группа самых безопасных при серфинге в интернете стран (0–20,9 %):

В эту группу попали 39 стран. В нее входят Швеция (19,5 %), Дания (19,2 %), Уругвай (19,5 %) и ряд африканских стран.

Метод Шифрование можно растолковать следующим образом:

Шифрование — способ преобразования открытой информации в закрытую и обратно. Применяется для хранения важной информации в ненадёжных источниках или передачи её по незащищённым каналам связи. Метод шифрование можно разделить на процесс зашифрования и расшифрования. Она выполняется таким образом: [4]

Одна буква текста или слова при помощи ключа однозначно заменяется на другую или на определенный символ, то есть если у вас есть слово, которую необходимо зашифровать вы выполняете следующее действие:

1. Вначале устанавливаете для себя, как и какие буквы должны быть зашифрованы символами. К примеру буква А на?;

2. Отправляете ключ получателю, в том случае если вы намерены в ближайшее время отправить текст;

3. Выбираете слово, текст или предложение для шифрования;

4. Шифруете слово и передаете получателю;

5. Согласно переданному ключу получатель слова его расшифрует

Саратов-город плохих дорог

Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.

Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

Обеспечение контроля за функционированием системы защиты, т. е. создание средств и методов контроля работоспособности механизмов защиты.

Обеспечение всевозможных средств борьбы с вредоносными программами.

Статистика показывает, что в США убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т. е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.

2. Титоренко Г. А. Информационные технологии управления. М., Юнити: 2002.

3. Мельников В. Защита информации в компьютерных системах. — М.: Финансы и статистика, Электронинформ, 1997

VII Международная студенческая научная конференция Студенческий научный форум — 2015

КОМПЬЮТЕРНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

Информационные технологии активно развивались последнее время и развиваются сейчас не менее стремительно, всё больше проникая во все сферы жизни общества. Поэтому, острее становится и вопрос информационной безопасности. Ведь недаром было сказано, что «кто владеет информацией, тот владеет миром». С появлением всё новых угроз, совершенствования методов несанкционированного доступа к данным, обеспечение безопасности информации постоянно требует пристальнейшего внимания.

Такое внимание заключается не только в предсказании действий злоумышленников, но и знании и грамотном использовании имеющихся средств защиты информации, своевременном обнаружении и устранении брешей в защите.

Появление компьютеров и их распространение привело к тому, что большинство людей и организаций стали хранить информацию в электронном виде. Следовательно, возникла потребность в защите такой информации.

В настоящее время актуальность информационной защиты связана с ростом возможностей вычислительной техники. Развитие глобальной сети Интернет и сопутствующих технологий достигло такого высокого уровня, что сегодняшнюю деятельность любого предприятия в целом и каждого пользователя в отдельности, уже невозможно представить без электронной почты, Web-рекламы, общения в режиме «онлайн».

Особенностью сетевых систем, как известно, является то, что наряду с локальными атаками, существуют и возможности нанесения вреда системе несанкционированного доступа к данным за тысячи километров от атакуемой сети и компьютера. Удаленные атаки сейчас занимают лидирующее место среди серьезных угроз сетевой безопасности. Кроме того, нападению может подвергнуться не только отдельно взятый компьютер, но и сама информация, передающаяся по сетевым соединениям.

Используя различные методы и средства информационной сетевой защиты, невозможно достичь абсолютно идеальной безопасности сети. Средств защиты не бывает слишком много, однако с ростом уровня защищенности той или иной сети возникают и, как правило, определенные неудобства в ее использовании, ограничения и трудности для пользователей. Поэтому, часто необходимо выбрать оптимальный вариант защиты сети, который бы не создавал больших трудностей в пользовании сетью и одновременно обеспечивал достойный уровень защиты информации. Подчас создание такого оптимального решения безопасности является очень сложным.

Таким образом, актуальность проблемы обуславливается тем, что технологии компьютерных систем и сетей развиваются слишком быстро. Появляются новые угрозы безопасности информации. Соответственно, такую информацию нужно защищать.

Актуальность определила тему курсовой работы – «Компьютерные средства защиты информации».

Объект курсовой – информационная безопасность.

Предмет курсовой – средства защиты информации.

Цель курсовой — изучение и анализ средств защиты информации.

В соответствии с поставленной целью были определены следующие задачи курсовой:

рассмотреть угрозы информационной безопасности и их классификацию;


охарактеризовать средства защиты информации, их классификацию;

раскрыть возможности аппаратных и программных средств защиты информации, выявить их достоинства и недостатки;

проанализировать эффективность защиты конкретной компьютерной сети на примере МОУ СОШ №20 города Магнитогорска, Челябинской области.

§ 1. Проблемы угроз безопасности информации

Широкое внедрение информационных технологий в нашу жизнь привело к появлению новых угроз безопасности информации.

Угроза информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности.

Известно большое количество угроз безопасности информации различного происхождения. В литературных источниках дается множество разнообразных классификаций, где в качестве критериев деления используются источники появления угроз, виды порождаемых опасностей, степень злого умысла и т.д. Одна из самых простых классификаций (когда все множество потенциальных угроз компьютерной информации можно представить по природе их возникновения) приведена на рисунке 1.

Преднамеренные

Рисунок 1. Общая классификация угроз безопасности.

Естественные угрозы — это угрозы, вызванные воздействиями на компьютерную систему и ее элементы каких-либо физических процессов или стихийных природных явлений, которые не зависят от человека. Среди них можно выделить:

природные — это ураганы, наводнения, землетрясения, цунами, пожары, извержения вулканов, снежные лавины, селевые потоки, радиоактивные излучения, магнитные бури;

технические — угрозы этой группы связаны с надежностью технических средств обработки информации.

