Реферат Проблеми захисту інформації

Страница 1 из 3 | Следующая страница

 

Проблеми захисту


Зміст

1. Адміністративна ні економічна захист інформаційних ресурсів

1.1 Захист інформації та прав суб'єктів у сфері інформаційних процесів та інформатизації вийшов

1.1.1 Цілі захисту

1.1.2 Захист інформації

1.1.3 Права й обов'язки суб'єктів у сфері захисту

1.1.4 Захист прав суб'єктів у сфері інформаційних процесів та інформатизації вийшов

1.1.5 Захист права на доступом до інформації

1.2 Методи і засоби захисту інформацією економічних інформаційних системах

1.3 Види загроз безпеціЭИС

1.4 РесурсиЭИС

2. Планування серед інформаційної системи

Література


1. Адміністративна ні економічна захист інформаційних ресурсів

 

1.1 Захист інформації та прав суб'єктів у сфері інформаційних процесів та інформатизації вийшов

 

1.1.1 Цілі захисту

>Целями захисту є:

запобігання витоку, розкрадання, втрати, спотворення, підробки інформації;

запобігання загроз безпеці особистості, суспільства, держави;

запобігання несанкціонованих дій зі знищення, модифікації, спотворення, копіювання, блокування інформації;

запобігання за інші форми незаконного втручання у інформаційні ресурси, і інформаційні системи, забезпечення правового режиму документованої інформації, як об'єкта власності;

захист конституційні права громадян збереження особистої таємниці та конфіденційності персональних даних, наявних у інформаційних системах;

збереження державних таємниць, конфіденційності документованої інформації, згідно із законодавством;

забезпечення прав суб'єктів в інформаційних процесах і розробки, виробництві й застосуванні інформаційних систем, технологій і коштів на свою забезпечення.

 

1.1.2 Захист інформації

1.Защите підлягає будь-яка документована інформація, неправомірне поводження з якій у змозі зашкодити її власнику, власнику, користувачеві й іншій особі.

Режим захисту встановлюється:

щодо відомостей, віднесених до державну таємницю, - уповноваженими органами підставі Закону Російської Федерації "Про державну таємницю";

щодо конфіденційної документованої інформації - власником інформаційних ресурсів або уповноваженою обличчям виходячи з справжнього Федерального закону;

щодо персональних даних - федеральним законом.

2. Органи державної влади організації, відповідальні формування та використання інформаційних ресурсів, що підлягають захисту, і навіть органи влади та організації, розробляють і які застосовують інформаційні системи та інформаційні технології на формування й порядку використання інформаційних ресурсів з обмеженою доступом, керуються своєї діяльності законодавством Російської Федерації.

3. Контроль над виконанням вимог до захисту інформації та експлуатацією спеціальних програмно-технічних засобів захисту, і навіть забезпечення організаційних заходів захисту інформаційних систем, обробних інформацію з обмеженою доступом в недержавних структурах, здійснюються органами структурі державної влади. Контроль ввозяться порядку, визначеному Урядом Російської Федерації.

4. Організації, обробні інформацію з обмеженою доступом, що є власністю держави, створюють спеціальні служби, щоб забезпечити захист інформації.

5. Власник інформаційних ресурсів чи уповноважені їм особи заслуговують здійснювати контролю над виконанням вимог щодо захисту інформації та забороняти чи припиняти обробку інформацією разі невиконання цих вимог.

6. Власник чи власник документованої інформації вправі звертатися до органів структурі державної влади з метою оцінки правильності виконання і вимог щодо захисту його інформацією інформаційних системах. Відповідні органи визначає Уряд Російської Федерації. Ці органи дотримуються умови конфіденційності самої інформації та результатів перевірки.

1.1.3 Права й обов'язки суб'єктів у сфері захисту

1. Власник документів, масиву документів, інформаційних систем чи уповноважені їм обличчя на відповідність до справжнім Федеральним законом встановлюють порядок надання користувачеві інформації із зазначенням місця, часу, відповідальних посадових осіб, і навіть необхідних процедур і забезпечують умови доступу користувачів до інформації.

2. Власник документів, масиву документів, інформаційних систем забезпечує рівень захисту відповідно до законодавством Російської Федерації.

