Информационная безопасность: методы и средства защиты

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

Методы и средства защиты информации

1. Защита коммерческой информации

2. Криптографические методы защиты информации

3. Управление доступом как один из способов защиты информации

4. Методы защиты информации - идентификация и аутентификация

5. Нормативно-методическое обеспечения

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ



ВВЕДЕНИЕ

Тенденция развития современных технологий характеризуется постоянным повышением значения информации. Производственные процессы имеют в своём составе материальную и нематериальную составляющие. Первая - это необходимое для производства оборудование, материалы и энергия в нужной форме (то есть, чем и из чего изготавливается предмет). Вторая составляющая - технология производства (то есть, как он изготавливается). Вспомнив в общих чертах историю развития производительных сил на Земле, можно увидеть, что роль (и, соответственно, стоимость) информационной компоненты в любом производстве с течением времени возрастает. В последнее столетие появилось много таких отраслей производства, которые почти на 100% состоят из одной информации, например, дизайн, создание программного обеспечения, реклама и другие. Соответственно, и себестоимость товара складывается из стоимости материала, энергии и рабочей силы с одной стороны и стоимости технологии, с другой.

Предмет исследования: способы защиты информации на предприятии ООО «Восток-Сервис НН».

Цель данной работы: выявить средства защиты информации на конкретном предприятии.

Задача: рассмотреть имеющиеся методы защиты информации.

Сегодня у руководства большинства организаций, предприятий и банков не остается сомнений в необходимости серьезно заботиться об информационной безопасности. Здесь и необходимость сохранения различных видов тайн, обеспечение безопасности электронных документов, да и безопасность самих работников организации напрямую связана со степенью информационной безопасности. Рост применения современных информационных технологий в различных сферах делает возможным распространение разных злоупотреблений, связанных с использованием вычислительной техники.

Актуальность проблемы защиты информации.

В последнее время вырос интерес к вопросам защиты информации. Это связывают с тем, что стали более широко использоваться вычислительные сети, что приводит к тому, что появляются большие возможности для несанкционированного доступа к передаваемой информации. В литературе выделяют различные способы защиты информации среди них выделим:

-физические (препятствие)

-законодательные

-управление доступом

-криптографическое закрытие.

Актуальность проблемы защиты информации связана с ростом возможностей вычислительной техники. Развитие средств, методов и форм автоматизации процессов обработки информации, массовость применения ПЭBM резко повышают уязвимость информации. Ocнoвными фaктopaми, cпocoбcтвующими пoвышeнию этoй уязвимocти, являютcя:

- резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭBM и других средств автоматизации;

- сосредоточение в единых базах данных информации различного назначения и различной принадлежности;

- резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней массивам данных;

- усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение мультипрограммного режима, а также режима разделения времени;

- автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.



МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

Информационная безопасность - это один из лучших переводов английского термина information security. Его можно перевести - "защита информации". В Российской Федерации словосочетание информационная безопасность имеет научный, теоретический окрас, а термин защита информации применяется в повседневной практике.

ГОСТ Р 50922-96 определил защиту информации как деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Настоящий стандарт установил основные термины и определения понятий в области защиты информации. Термины, установленные этим стандартом, обязательны для применения во всех видах документации и литературы по защите информации, входящих в сферу работ по стандартизации и (или) использующих результаты этих работ.

1. Защита коммерческой информации

информационный безопасность защита

Защита коммерческой информации как часть деятельности по обеспечению безопасности предпринимательства в целом, предполагает, что возможные противоправные посягательства на коммерческую информацию могут идти по различным направлениям. В связи с этим эффективная защита информации должна предусматривать целую систему направлений деятельности, каждому из которых соответствует свой способ защиты.

Одним из таких направлений является организация эффективной защиты экономической безопасности фирмы ООО «Восток-Сервис НН» со стороны персонала, которая включает три основных этапа работы с сотрудниками, допущенными к конфиденциальной информации:

предварительный (в период предшествующий приему на работу);

текущий (в период работы сотрудника);

заключительный (во время увольнения сотрудника).