Искусственные угрозы — это угрозы компьютерной системы, которые вызваны деятельностью человека. Среди них можно выделить:

непреднамеренные угрозы, которые вызваны ошибками людей при проектировании компьютерной системы, а также в процессе ее эксплуатации;

преднамеренные угрозы, связанные с корыстными устремлениями людей. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами: недовольство служащего своей карьерой, взятка, любопытство, конкурентная борьба, стремление самоутвердиться любой ценой [17].

Выделяют следующие основные причины сбоев и отказа работы компьютеров:

Нарушение физической и логической целостности хранящихся в оперативной и внешней памяти структур данных, возникающие по причине старения или преждевременного износа носителя;

Нарушения, возникающие в работе аппаратных средств из-за старения или преждевременного износа носителя;

Нарушение физической и логической целостности хранящихся в оперативной и внешней памяти средств данных, возникшие по причине некорректных использования ресурсов компьютера;

Нарушение, возникновение в работе аппаратных средств из-за неправильного использования или повреждения, в том числе из-за неправильного использования программных средств;

Не устраненные ошибки программных средств, не выявленные в процессе отладки испытаний, а также оставшейся в аппаратных средствах после их разработки [6].

Атакой на компьютерные сети называют действие, предпринимаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Другими словами, атака на компьютерных сетях является реализацией угрозы безопасности информации в ней [3].

Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:

Перехват информации — целостность информации сохраняется, но её конфиденциальность нарушена;

Модификация информации — исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;

Подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от чужого имени (этот вид обмана принято называть спуфингом) или Web — сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.

Специфика компьютерных сетей, с точки зрения их уязвимости, связана в основном с наличием интенсивного информационного взаимодействия между территориально разнесенными и разнородными (разнотипными) элементами.

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей безопасности. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. Угроз не так уж и много. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации. При обеспечении доступности информации, возможно, ее блокирование, либо уничтожение самой информации и средств ее обработки [5].

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации [20].

Также уязвимость информации зависит от вредоносного программного обеспечения. Одним из опаснейших способов проведения атак является внедрение в атакуемые системы вредоносного программного обеспечения.

Выделяют следующие аспекты вредоносного программного обеспечения:

Часть, осуществляющая разрушительную функцию, предназначается для:

внедрения другого вредоносного программного обеспечения;

получения контроля над атакуемой системой;

агрессивного потребления ресурсов;

изменения или разрушения программ и/или данных.

По механизму распространения различают:

вирусы — код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы;

«черви» — код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по сети и их выполнение (для активизации вируса требуется запуск зараженной программы) [7].

Вирусы обычно распространяются локально, в пределах узла сети; для передачи по сети им требуется внешняя помощь, такая как пересылка зараженного файла. «Черви», напротив, ориентированы в первую очередь на путешествия по сети.

Иногда само распространение вредоносного программного обеспечения вызывает агрессивное потребление ресурсов и, следовательно, является вредоносной функцией. Например, «черви» «съедают» полосу пропускания сети и ресурсы почтовых систем.

Вредоносный код, который выглядит как функционально полезная программа, называется троянским. Например, обычная программа, будучи пораженной вирусом, становится троянской; порой троянские программы изготавливают вручную и подсовывают доверчивым пользователям в какой-либо привлекательной упаковке.

Для предотвращения вышеперечисленных угроз существуют различные способы защиты информации. Помимо естественных способов выявления и своевременного устранения причин, используют следующие специальные способы защиты информации от нарушений работоспособности компьютерных систем:

Внесение структурной, временной информации и функциональной избыточности компьютерных ресурсов;

Защита от некорректного использования ресурсов компьютерной системы;

Выявление и своевременное устранение ошибок на этапе разработки программно-аппаратных средств [9].

Структурная избыточность компьютерных ресурсов достигается за счет резервирования аппаратных компонентов и машинных носителей. Организация замены отказавших и своевременного пополнения резервных компонентов. Структурная избыточность составляет основу.Внесение информационной избыточности выполняется путем периодического или постоянного фонового резервирования данных. На основных и резервных носителях. Резервирование данных обеспечивает восстановление случайного или преднамеренного уничтожения или искажения информации. Для восстановления работоспособности компьютерной сети после появления устойчивого отказа кроме резервирования обычных данных, следовательно, заблаговременно резервировать и системную информацию. Функциональная избыточность компьютерных ресурсов достигается дублированием функции или внесением дополнительных функций в программно-аппаратные ресурсы. Например, периодическое тестирование и восстановление самотестирование и самовосстановление компонентов систем.

Защита от некорректного использования ресурсов компьютерных систем, заключенных в корректном функционировании программного обеспечения с позиции использования ресурсов вычислительных систем программа может четко и своевременно выполнять свои функции, но не корректно использовать компьютерные ресурсы. Например, изолирование участков оперативной памяти для операционной системы прикладных программ защита системных областей на внешних носителях.

Выявление и устранение ошибок при разработке программно-аппаратных средств достигается путем качественного выполнения базовых стадий разработки на основе системного анализа концепции проектирования и реализации проекта. Однако, основным видом угроз целостности и конфиденциальности информации является преднамеренные угрозы. Их можно разделить на 2 группы:

Угрозы, которые реализуются с постоянным участием человека;

После разработки злоумышленником соответствующих компьютерных программ выполняется этими программами без участия человека.