3. Ризик, пов'язані з використанням несертифікованих інформаційних систем і коштів на свою забезпечення, лежить власника (власника) цих систем і коштів.

Ризик, пов'язані з використанням інформації, отриманою з несертифікованої системи, лежить споживачі інформації.

4. Власник документів, масиву документів, інформаційних систем може звертатися до організації, здійснюють сертифікацію засобів захисту інформаційних систем та інформаційних ресурсів, щодо аналізу достатності заходів захисту його ресурсів немає і систем й отримання консультацій.

5. Власник документів, масиву документів, інформаційних систем зобов'язаний оповіщати власника інформаційних ресурсів немає і (чи) інформаційних систем про всі факти порушення режиму захисту.

1.1.4 Захист прав суб'єктів у сфері інформаційних процесів та інформатизації вийшов

1. Захист прав суб'єктів у сфері формування інформаційних ресурсів, користування інформаційними ресурсами, розробки, виробництва і застосування інформаційних систем, технологій і коштів на свою забезпечення ввозяться цілях попередження правопорушень, припинення неправомірних дій, відновлення порушених правий і відшкодування заподіяного.

2. Захист прав суб'єктів у сфері здійснюється судом, арбітражний суд, третейським судом з огляду на специфіку правопорушень і завданих збитків.

3. За правопорушення під час роботи з документованої інформацією органи структурі державної влади, організації та їх посадові особи відповідають відповідно до законодавством Російської Федерації і суб'єктів Російської Федерації.

Для розгляду конфліктних ситуацій і зашиті прав учасників у сфері формування та використання інформаційних ресурсів, створення та збільшення використання інформаційних систем, технологій і коштів на свою забезпечення можна створювати часові й постійні третейські суди.

Третейський суд розглядає конфлікти суперечки сторін у порядку, встановленому законодавством про третейських судах.

4. Відповідальність порушення міжнародними нормами і у області формування та використання інформаційних ресурсів, створення і його використання інформаційних систем, технологій і коштів на свою забезпечення доручається органи структурі державної влади, організації та громадян, у відповідність до договорами, ув'язненими ними із зарубіжними фірмами та інші партнерами з урахуванням за міжнародні договори, ратифікованих Російською Федерацією.

1.1.5 Захист права на доступом до інформації

1. Відмова у доступі до відкритої інформації, або надання користувачам явно недостовірну інформацію можуть бути оскаржені через суд знову.

Невиконання чи неналежне виконання зобов'язань за договором постачання, купівлі - продажу, на інших формам обміну інформаційними ресурсами між організаціями розглядаються арбітражний суд.

В усіх випадках особи, яким у доступі до інформації, й обличчя, отримали недостовірну інформацію, мають право відшкодування завданого ними шкоди.

2. Суд розглядає суперечки необгрунтованому віднесення інформації до категорії інформації з обмеженою доступом, позови про відшкодування збитків у разі необгрунтованого відмови від надання інформації користувачам чи внаслідок інших фінансових порушень прав користувачів.

3. Керівники, інші службовці органів структурі державної влади, організацій, винних у незаконному обмеження доступу до інформації та порушенні режиму захисту, відповідають відповідно до кримінальним, цивільного законодавства і законодавством про адміністративні правопорушення.

 

1.2 Методи і засоби захисту інформацією економічних інформаційних системах

Під час розробкиАИТ виникають проблеми у вирішенні питання безпеки інформації, складової комерційну таємницю, і навіть безпеки самих комп'ютерних інформаційних систем. СучасніАИТ мають такими основними ознаками: Містять інформацію різного рівня конфіденційності;

• під час передачі даних мають криптографічну захист інформації різного рівня конфіденційності;

• відбиваютьиерархичность повноважень суб'єктів, відкривають доступом до програмам, до АРМ,файл-серверам, каналів зв'язку та інформації системи; необхідність оперативного зміни цих повноважень;

• організують обробку інформацією діалоговому режимі, як поділу часу між користувачами й у режимі реального часу;

• забезпечують управління потоками інформації, як в локальних мережах, і під час передачі каналами телефонного зв'язку на далекі відстані;

• реєструють і враховують спроби несанкціонованого доступу, події у системи та документах, виведених на печатку;