Предварительный этап является наиболее ответственным и, соответственно, более сложным. Прежде всего, на основании должностной инструкции и особенностей деятельности разрабатываются требования к кандидату на должность. Они включают не только формальные требования: пол, возраст, образование, опыт работы, но и ряд морально-психологических качеств, которыми должен обладать кандидат. Это позволяет уточнить, какой работник необходим фирме, а самому кандидату сопоставить собственные качества с требуемыми.

Затем производится подбор кандидатов на вакантную должность. Методы подбора кандидатом могут быть разнообразными. Предпочтение следует отдавать тем методам, которые минимизируют возможность проникновения недобросовестных людей, либо представляющих интересы конкурентов или криминальных структур. К ним относятся:

- обращение в службы занятости, агентства по найму рабочей силы и прочие аналогичные организации;

- поиск кандидатов среди студентов и выпускников высших учебных заведений;

- подбор кандидатов по рекомендациям фирм-партнеров;

Подбор, основанный на случайном обращении кандидатов непосредственно в фирму, может представлять угрозу ее экономической безопасности в будущем.

Целесообразно, особенно при случайном подборе кандидата, произвести запрос на предыдущее место работы с целью получения характеристики его морально-деловых качеств, а также данных о погашенных судимостях.

После ознакомления с документами кандидата производится собеседование работника кадровой службы фирмы с кандидатом. Кандидат заполняет анкету, отвечает на вопросы, в том числе вопросы профессиональных и психологических тестов. Следует отметить, что психологические качества кандидата не менее важны, чем профессиональные. Психологический отбор позволяет не только выяснить морально-этические качества кандидата, его слабости, устойчивость психики, но и его возможные преступные наклонности, умение хранить секреты.

В случае успешного прохождения кандидатом проверки и признания его соответствующим должности, осуществляется заключение (подписание) двух документов:

- трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;

- договора (обязательства) о неразглашении конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы в фирме, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

Непосредственная деятельность вновь принятого работника, в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией, должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.

В процессе постоянной работы необходимо определение порядка доступа сотрудников к конфиденциальной информации (коммерческой тайне). Все работники фирмы (предприятия), имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрен их должностными обязанностями и требуется для работы. В связи с этим каждая должность должна предусматривать право получения определенного объема конфиденциальной информации, выход за который будет считаться нарушением обязанностей, и представлять определенную угрозу безопасности фирмы. Размер этого перечня определяется руководителем фирмы, либо специальной комиссией. В соответствии с ним каждый работник получает допуск к конфиденциальной информации определенного уровня.

Третий этап - увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности. Уволившийся работник, не имея обязанностей перед фирмой, может поделиться ценными сведениями с конкурентами, криминальными структурами. Для снижения опасности таких последствий при увольнении работник предупреждается о запрещении использования сведений в своих интересах или интересах других лиц и дает подписку о неразглашении конфиденциальной информации (коммерческой тайны) после увольнения в течение определенного срока. В противном случае все убытки, которые будут причинены предпринимателю вследствие разглашения информации, могут быть взысканы в судебном порядке.

Принимая во внимание российскую специфику, выделяются следующие основные способы защиты информации, которые могут использоваться предпринимателями:

Законодательный. Основан на соблюдении тех прав предпринимателя на конфиденциальную информацию, которые содержатся в российском законодательстве. При обнаружении нарушения прав предпринимателя как собственника, владельца или пользователя информации должно быть обращение в соответствующие органы (МВД, ФСБ, прокуратуру, суд) для восстановления нарушенных прав, возмещения убытков и т.п.

Физическая защита - охрана, пропускной режим, специальные карточки для посторонних, использование закрывающихся помещений, сейфов, шкафов и пр.

Организационный. Он включает:

- введение должности или создания службы, ответственной за отнесением определенной информации к категории конфиденциальной, соблюдением правил доступа и пользования этой информацией;

- разделение информации по степени конфиденциальности и организация допуска к конфиденциальной информации только в соответствии с должностью или с разрешения руководства;

- наличие постоянно действующей системы контроля за соблюдением правил доступа и пользования информацией (контроль может быть визуальный, документальный и др.).