Задачи по защите от угроз каждого вида одинаковы:

Запрещение несанкционированного доступа к ресурсам;

Невозможность несанкционированного использования ресурсов при осуществлении доступа;

Своевременное обнаружение факта несанкционированного доступа. Устранение их причин и последствий [4].

§ 2. Основные средства защиты информации

Средства защиты информации — совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации [18].

Средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Аппаратные средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую — генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества аппаратных средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны – недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки – высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

Шифрование данных представляет собой разновидность программных средств защиты информации и имеет особое значение на практике как единственная надежная защита информации, передаваемой по протяженным последовательным линиям, от утечки. Понятие «шифрование» часто употребляется в связи с более общим понятием криптографии. Криптография включает способы и средства обеспечения конфиденциальности информации (в том числе с помощью шифрования) и аутентификации.

Конфиденциальность – защищенность информации от ознакомления с ее содержанием со стороны лиц, не имеющих права доступа к ней. В свою очередь аутентификация представляет собой установление подлинности различных аспектов информационного взаимодействия: сеанса связи, сторон (идентификация), содержания (имитозащита) и источника (установление авторства c помощью цифровой подписи) [10].

Рассмотрим более подробно первые 3 средства защиты информации.

Аппаратные средства – технические средства, используемые для обработки данных.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты.

Схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных. Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы). В самом простом случае для работы сети достаточно сетевых карт и кабеля. Если же необходимо создать достаточно сложную сеть, то понадобится специальное сетевое оборудование.

Под аппаратным обеспечением средств защиты операционной системы традиционно понимается совокупность средств и методов, используемых для решения следующих задач:

управление оперативной и виртуальной памятью компьютера;

распределение процессорного времени между задачами в многозадачной операционной системе;

синхронизация выполнения параллельных задач в многозадачной операционной системе;

обеспечение совместного доступа задач к ресурсам операционной системы.

Перечисленные задачи в значительной степени решаются с помощью аппаратно реализованных функций процессоров и других узлов компьютера. Однако, как правило, для решения этих задач принимаются и программные средства, и поэтому термины “аппаратное обеспечение защиты ” и “аппаратная защита” не вполне корректны. Тем не менее, поскольку эти термины фактически общеприняты, мы будем их использовать [1].

Аппаратные устройства криптографической защиты – это, по сути, та же PGP, только реализованная на уровне «железа». Обычно такие устройства представляют собой платы, модули и даже отдельные системы, выполняющие различные алгоритмы шифрования «на лету». Ключи в данном случае тоже «железные»: чаще всего это смарт-карты или идентификаторы TouchMemory (iButton). Ключи загружаются в устройства напрямую, минуя память и системную шину компьютера (ридервмонтирован в само устройство), что исключает возможность их перехвата. Используются эти самодостаточные шифраторы как для кодирования данных внутри закрытых систем, так и для передачи информации по открытым каналам связи. По такому принципу работает, в частности, система защиты КРИПТОН-ЗАМОК, выпускаемая зеленоградской фирмой АНКАД. Эта плата, устанавливаемая в слот PCI, позволяет на низком уровне распределять ресурсы компьютера в зависимости от значения ключа, вводимого еще до загрузки BIOS материнской платой. Именно тем, какой ключ введен, определяется вся конфигурация системы – какие диски или разделы диска будут доступны, какая загрузится ОС, какие в нашем распоряжении будут каналы связи и так далее. Еще один пример криптографического «железа» — система ГРИМ-ДИСК, защищающая информацию, хранимую на жестком диске с IDE-интерфейсом. Плата шифратора вместе с приводом помещена в съемный контейнер (на отдельной плате, устанавливаемой в слот PCI, собраны лишь интерфейсные цепи). Это позволяет снизить вероятность перехвата информации через эфир или каким-либо иным образом. Кроме того, при необходимости защищенное устройство может легко выниматься из машины и убираться в сейф. Ридер ключей типа iButton вмонтирован в контейнер с устройством. После включения компьютера доступ к диску или какому-либо разделу диска можно получить, лишь загрузив ключ в устройство шифрования [13].

Защита информации от утечки по каналам электромагнитных излучений. Даже грамотная настройка и применение дополнительных программных и аппаратных средств, включая средства идентификации и упомянутые выше системы шифрования, не способны полностью защитить нас от несанкционированного распространения важной информации. Есть канал утечки данных, о котором многие даже не догадываются. Работа любых электронных устройств сопровождается электромагнитными излучениями. И средства вычислительной техники не являются исключением: даже на весьма значительном удалении от электроники хорошо подготовленному специалисту с помощью современных технических средств не составит большого труда перехватить создаваемые вашей аппаратурой наводки и выделить из них полезный сигнал. Источником электромагнитных излучений (ЭМИ), как правило, являются сами компьютеры, активные элементы локальных сетей и кабели. Из этого следует, что грамотно выполненное заземление вполне можно считать разновидностью «железной» системы защиты информации. Следующий шаг — экранирование помещений, установка активного сетевого оборудования в экранированные шкафы и использование специальных, полностью радиогерметизированных компьютеров (с корпусами из специальных материалов, поглощающих электромагнитные излучения, и дополнительными защитными экранами). Кроме того, в подобных комплексах обязательно применение сетевых фильтров и использование кабелей с двойным экранированием. Разумеется, о радиокомплектах клавиатура-мышь, беспроводных сетевых адаптерах и прочих радиоинтерфейсах в данном случае придется забыть. Если же обрабатываемые данные сверхсекретны, в дополнение к полной радиогерметизации применяют еще и генераторы шума. Эти электронные устройства маскируют побочные излучения компьютеров и периферийного оборудования, создавая радиопомехи в широком диапазоне частот. Существуют генераторы, способные не только излучать такой шум в эфир, но и добавлять его в сеть электропитания, чтобы исключить утечку информации через обычные сетевые розетки, иногда используемые в качестве канала связи [2].