• забезпечують цілісність програмного продукту та інформації уАИТ;

• встановлюють наявність коштів відновлення системи захисту, і навіть обов'язкове врахування магнітних носіїв;

• створюють умови для фізичної охорони коштів обчислювальної техніки і магнітних носіїв. Організаційні заходи й процедури, використовувані вирішення проблеми безпеки інформації, вирішуються всіх етапах проектування й у процесі експлуатаціїАИТ. Істотне значення під час проектування надаєтьсяпредпроектному обстеження об'єкта. І на цій стадії проводяться такі дії:

• встановлюється наявність конфіденційної комп'ютерної інформації в розроблюваноїАИТ, оцінюються рівень конфіденційності та обсяги такий інформації;

• визначаються режими обробки інформації (діалоговий,телеобработки і реального часу), склад комплексу технічних засобів, загальносистемні програмні кошти й т. буд.;

• аналізується зокрема можливість використання наявних над ринком сертифікованих засобів захисту інформації;

• визначається ступінь участі персоналу, функціональних служб, наукових установ та допоміжних працівників об'єкта автоматизації у фортепіанній обробці інформації, характер їх взаємодії між собою і з службою безпеки;

• вводяться заходи щодо забезпечення режиму таємності на стадії розробки системи.

Серед організаційних заходів щодо забезпечення безпеки інформації важливе місце належить охороні об'єкта, у якому розташована що захищаєтьсяАИТ (територія будинку, приміщення, сховища інформаційних носіїв). У цьому встановлюються відповідні посади охорони, технічні засоби,предотвращающие або значно що утрудняють розкрадання коштів обчислювальної техніки, інформаційних носіїв, і навіть виключають не санкціонованого доступу доАИТ і лініях зв'язку. Функціонування системи захисту від несанкціонованого доступу як комплексу програмно-технічних засобів і організаційних (процедурних) рішень передбачає:

• облік, збереження і видачу користувачам інформаційних носіїв, паролів, ключів;

• ведення службової інформації (генерація паролів, ключів, супровід правил розмежування доступу);

• оперативний контролю над функціонуванням систем захисту секретної інформації;

• контроль відповідності загальносистемної програмної середовища еталона;

• прийомку які включаємо вАИТ нових програмних засобів;

• контролю над ходом технологічного процесу обробки фінансово-кредитної інформації шляхом реєстрації аналізу дій користувачів;

• сигналізацію небезпечних подій тощо. буд.

Слід зазначити, що належної організаційної підтримки програмно-технічних засобів захисту інформації від несанкціонованого доступу і точного виконання передбачених проектної документацією процедур в належним чином не покінчити з проблемою забезпечення безпеки інформації, хоч би досконалими ці програмно-технічні кошти не були.

Створення базової системи захисту вАИТ полягає в наступних принципах:

1. Комплексний підхід побудувати системи захисту за провідної ролі організаційних заходів. Він означає оптимальне поєднання програмних апаратних засобів і організаційних заходів захисту, підтверджене практикою створення вітчизняних і зарубіжних систем захисту.

2. Поділ і мінімізація повноважень із доступу до оброблюваної інформації та процедурам обробки.Пользователям надається мінімум суворо певних повноважень, достатніх для успішного виконання ними своїх службовими обов'язками, з погляду автоматизованої обробки доступною їм конфіденційної комп'ютерної інформації.

3. Повнота контролю та реєстрації спроб несанкціонованого доступу, тобто необхідність точного встановлення ідентичності кожного користувача і протоколювання його дії щодо можливого розслідування, і навіть неможливість скоєння будь-який операції обробки інформацієюАИТ без її попередньої реєстрації.

4. Забезпечення надійності системи захисту, тобто неможливість зниження її рівня у разі виникнення у системі збоїв, відмов, навмисних дій порушника чи випадкових помилок користувачів та обслуговуючого персоналу.

5. Забезпечення контролю над функціонуванням системи захисту, тобто створення засобів і методів контролю працездатності механізмів захисту.

6. Прозорість системи захисту у загальне, прикладного програмного забезпечення і користувачівАИТ.