Технический. Используются такие средства контроля и защиты как сигнализирующие устройства, видеокамеры, микрофоны, средства идентификации, а также программные средства защиты компьютерных систем от несанкционированного доступа.

Работа с кадрами. Предполагает активную работу кадровых служб фирмы по набору, проверке, обучению, расстановке, продвижению, стимулированию персонала. Следует регулярно проводить инструктажи персонала о необходимости соблюдения правил пользования конфиденциальной информацией и об ответственности за нарушения.

Часть этих способов предполагает значительные финансовые расходы, в связи с чем использование всех способов одновременно по средствам только достаточно крупным и платежеспособным фирмам.

2. Криптографические методы защиты информации

Криптография в переводе с древнегреческого означает «тайнопись». Суть ее заключается в том, что готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, то есть в закрытый текст или графическое изображение документа. В таком виде сообщение передается по каналу связи, даже и не защищенному. Санкционированный пользователь после получения сообщения его раскрывает посредством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям

Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом (последовательностью бит), обычно называемым шифрующим ключом.

Для большинства систем схема генератора ключа может представлять собой набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все это вместе, но в любом случае процесс шифрования (дешифрования) реализуется только этим специальным ключом. Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю, необходимо знать правильную ключевую установку и хранить ее в тайне.

Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее, этот ключ должен быть известен другим пользователям сети, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации. Взломщик в случае перехвата сообщения будет иметь дело только с зашифрованным текстом, а истинный получатель, принимая сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.

Существует довольно много различных алгоритмов криптографической защиты информации. Среди них можно назвать алгоритмы DES, Rainbow (CIIJA); FEAL-4 и FEAL-8 (Япония); В-Crypt (Великобритания); алгоритм шифрования по ГОСТ 28147 -- 89 (Россия) и ряд других, реализованных зарубежными и отечественными поставщиками программных и аппаратных средств защиты.

Наиболее перспективными системами криптографической защиты данных сегодня считаются асимметричные криптосистемы, называемые также системами с открытым ключом. Их суть состоит в том, что ключ, используемый для зашифровывания, отличен от ключа расшифровывания. При этом ключ зашифровывания не секретен и может быть известен всем пользователям системы. Однако расшифровывание с помощью известного ключа зашифровывания невозможно. Для расшифровывания используется специальный, секретный ключ. Знание открытого ключа не позволяет определить ключ секретный. Таким образом, расшифровать сообщение может только его получатель, владеющий этим секретным ключом.

Асимметричные криптосистемы наиболее перспективны, так как в них не используется передача ключей другим пользователям и они легко реализуются как аппаратным, так и программным способами

Процессы защиты информации, шифрования и дешифрования связаны с кодируемыми объектами и процессами, их свойствами, особенностями перемещения. Такими объектами и процессами могут быть материальные объекты, ресурсы, товары, сообщения, блоки информации. Кодирование кроме целей защиты, повышая скорость доступа к данным, позволяет быстро определять и выходить на любой вид товара и продукции, страну-производителя и т.д. В единую логическую цепочку связываются операции, относящиеся к одной сделке, но географически разбросанные по сети.

В совокупности кодирование, шифрование и защита данных предотвращают искажения информационного отображения реальных производственно-хозяйственных процессов, движения материальных, финансовых и других потоков, а тем самым способствуют обоснованности формирования и принятия управленческих решений.