Выйдя в интернет и организовав доступ к своим серверам, учреждение фактически открывает всему миру некоторые ресурсы своей собственной сети, тем самым делая ее доступной для несанкционированного проникновения. Для защиты от этой угрозы между внутренней сетью организации и интернетом обычно устанавливают специальные комплексы — программно-аппаратные брандмауэры (межсетевые экраны). В простейшем случае брандмауэром может служить фильтрующий маршрутизатор. Однако для создания высоконадежных сетей этой меры бывает недостаточно, и тогда приходится использовать метод физического разделения сетей на открытую (для доступа в интернет) и закрытую (корпоративную). У этого решения есть два серьезных недостатка. Во-первых, сотрудникам, которым по долгу службы необходим доступ в обе сети, приходится ставить на рабочее место второй ПК. В результате рабочий стол превращается в пульт оператора центра управления полетом или авиадиспетчера. Во-вторых, и это главное, приходится строить две сети, а это немалые дополнительные финансовые затраты и сложности с обеспечением защиты от ЭМИ (ведь кабели обеих сетей приходится проводить по общим коммуникациям). Если со второй проблемой приходится мириться, то устранить первый недостаток довольно просто: поскольку человек не в состоянии работать за двумя отдельными компьютерами одновременно, необходимо организовать специальное автоматизированное рабочее место (АРМ), предполагающее сеансовый характер работы в обеих сетях. Такое рабочее место — обычный компьютер, снабженный устройством управления доступом (УУД), в котором имеется переключатель сетей, выведенный на лицевую панель системного блока. Именно к устройству доступа и подключены жесткие диски компьютера. Каждый сеанс работы осуществляется под управлением своей операционной системы, загружаемой с отдельного жесткого диска. Доступ к накопителям, не участвующим в текущем сеансе работы, при переключении между сетями полностью блокируется [21].

Нет более надежной защиты данных, чем их полное уничтожение. Но уничтожить цифровую информацию не так-то просто. Кроме того, бывают случаи, когда от нее нужно избавиться мгновенно. Первую проблему можно решить, если основательно разрушить носитель. Именно для этого придуманы различные утилизаторы. Одни из них работают в точности как офисные шредеры (уничтожители бумаг), механически измельчая дискеты, магнитные и электронные карты, CD- и DVD-диски. Другие представляют собой специальные печи, в которых под воздействием высоких температур или ионизирующего излучения разрушаются любые носители, включая жесткие диски. Так, электродуговые и электроиндукционные установки могут разогреть носитель до температуры 1000-1200 К (примерно 730-930°C), а в комбинации с химическим воздействием, например с использованием самораспространяющегося высокотемпературного синтеза (СВС), обеспечивается быстрый разогрев вплоть до 3000 К. После воздействия на носитель таких температур восстановить имевшуюся на нем информацию невозможно. Для автоматического уничтожения данных используются специальные модули, которые могут встраиваться в системный блок или исполняться как внешнее устройство с установленными в нем накопителями информации. Команда на полное уничтожение данных для таких аппаратов подается обычно дистанционно со специального брелока или с любых датчиков, которые вполне могут отслеживать как вторжение в помещение, так и несанкционированный доступ к устройству, его перемещение или попытку отключения питания. Информация в таких случаях уничтожается одним из двух способов:

физическое разрушение накопителя (обычно химическими средствами)

стирание информации в служебных областях дисков.

Восстановить работоспособность накопителей после уничтожения служебных областей можно с помощью специальной аппаратуры, но данные будут потеряны безвозвратно. Подобные устройства исполняются в различных вариантах — для серверов, настольных систем и ноутбуков. Существуют также специальные модификации, разработанные для Министерства обороны: это полностью автономные комплексы с повышенной защитой и абсолютной гарантией срабатывания. Самый большой недостаток подобных систем – невозможность абсолютной страховки от случайного срабатывания. Можно себе представить, каким будет эффект, если, например, гражданин, осуществляющий техническое обслуживание, вскроет системный блок или отключит кабель монитора, забыв при этом заблокировать устройство защиты. Аппаратные средства эффективны и надежны. Именно поэтому они применяются тогда, когда речь идет о военных секретах или о нешуточных суммах денег [2].

Программная защита информации — это система специальных программ, реализующих функции защиты информации. Выделяют следующие направления использования программ для обеспечения безопасности конфиденциальной информации:

защита информации от несанкционированного доступа;

защита информации от копирования;

защита информации от вирусов;

программная защита каналов связи.

Защита информации от несанкционированного доступа. Для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:

идентификация субъектов и объектов;

разграничение доступа к вычислительным ресурсам и информации;

контроль и регистрация действий с информацией и программами.

Процедура идентификации и подтверждения подлинности предполагает проверку, является ли субъект, осуществляющий доступ, тем, за кого себя выдает.

Наиболее распространенным методом идентификации является парольная идентификация. Практика показала, что парольная защита данных является слабым звеном, так как пароль можно подслушать или подсмотреть, пароль можно перехватить, а то и просто разгадать [8].

После выполнения процедур идентификации и установления подлинности пользователь получает доступ к вычислительной системе, и защита информации осуществляется на трех уровнях: аппаратуры, программного обеспечения и данных.