7. Економічна й доцільність використання системи захисту. Він виявляється у тому, що вартість розробки та експлуатації систем захисту мають бути менші вартості можливої шкоди, спричинених об'єкту у разі розробки та експлуатаціїАИТ без системи захисту.

До основних засобів захисту, що використовуються до створення захисту, ставляться такі. Технічні кошти представляють електричні, електромеханічні і електронні устрою. Уся сукупність зазначених коштів ділиться на апаратні і обов'язкові фізичні. Під апаратними технічними засобами прийнято розуміти устрою,встраиваемие у обчислювальну техніку, чи устрою, які сполучаються з цією апаратурою за стандартним інтерфейсу.

>Физическими засобами є автономні пристрої і системи (замки на дверях, де міститься апаратура, грати на вікнах,електронно-механическое устаткування охоронної сигналізації та інших.). Програмні кошти — це програмне забезпечення, спеціально призначене до виконання функцій захисту. Організаційні засоби захисту є організаційно-технічні і організаційно-правові заходи, здійснювані під час створення і експлуатації обчислювальної техніки, апаратури телекомунікацій.

Організаційні заходи охоплюють все структурні елементи апаратури всіх етапах її життєвого циклу (проектування комп'ютерної інформаційної системи банківську діяльність, монтаж і налагодження устаткування, випробування, експлуатація). Морально-етичні засоби захисту реалізуються як різноманітних норм, що склалися традиційно чи складаються у міру поширення обчислювальної техніки і зв'язку у суспільстві. Такі норми здебільшого є обов'язковими як законодавчі заходи, проте недотримання їх веде зазвичай до втрати авторитету і престижу людини. Найпоказовішим таких норм є Кодекс професійного поведінки членів Асоціацій користувачів ЕОМ США.

Законодавчі засоби захисту визначаються законодавчими актами країни, які регламентують правила користування, оброблення і передачі обмежений доступ і що встановлюють заходи відповідальності порушення цих правил. Усі розглянуті засоби захисту розділені на формальні (виконують захисні функції виключно за заздалегідь передбаченої процедурі без особистої участі людини) «неформальні» (зумовлені цілеспрямованої діяльністю людини або які регламентують цієї діяльності). Задля реалізації заходів безпеки використовуються використовувала різні механізми шифрування (криптографії).Криптография — це наука про забезпечення таємності і/або автентичності (дійсності) переданих повідомлень.

Сутність криптографічних методів ось у чому. Готову до передавання повідомлення — чи це дані, мова або графічне зображення тієї чи іншої документа, зазвичай називається відкритим, чи незахищеним, текстом (повідомленням). У процесі передачі такого повідомлення по незахищеним різноманітних каналах зв'язку може бути легко перехоплене чи відстеженоподслушивающим обличчям у вигляді навмисних чи ненавмисних дій. Щоб запобігти несанкціонованого доступу до повідомлення воно зашифровується, преутворити в шифрограму, чи закритий текст.

>Санкционированний користувач, отримавши повідомлення, дешифрує чи розкриває його допомогою зворотного перетворення криптограми, унаслідок чого виходить вихідний відкритий текст. Метод перетворення на криптографічного системі визначається що використовуються спеціальним алгоритмом, дія якої визначається унікальним числом чибитовой послідовністю, зазвичай званимшифрующим ключем.Шифрование то, можливо симетричним і асиметричним. Перше полягає в використанні однієї й тієї ж секретного ключа для шифрування і дешифрування. Друге характеризується тим, що з шифрування використовується один загальнодоступний ключ, а дешифрування — інший, є секретним, у своїй знання загальнодоступного ключа Демшевського не дозволяє визначити секретний ключ.

Поруч із шифруванням впроваджуються такі механізми безпеки:

цифрова (електронна) підпис;

контроль доступу;

забезпечення цілісності даних;

забезпечення аутентифікації;

постановка графіка;

управління маршрутизацією;

арбітраж чи огляд.

Механізми цифрового електронного підпису грунтуються на алгоритми асиметричного шифрування і включають дві процедури: формування підписи відправником і її упізнання (>верифи-кацию) одержувачем. Перша процедура забезпечує шифрування блоку даних або його

Страница 1 из 3 | Следующая страница

Схожі реферати:

Навігація