3. Управление доступом как один из способов защиты информации

Управление доступом как один из способов защиты информации - это cпocoб защиты инфopмaции с помощью peгулиpoвaния иcпoльзoвaния вcex pecуpcoв cиcтeмы (тexничecкиx, пpoгpaммныx cpeдcтв, элeмeнтoв бaз дaнныx). Упpaвлeниe дocтупoм включaeт cлeдующиe функции зaщиты:

- пpoверку пoлнoмoчий, зaключaющуюcя в пpoверкe cooтвeтвeтcтвия вpeмeни, ресурсов и пpoцeдуp уcтaнoвлeннoму peглaмeнту;

- paзpeшeниe и coздaниe уcлoвий paбoты в пpeдeлax (и тoлькo в пpeдeлax) уcтaнoвлeннoгo peглaмeнтa;

- peгиcтpaцию (пpoтoкoлиpoвaниe) oбpaщeний к зaщищаемым ресурсам;

- peaгиpoвaниe (зaдержкa paбoт, oтключeниe, cигнaлизaция) пpи пoпыткax несанкциoниpoвaнныx дeйcтвий.

- идeнтификaцию пoльзoвaтeлeй, персонaлa и ресурсов cиcтемы, пpичeм пoд идeнтификaциeй пoнимаетcя пpиcвоениe кaждoму oбъeкту персонaльнoгo идeнтификaтора (имeни, кoдa, пapoля и т.п.) и oпoзнaниe (уcтaнoвлeниe пoдлинности) cубъeктa или oбъeктa пo пpeдъявлeннoму идeнтификaтopу.

Самым распространенным методом установления подлинности является метод паролей. Он характеризуется простотой реализации и использования и низкой стоимостью. Пароль представляет собой строку символов, которую пользователю необходимо ввести (напечатать, набрать на клавиатуре). Если пароль соответствует тому, который хранится в памяти, то пользователь может пользоваться всей информацией, доступ к которой ему разрешен. Пароль можно также использовать независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т.д. Различаются несколько типов паролей: простой пароль, пароль однократного использования, пароль на основе метода «зaпрос-oтвeт», пapoль нa оснoвe oпpeдeлeннoгo aлгopитмa.

Простoй пapoль. Схемa простoгo пapoля oчeнь лeгкa для иcпoльзoвaния: пoльзoвaтeль тoлькo ввoдит c клaвиaтуpы пapoль послe зaпроса, a кoмпьютернaя пpoгpaммa (или cпeциaльнaя микросхемa) кoдиpуeт eгo и cpaвнивает c хранящимcя в пaмяти ЭBM этaлoнoм. Пpeимущество этoгo мeтoдa - нeт нeoбходимости зaпиcи пapoля. Heдостaтoк - oтноситeльнo простoй мeтoд, зaщитa лeгкo cнимаетcя. Peкoмeндуeтcя иcпoльзoвaть этoт мeтoд в cлучaяx, кoгдa зaщищaютcя дaнныe c нeбoльшим знaчeниeм и cтoимостью.

Пapoль oднoкpaтнoгo иcпoльзoвaния. B схемe oднoкpaтнoгo пapoля пoльзoвaтeлю выдаетcя cпиcoк из N пapoлeй, кoтopыe хранятcя в пaмяти ЭBM (oбычнo в зaшифpoвaннoм видe). Послe иcпoльзoвaния пapoль уничтoжаетcя в пaмяти, вычеркиваетcя из cпиcкa. Пpи этoм перехвaт пapoля cтaнoвитcя бeссмыcлeнным - eгo знaчeниe нe пoвтopяeтcя. Пpeимуществo дaннoгo мeтoдa - oн oбеспeчивает бoльшую cтeпeнь бeзoпacности, нo oн являeтcя и бoлее cлoжным. Meтoд нe cвoбoдeн oт нeдостaткoв. Bo-первыx, нeoбходимo гдe-тo хранить cпиcoк пapoлeй, зaпoминaть eгo пpaктически нeвoзмoжнo. B cлучае oшибки в пpoцecce передaчи пoльзoвaтeль oкaзываетcя в зaтpуднитeльнoм пoлoжeнии: oн нe знает, cлeдуeт ли eму передaть тoт жe caмый пapoль или послaть cлeдующий. Bo-втopыx, вoзникaют чиcтo aдминиcтpaтивныe тpудности: cпиcoк мoжeт зaнимaть достaтoчнo бoльшoй oбъeм пaмяти в ЭBM, eгo нeoбходимo постoяннo измeнять и т.д.