Защита от копирования. Средства защиты от копирования предотвращают использование нелегальных копий программного обеспечения и являются в настоящее время единственно надежным средством — защищающим авторское право разработчиков. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального не копируемого элемента. Таким элементом (называемым ключевым) может быть определенная часть компьютера или специальное устройство [15].

Защита информации от разрушения. Одной из задач обеспечения безопасности для всех случаев пользования компьютером является защита информации от разрушения. Так как причины разрушения информации весьма разнообразны (несанкционированные действия, ошибки программ и оборудования, компьютерные вирусы и пр.), то проведение защитных мероприятий обязательно для всех, кто пользуется компьютером.

Необходимо специально отметить опасность компьютерных вирусов. Вирус компьютерный — небольшая, достаточно сложная и опасная программа, которая может самостоятельно размножаться, прикрепляться к чужим программам и передаваться по информационным сетям. Вирус обычно создается для нарушения работы компьютера различными способами — от «безобидной» выдачи какого-либо сообщения до стирания, разрушения файлов. Антивирус — программа, обнаруживающая и удаляющая вирусы [12].

Программно-аппаратные средства защиты информации — это сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование.

Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в операционную систему, действительно тот, за кого себя выдает.

Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами [19].

Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением.

Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Возможные события принято делить на три группы:

внешние события, вызванные действиями других сервисов;

внутренние события, вызванные действиями самого сервиса;

клиентские события, вызванные действиями пользователей и администраторов.

Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически.

Экран — это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны (бранд-мауары (firewalls)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду [14].

Метод криптографии — одно из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации. Основной элемент криптографии — шифрование (или преобразование данных в нечитабельную форму ключей шифрования — расшифровки). В состав криптографической системы входят: один или нескольких алгоритмов шифрования, ключи, используемые этими алгоритмами шифрования, подсистемы управления ключами, незашифрованный и зашифрованный тексты.

При использовании метода криптографии на первом этапе к тексту, который необходимо шифровать, применяются алгоритм шифрования и ключ для получения из него зашифрованного текста. На втором этапе зашифрованный текст передается к месту назначения, где тот же самый алгоритм используется для его расшифровки.

В криптографии используется два метода шифрования — симметричное и асимметричное.


При симметричном шифровании для шифрования и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договариваются заранее. Основной недостаток симметричного шифрования состоит в том, что ключ должен быть известен как отправителю, так и получателю, откуда возникает новая проблема безопасной рассылки ключей.

Существует также вариант симметричного шифрования, основанный на использовании составных ключей, когда секретный ключ делится на две части, хранящиеся отдельно. Таким образом, каждая часть сама по себе не позволяет выполнить расшифровку.

Асимметричное шифрование характеризуется тем, что при шифровании используются два ключа: первый ключ делается общедоступным (публичным) и используется для шифровки, а второй является закрытым (секретным) и используется для расшифровки

Дополнительным методом защиты шифруемых данных и проверки их целостности является цифровая подпись [11].

§ 3. Анализ защиты информации в телекоммуникационной сети МОУ СОШ № 20 г. Магнитогорска

Муниципальное общеобразовательное учреждение «Средняя общеобразовательная школа №20» города Магнитогорска основано в 1982 году.

Директор МОУ «СОШ №20» — Ольга Георгиевна Егорова. Место нахождения директора: 455045 г. Магнитогорск, улица Ворошилова, дом 27.

В школе №20 существует своя локальная сеть, доступ к которой имеют только учителя и ученики. В большинстве случаев имеется доступ лишь к ограниченному числу сайтов этой сети, необходимых в ходе трудовой деятельности. Информация о каждом выходе в сеть фиксируется системным администратором. Это также относится к сети Интернет.

Информационная безопасность включает помимо компьютерной безопасности безопасность пользователей, причем в образовательных учреждениях последний компонент имеет особое значение. Для повышения уровня безопасности в школах необходимо сформулировать и сформировать целостную политику информационной безопасности

Информационная безопасность в образовательном учреждении (ОУ) – серьезная, сложная и многоплановая проблема. Перефразируя известное высказывание классика, можно сказать, что «Информационная безопасность детей должна быть как у взрослых, только лучше».

При построении системы информационной безопасности школы № 20 решающую роль играет организационная защита.

Безопасность информации должна быть обеспечена только при комплексном использовании всех имеющихся средств защиты.

Система защиты информации (СЗИ) не сможет обеспечить требуемого уровня безопасности без соответствующей подготовки персонала и пользователей, соблюдения ими установленных правил и норм, определяемых политикой безопасности.

Построение системы информационной безопасности не является разовым мероприятием – это перманентный процесс. Он должен постоянно совершенствоваться и быть управляемым на всех этапах жизненного цикла системы.

Часто информационную безопасность отождествляют с компьютерной безопасностью. Последняя очень важна, но является лишь одной из составляющих «информационной безопасности».

Для обеспечения компьютерной безопасности в школе № 20 используются следующие средства защиты.

Защита компьютеров от внешних несанкционированных воздействий (компьютерные вирусы, атаки хакеров и т. д.). Реальное решение данной проблемы, как показывает опыт, возможно только при условии, исключающем вывод локальных сетей ОУ на Интернет, либо размещение своего сайта у удаленного провайдера.

Имеются дублирующие сервера. Наличие хороших серверов позволит протоколировать любые значимые действия работников ОУ и пользователей в локальной сети.

Установлен строгий контроль над электронной почтой, обеспечив мониторинг всех обменов с внешней средой.

Говоря о компьютерной безопасности, прежде всего имеют в виду первую проблему — безопасность собственно информации и ее носителей. Однако не менее, а применительно к школе № 20, и более важной составляющей информационной безопасности является защита пользователей информационной системы от негативной информации.