Meтoд «зaпрос - oтвeт».B мeтoдe «зaпрос-oтвeт» пoльзoвaтeль дoлжeн дaть пpaвильныe oтвeты нa нaбop вoпpocoв, кoтopый хранитcя в пaмяти ЭBM и упpaвляeтcя oпepaциoннoй cиcтeмoй. Инoгдa пoльзoвaтeлям зaдаетcя бoльшое кoличествo вoпpocoв и oт ниx тpeбуют oтвeты нa тe, кoтopыe oни caми выберут. Достoинcтвo дaннoгo мeтoдa состоит в том, чтo пoльзoвaтeль мoжeт выбpaть вoпросы, a этo дает весьмa хорошую cтeпeнь бeзoпacности в пpoцессе включeния в paбoту.

Пароль на основе алгоритма. Пароль определяется на основе алгоритма, который хранится в памяти ЭВМ и известен пользователю. Это часто называют процедурой «рукопожатия». Метод состоит в том, что система выводит на экран случайное число, а затем пользователь с одной стороны и ЭВМ с другой, вычисляют по определенному алгоритму пароль. Процедуры в режиме «рукопожатия» обеспечивают большую степень безопасности, чем многие другие схемы но вместе с тем являются более сложными и требующими дополнительных затрат времени для пользователя.

Meтoды пapoлeй чacтo иcпoльзуютcя в системах зaщиты инфopмaции. Oни характеризуютcя простoтoй, низкoй cтoимостью peaлизaции, малыми затратами машинного времени и зaнимaют нeбольшое простpaнcтвo пaмяти. Пapoльнaя защитa pacпростpaнeнa oчeнь шиpoкo, однaкo чacтo нe достигаетcя достaтoчнoгo эффeктa.

4. Методы защиты информации - идентификация и аутентификация.

Аутентификация - это процесс, в ходе которого на основании пароля, ключа или какой-либо иной информации, пользователь подтверждает, что является именно тем, за кого себя выдает.

Идентификация - это процесс, в ходе которого выясняются права доступа, привилегии, свойства и характеристики пользователя на основании его имени, логина или какой-либо другой информации о нем.

При входе пользователя в систему первым делом происходит его аутентификация. Если введенные логин и пароль совпадают с хранимыми в системе на сервере, то пользователь успешно входит в систему, иначе ему отказывается в доступе. Здесь уместно контролировать количество попыток, дабы избежать подбора паролей. В зависимости от сложности и надежности системы необходимо выбрать механизм работы с паролями. В самом простом случае можно разрешить пользователю самостоятельно вводить пароль. Но достаточно большое количество пользователей в качестве пароля вводит свой: логин, имя, номер телефона и т.п. Это можно разрешить только в тех системах, где проблема защиты информации пользователя является его собственным делом и не нанесет вреда системе в целом.

Идентификация и аутентификация (ИдиА) - это процесс распознавания и проверки подлинности заявлений о себе пользователей и процессов. ИдиА обычно используется при принятии решения, можно ли разрешить доступ к системным ресурсам пользователю или процессу.

Аутентификация через Интернет имеет ряд проблем. Достаточно легко можно перехватить данные идентификации и аутентификации (или вообще любые данные) и повторить их, чтобы выдать себя за пользователя. При аутентификации вообще пользователи часто выражают недовольство ею и часто совершают ошибки, что делает возможным получение данных ИдиА с помощью социальной инженерии. Наличие дополнительной ИдиА при использовании Интернета делает необходимым распространение среди пользователей данных для ИдиА, что будет лишь усложнять им работу. Другой проблемой является возможность вклиниться в сеанс пользователя после выполнения им аутентификации.

Существует три основных вида аутентификации - статическая, устойчивая и постоянная. Статическая аутентификация использует пароли и другие технологии, которые могут быть скомпрометированы с помощью повтора этой информации атакующим. Часто эти пароли называются повторно используемыми паролями. Устойчивая аутентификация использует криптографию или другие способы для создания одноразовых паролей, которые используются при проведении сеансов работы. Этот способ может быть скомпрометирован с помощью вставки сообщений атакующим в соединение. Постоянная аутентификация предохраняет от вставки сообщений атакующим.

1. Статическая аутентификация

Статическая аутентификация обеспечивает защиту только от атак, в ходе которых атакующий не может видеть, вставить или изменить информацию, передаваемую между аутентифицируемым и аутентифицирующим в ходе аутентификации и последующего сеанса. В этом случае атакующий может только попытаться определить данные для аутентификации пользователя с помощью инициации процесса аутентификации (что может сделать законный пользователь) и совершения ряда попыток угадать эти данные. Традиционные схемы с использованием паролей обеспечивают такой вид защиты, но сила аутентификации в основном зависит от сложности угадывания паролей и того, насколько хорошо они защищены.

2. Устойчивая аутентификация

Этот класс аутентификации использует динамические данные аутентификации, меняющиеся с каждым сеансом аутентификации. Атакующий, который может перехватить информацию, передаваемую между аутентифицируемым и аутентифицирующим , может попытаться инициировать новый сеанс аутентификации с аутентифицирующим, и повторить записанные им данные аутентификации в надежде замаскироваться под легального пользователя. Усиленная аутентификация 1 уровня защищает от таких атак, так как данные аутентификации, записанные в ходе предыдущего сеанса аутентификации, не смогут быть использованы для аутентификации в последующих сеансах.

Тем не менее, устойчивая аутентификация не защищает от активных атак, в ходе которых атакующий может изменить данные или команды, передаваемые пользователем серверу после аутентификации. Так как сервер связывает на время сеанса данного аутентифицировавшегося пользователя с данным логическим соединением, он полагает, что именно он является источником всех принятых им команд по этому соединению.

Традиционные пароли не смогут обеспечить устойчивую аутентификацию, так как пароль пользователя можно перехватить и использовать в дальнейшем. А одноразовые пароли и электронные подписи могут обеспечить такой уровень защиты.

3. Постоянная аутентификация

Этот тип аутентификации обеспечивает защиту от атакующих, которые могут перехватить, изменить и вставить информацию в поток данных, передаваемых между аутентифицирующим и аутентифицируемым даже после аутентификации. Такие атаки обычно называются активными атаками, так как подразумевается, что атакующий может активно воздействовать на соединение между пользователем и сервером.

5. Нормативно-методическое обеспечение

Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.

Нормативно-методическое обеспечение может быть слито с правовым.

Следует отметить, что из всех мер защиты в настоящее время ведущую роль играют организационные мероприятия. Поэтому возникает вопрос об организации службы безопасности.

Реализация политики безопасности требует настройки средств защиты, управления системой защиты и осуществления контроля функционирования ИС.

Как правило, задачи управления и контроля решаются административной группой, состав и размер которой зависят от конкретных условий. Очень часто в эту группу входят администратор безопасности, менеджер безопасности и операторы. В самой большой сети мира Интернет атаки на компьютерные системы прокатываются, как цунами, не зная ни государственных границ, ни расовых или социальных различий. Идет постоянная борьба интеллекта, а также организованности системных администраторов и изобретательности хакеров.

Разработанная корпорацией Microsoft операционная система Windows.NT в качестве основы ИС получает все большее распространение. И конечно, хакеры всего мира обратили на нее пристальное внимание.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер -- это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.

Регламентация -- создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение -- метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение -- метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.



ЗАКЛЮЧЕНИЕ

Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны с недостаточностью средств безопасности как таковых и с отсутствием взаимосвязи между ними. Для осуществления полноценной защиты информации необходима слаженная работа всех средств безопасности. Лишь в комплексе они могут обеспечить полноценную защиту ценных данных. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.

Естественно, что указанные средства защиты не всегда надежны, так как на сегодняшний день быстрыми темпами развивается не только техника (в нашем случае компьютерная), постоянно совершенствуется не только сама информация, но и методы, позволяющие эту информацию добывать.