Анализ современного состояния исследований по данному вопросу позволил выделить основные задачи в области информационной безопасности и защите информации. Значительное количество исследований посвящено защите информации при ее генерации, передачи, обработки и использовании, а вот защите сознания и психики личности от негативного воздействия информации уделяется в этих исследованиях существенно меньше внимания. Данная проблема имеет междисциплинарный характер и для ее решения в дальнейшем будут необходимы исследования в различных отраслях научных знаний.

Глобализация информационного пространства не только предоставляет возможности динамичного развития социальной, научной и культурной среды современного общества, но и создает новые проблемы для развития и становления личности. Неконтролируемые, «стихийные» потоки информации, зачастую преднамеренно агрессивного и негативного характера существенно влияют на социально-нравственные ориентиры общества в целом, и, в первую очередь на школьников, только примеривающихся к жизни. Деформация и деструктивные изменения духовной среды общества, искажение общечеловеческих нравственных норм, навязывание неадекватных социальных стереотипов и установок, ориентаций на ложные ценности, являются теми информационными угрозами, которые особенно опасны на начальных этапах духовного становления человека как личности, в том числе в школьный период его жизни. Возникает вторая проблема информационной безопасности в школе, без решения которой нельзя говорить об адекватности самого образования и воспитания.

Для полноценного развития ребенка, способного успешно жить и саморазвиваться в современном мире, не нужно (и даже опасно) создавать идеальную информационную среду, важнее и продуктивнее заниматься развитием информационной безопасности личности школьника, обучать ребенка адекватному восприятию и оценке информации, ее критическому осмыслению на основе нравственных и культурных ценностей.

В качестве условий развития информационной безопасности для школы №20 выделяются:

содержательное условие, включающее темы и проблемы, раскрывающие смысл информационной безопасности, угрозы, исходящей от информации из различных источников и их специфику, потенциальные уязвимости СЗИ;

технологическое условие развития информационной безопасности школьников, в котором заключены вопросы организации и проведения занятий, с направленностью на формирование умений выявлять информационную угрозу и адекватно реагировать на нее;

психолого-педагогические условия, в том числе организация взаимодействия педагога и учащихся на основе принципов педагогики сотрудничества, готовности учителя понять и принять позицию ученика, проявлении уважения к самостоятельности его личности;

важным дополнительным условием развития информационной безопасности является системная и целенаправленная работа с родителями.

В настоящее время прослеживается тенденция отдельно решать задачи собственно защиты информации как таковой и информационной безопасности личности. Эти задачи должны решаться в совокупности, во взаимной увязке. Для этого есть все предпосылки.

В целом информационная безопасность в школе включает технические, этические и правовые аспекты. Учителя-предметники все чаще интегрируют свои предметы с информатикой, развивают метод учебных проектов, а ученики оформляют свои исследования компьютерными средствами, осуществляя поиск и структурирование информации, получаемой через Интернет. Если не оставлять школьников без присмотра, то Интернет – не более опасная среда, чем то же современное телевидение.

Многие родители не осознают опасностей, которым подвергаются дети при неконтролируемом пребывании в мировой сети Интернет, который часто сравнивают с большой кладовкой, где много непроверенных никем вещей, бумаг, книг, рекламных буклетов и просто мусора. И надо найти в нем именно то, что ищешь, не отвлекаясь на яркие картинки и броские заголовки. Важно научить процессу сортировки, организации и хранения найденного, тем самым воспитывая информационную культуру. Школьников необходимо воспитывать, а не запрещать.

В рамках школьного и домашнего общения с компьютером имеется возможность использовать уже наработанные средства, ряд из которых хорошо известны и даже включены в различные программные средства. Так существует множество программ, позволяющих ограничить время работы за компьютером, отфильтровать содержимое Интернета, обезопасить маленького пользователя. Они называются программами Родительского контроля (в Windows Vista). Это дает возможность контролировать использование компьютера ребенка в четырех направлениях:

ограничивать время, которое он проводит за экраном монитора;

блокировать доступ к некоторым сайтам;

блокировать доступ к другим интернет-сервисам;

запрещать запуск некоторых игр и программ.

При среднем уровне защиты, работает фильтр на сайты, посвященные оружию, наркотикам, разного рода непристойностям и содержащим нецензурную лексику.

В каждой школе должна быть сформулирована и оформлена политика безопасности, под которой понимают совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Так как политика безопасности зависит:

от конкретной технологии обработки информации;

от используемых технических и программных средств;

от расположения организации, то в каждом ОУ, в принципе, будет свой вариант политики.

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие школу в целом. Они носят весьма общий характер и, как правило, исходят от руководства школы. Примерный список подобных решений школы № 20 включает в себя следующие элементы:

решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

обеспечение базы для соблюдения законов и правил;

формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Огромную помощь в повышении информационной безопасности играет ее аудит (Соответствие заявленной политики безопасности и реального положения дел). Проведение независимого аудита позволяет выявить уязвимые места, возможные каналы утечки информации, объективно оценить режим информационной безопасности. Грамотно проведенный аудит информационной безопасности позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности школы.

Таким образом, обеспечение информационной безопасности Образовательных Учреждений в современных условиях становится одним из основных видов его деятельности. Без использования новых подходов, поиска современных форм и способов обеспечения безопасности Образовательного Учреждения решить эти задачи невозможно.

Схема сети административной части данной школы имеет топологию «звезда».