Наш век часто называют информационной эпохой, и он несет с собой огромные возможности, связанные с экономическим ростом, технологическими новшествами. На данный момент обладание электронными данными, которые становятся наибольшей ценностью информационной эры, возлагает на своих владельцев права и обязанности по контролю за их использованием. Файлы и сообщения, хранимые на дисках и пересылаемые по каналам связи, имеют иногда большую ценность, чем сами компьютеры, диски. Поэтому перспективы информационного века могут быть реализованы только в том случае, если отдельные лица, предприятия и другие подразделения, владеющие информацией, которая все чаще имеет конфиденциальный характер или является особо важной, смогут соответствующим образом защитить свою собственность от всевозможных угроз, выбрать такой уровень защиты, который будет соответствовать их требованиям безопасности, основанным на анализе степени угрозы и ценности хранимой собственности.

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

1. Батурин, Ю.М. Компьютерная преступность и компьютерная безопасность / Ю.М. Батурин, А.М. Жодзинский. - М.: Юридическая литература, 2006. - 160 с.

2. Мельников, Ю.Н. Обеспечение целостности информации в вычислительных системах / Ю.Н. Мельников, В.А. Мясников, Ю.П. Лутковский // Защита информации - 2007. - № 1. - С. 72 - 79.

3. Ярочкин, В.И. Система безопасности фирмы / В.И. Ярочкин. - М.: Академия, 1998. - с. 8-10.

4. Медведовский, И.П. Атака через Internet / И.П. Медведовский, П.В. Семьянов, В.А. Платонов; Ред. П.Д. Зегжды. - СПб.: Мир и Семья - 95, 1997 - 296 с.

5. Жуков, Н.С. Информационная безопасность. Практическое руководство / Н.С. Жуков, А.Ю. Кораблев, Ю.Н. Мельников // Вестник Ассоциации Российских банков - 1999. - №27-33. - С. 45.

6. Курушин, В.Д. Компьютерные преступления и информационная безопасность / В.Д, Курушин, В.А. Минаев. - М.: Новый юрист, 1998. - 172 с.

7. Информатика: учеб. пособие / Ю.Н. Мельников; ред. П.Б. Хореев. - М.: Папирус Про, 2003. - 662 с.

8. Мельников В.В. Защита информации в компьютерных системах. - М.: Финансы и статистика; Электронинформ, 2007. -554-556с.

9. Степанов, Е.В. "Кроты" на фирме (персонал и конфиденциальная информация) / Е.В.Степанов // Предпринимательское право - 1999. - №4. - С. 54.

10. Казакевич, О.Ю. Предприниматель в опасности: способы защиты. Практическое руководство для предпринимателей и бизнесменов / О.Ю. Казакевич, Н.В.Конев, В.Г. Максименко и др. - М.: Юрфак МГУ, 1992. - с. 46-47.

11. Герасименко, В.А. Основы защиты информации / В.А.Герасименко, А.А. Малюк. - М.: Инфо, 1994. - 540с

12. Алферов, А.П. Основы криптографии / А.П. Алферов, А.Ю. Зубов, Кузьмин, А.В.Черемушкин. - М.: Гелиос АРБ, 2002. - 480 с.

13. Брассар, Ж.Б. Современная криптология / Ж.Б. Брассар; Ред. А.Н. Лебедева. - М.: Издательско-полиграфическая фирма ПОЛИМЕД, 1999. - 176 с.

14. Мельников, Ю.Н. Общие принципы защиты банковской информации / Ю.Н. Мельников // Банковские технологии - 2006. - № 7. - С. 21-27.

15. Мельников, Ю.Н. Защита информации. Лабораторные работы: Методич. пособие / Ю.Н. Мельников, А.А. Теренин, Д.Ю. Иванов, Д.Ю. Мзоков и др. - М.: МЭИ, 2002. - 95 с.

16. Ю.Н. Максимов, В.Г. Сонников, В.Г. Петров и др. Технические методы и средства защиты информации. - СПб.: ООО «Издательство Полигон», 2000. - 320 с.

Размещено на Allbest.ru

...