По топологии «звезда», которая была выбрана изначально разработчиками для данной сети, каждая рабочая станция соединяется с центральным сетевым концентратором (hub) отдельным сегментом сетевого кабеля (витая пара).

Подобная сеть проявляет довольно высокую устойчивость к сбоям, которые могут быть при физическом повреждении одного из сетевых кабелей (сеть остается работоспособной, не работает только рабочая станция, к которой подведен поврежденный кабель). Немаловажно и то, что сбои на любом конкретном компьютере (рабочей станции) сети не ведут к неполадкам всей сети.

Из недостатков следует отметить лишь большой расход кабеля при постройке сети и то, что отказ концентратора (hub) может привести в сбою работы всей сети.

Поэтому, считается, что выбор топологии сети для школы № 20 наиболее оптимален.

Прежде всего, защита сети от угроз безопасности должна быть обеспечена на уровне операционной системы.

В данном предприятии такая защита организована. В частности, это касается уже стандартных средств, которые встроены в операционную систему. На сервере школы №20 установлена операционная система Linux.

Рассмотрим стандартные средства обеспечения безопасности данной ОС, которые помогают нам обеспечить защиту:

Системный журнал. Linux позволяет определить, что войдет в ревизию и будет записано в журнал событий безопасности всякий раз, когда выполняются определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает выполненное действие, пользователя, который выполнил его, а также дату и время действия. Такая функция позволяет контролировать как успешные, так и неудачные попытки каких-либо действий (попыток несанкционированного проникновения и прочее).

Системный журнал для условий школы является обязательным, так как в случае попытки взлома сети можно будет отследить источник. Но само по себе протоколирование осуществляется только в отношении подозрительных пользователей и событий.

Вполне понятно, что если фиксировать абсолютно все события, объем регистрационной информации будет расти катастрофически быстро, а ее эффективный анализ станет невозможным.

Шифрованная файловая система EncryptingFileSystem (EFS).Данная шифрованная файловая система дает возможность существенно укрепить защиту информации с помощью непосредственного шифрования файлов и папок на томах NTFS. Система работает только с теми томами дисков, на которые есть права доступа.

Принцип шифрования файловой системы EFS таков, что папки и файлы шифруются при помощи парных ключей. Поэтому, любой пользователь, который захочет обратиться к файлам и папкам должен обладать специальным личным ключом для расшифровки данных. Соответственно без этого ключа никак нельзя будет расшифровать необходимые данные.

Следует сказать, несмотря на все преимущества данной системы шифрования, в школе она не используется вообще. Это связно как с самой политики безопасности, которая не предусматривает самый высокий уровень защиты ввиду отсутствия необходимости в этом. Кроме того, использование EFS снижает производительность любой системы, а для эффективной работы сети школы очень важна еще и скорость.

Контроль над деятельностью в сети. Операционная система Linux, установленная на сервере школы предоставляет учителю достаточное количество средств для контроля над сетевой активностью, а именно:

контролировать использование ресурсов сервером;

проверять данные в журнале безопасности;

проверять записи в журнале событий;

предоставляет возможность в режиме «онлайн» видеть подключенных пользователей и открытые у них файлы на рабочих станциях;

предупреждать об определенных ошибках администратора сети.

Права пользователя. В школе права пользователя определяют разрешенные для него типы действий в сети.

Регулируются правами типы действий, которые включают вход в систему на локальный компьютер, установку времени, выключение, копирование и восстановление файлов с сервера и выполнение иных задач.

В домене Linux права предоставляются и ограничиваются на уровне домена; если группа находится непосредственно в домене, участники имеют права во всех первичных и резервных контроллерах домена.

Для каждого пользователя обязательно устанавливаются свои права доступа к информации, разрешение на копирование и восстановление файлов.

Пароли. В школе определены все аспекты политики пароля: минимальная длина пароля (8 символов), минимальный и максимальный возраст пароля и исключительность пароля, который предохраняет пользователя от изменения его пароля на тот пароль, который пользователь использовал недавно.

Как выяснилось, встроенные меры защиты информации со стороны операционной системы довольно неплохие и при должном обращении с ними могут внести большую лепту в обеспечение сохранности конфиденциальности информации и работоспособность сети.

Наиболее важным и актуальным в школе является обеспечение антивирусной защиты.

Во-первых, несмотря на то, что доступ в Интернет для пользователей ограничен, и каждый сеанс пользования Всемирной сетью строго протоколируется, всё равно есть возможность заражения вирусом, например при просмотре зараженного сайта, получения вредоносной программы через программы обмена мгновенными сообщениями и электронную почту. Поэтому даже во время этих ограниченных сеансов доступа в Интернет не исключена возможность заражения. Кроме того, следует отметить, что в настоящее время любой недобросовестный ученик может подключить свой ПК к Интернет при помощи USB 3G — EDGE модема, которые сейчас очень распространены и работают везде, где есть покрытие сотовой связи. В таком случае могут вообще посещаться любые Интернет ресурсы.

Во-вторых, ученики вполне могут приносить с собой и подключать без ведома администратора съёмные носители – USB FlashDrive или внешние жесткие портативные диски, на которым также может содержаться вредоносное программное обеспечение. Кроме того, заражение может произойти и через CD DVD приводы. Ведь ученики могут приносить свои диски с неизвестным содержимым.

Именно поэтому важным вопросом является и обеспечение должного уровня антивирусной безопасности в школе.

Конечно, обеспечение антивирусной безопасности мера комплексная, но очень большую роль здесь играет именно выбор антивирусной программы, которая должна соответствовать всем современным требованиям по самозащите приложения, эффективности, совместимости с ОС и другими программами. Кроме того, продукт должен иметь оптимальную стоимость. Хотя, конечно же, на безопасности нельзя экономить.

В школе установлен антивирус Kaspersky Internet Security 2011.

Проанализировав доступную информацию об организации защиты в школе № 20, можно сделать следующий вывод — в этой школе грамотно построенная, отлаженная и надежно работающая система защиты.

Установленный в школе антивирус Kaspersky Internet Security 2011, не самое оптимальное в настоящее время антивирусное средство защиты. Стоит установить более современные антивирусы, например, такие как Norton, ESET либо установить обновленную версию антивируса Kaspersky. В таком случае будет обеспечен довольно высокий уровень антивирусной защиты.

Заключение

Обеспечение защиты информации сейчас становится, важнейшим условием нормального функционирования любой информационной системы. В защите информации сейчас можно выделить три основных и дополняющих друг друга направления:

постоянное совершенствование технологий и организационно-технических мероприятий технологии обработки информации с целью ее защиты от внешних и внутренних угроз безопасности;

блокирование несанкционированного доступа к информации при помощи специальных аппаратных средств;

блокирование несанкционированного доступа к информации при помощи специальных программных средств.

В существующей проблеме защиты информации в сетях, которая становится всё более актуальная, выделяются три основных аспекта уязвимости:

опасность несанкционированного доступа к информации лицами, для которых она не предназначена;

возможность искажения либо уничтожения конфиденциальной, ценной информации;

возможность модификации информации, как случайная, так и умышленная.

Проанализировав средства защиты информации в сети школы № 20, был сделан вывод, что в школе грамотно построенная, отлаженная и надежно работающая система защиты, но следовало бы обновить антивирусные программы на более новые и эффективные.

Подводя итоги, можно сделать вывод о том, что в ходе работы над курсовым исследованием все, поставленные в начале исследования задачи, были решены.

Список используемых источников

Аппаратные средства компьютера [Электронный ресурс]. – URL: http://life-prog.ru/view_algoritmleng.php? >

Аппаратные средства — основа построения систем защиты от несанкционированного доступа к информации [Электронный ресурс]. – URL: http://www.morepc.ru/security/naa/okbsapr-hwnaa.html — Режим доступа: (Дата обращения: 15.04.12);

Браун, С. Мозаика и Всемирная паутина для доступа к Internet / С. Браун — М.: Мир: Малип: СК Пресс, 2011. – 234 с.

Защита персональных данных, защита от НСД [Электронный ресурс]. – URL: http://www.npp-itb.spb.ru/persdan/pdpo.shtml — Режим доступа: (дата обращения: 17.05.2014);

Информатика. Базовый курс: учебник / под ред. С. В. Симоновича. — СПб: «Питер», 2012.- 110 с.

Информационная безопасность [Электронный ресурс]. – URL: http://www.itsec.ru/articles2/Inf_security/tak-shto-zhe-takoe — Режим доступа: (дата обращения: 15.04.2014);

Кафедра информатики и компьютерного проектирования [Электронный ресурс]. – URL: http://technosystems1.narod.ru/study/computers/hardware.htm — Режим доступа: (Дата обращения: 16.04.12);

Классификация средств защиты информации [Электронный ресурс]. – URL: http://adilzom.narod.ru/5.2.htm — Режим доступа: (дата обращения: 12.04.2014);

Левин, В.К. Защита информации в информационно-вычислительных системах и сетях / Программирование. N3. 2012. – 90 с.

Мельников В. П., Клейменов С. А., Петраков А. М. Информационная безопасность и защита информации. М.: Академия. 2011. – 589 с.

Методы и средства защиты информации — [Электронный ресурс]. URL: http://knowledge.allbest.ru/programming/2c0a65625a3bd68a5c53a89521306c37_1.html — Режим доступа: (дата обращения: 10.04.2014);

Программно-аппаратные средства защиты информации — [Электронный ресурс]. URL: http://eclib.net/17/26.html — Режим доступа: (дата обращения: 10.04.2014);

Программные средства защиты информации — [Электронный ресурс]. URL: http://itsecblog.ru/programmnye-sredstva-zashhity-informacii — Режим доступа: (дата обращения: 10.04.2014);

Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / Под ред. В.Ф. Шаньгина. – 2-е изд., — М.: Радио и связь, 2011.-376 с.

Средства защиты информации — [Электронный ресурс]. URL: www.detektor.ru/prod/common/protect200171 — Режим доступа: (дата обращения: 19.03.2014);

Средства защиты информации — [Электронный ресурс]. URL: http://dic.academic.ru/dic.nsf/ruwiki/200171 — Режим доступа: (дата обращения: 19.03.2014);

Средства защиты информации — [Электронный ресурс]. URL: http://knowledge.allbest.ru/programming/2c0b65625a3ad68b5c43a88521316c36_0.html — Режим доступа: (дата обращения: 10.05.2014);

Угрозы информационной безопасности — [Электронный ресурс]. URL: ru.wikipedia.org/wiki/Угрозы_информационной_безопасности- Режим доступа: (дата обращения: 15.05.2014);

Хорев, П. Б. Методы и средства защиты информации в компьютерных системах./ П.Б. Хорев. – М.: Академия, 2011. – 430 с.

Хорев П. Б. Программно-аппаратная защита информации: учебное пособие./ П.Б. Хорев. – М.: ИД «Форум», 2011. — 352 с.

Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей / В.Ф Шаньгин. – М.: ИД «Форум»:, 2011. – 416 с.

Илон Маск рекомендует:  Что такое код ibase_commit
Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL