Размещено на http://www.allbest.ru/

Введение

Персональные компьютеры, системы управления и сети на их основе быстро входят во все области человеческой деятельности. Среди них можно выделить такие сферы применения, как военная. Коммерческая, банковская, посредническая, научные исследования по высоким технологиям и др. очевидно, широко используя компьютеры и сети для обработки и передачи информации, эти отрасли должны быть надежно защищены от возможности доступа к ней посторонних лиц. Ее утраты или искажения. Согласно статистическим данным, более 80% компаний несут финансовые убытки из-за нарушения целостности и конфиденциальности используемых данных.

Кроме информации, составляющей государственную или коммерческую тайну, существует информация, представляющая собой интеллектуальную собственность. К ней можно отнести результаты научных исследований, программы, обеспечивающие функционирование компьютера, игровые программы, оригинальные аудио- и видеоклипы, которые защищаются законами, принятыми в большинстве стран мирового сообщества. Стоимость такой информации в мире составляет несколько триллионов долларов в год. Ее несанкционированное копирование снижает доходы компаний и авторов, занятых ее разработкой.

В повседневной жизни человека сохранность информации о его жизни зависит от него самого. Но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу, а конкретно - работодателю. Работник в данной ситуации передает конфиденциальную информацию о себе на ответственное хранение. Далее за сохранность данных отвечает уже работодатель. Он обязан оберегать сведения о работнике от посягательств третьих лиц и нести ответственность за распространение указанных данных.

Усложнение методов и средств организации машинной обработки, повсеместное использование глобальной сети Интернет приводит к тому, что информация становится более уязвимой. Этому способствуют такие факторы, как постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, имеющих доступ к ресурсам, программам и данным, недостаточный уровень защиты аппаратных и программных средств компьютеров и коммуникационных систем и т.п.

Учитывая эти факты, защита информации в процессе ее сбора, хранения, обработки и передачи приобретает исключительно важное значение.

Поэтому цель данной работы: наиболее детально рассмотреть вопросы информационной безопасности, изучить способы и средства нарушения конфиденциальности информации, а также методы ее защиты.

1. Обеспечение конфиденциальности информации

1) организационные (административные, законодательные);

2) инженерно-технические (физические, аппаратные, программные и криптографические).

Административные - комплекс организационно-правовых мер и мероприятий, регламентирующих (на основе нормативно правовых актов: приказов, директив, инструкций и т.п.) процессы функционирования автоматизированных систем, использование ее аппаратно-программных средств, а также взаимодействие пользователей и обслуживающего персонала с автоматизированными системами с целью исключения возможностей или существенного затруднения несанкционированного доступа к информационным массивам. Комплекс законодательных мер определяется законами страны, постановлениями, регламентирующими правила переработки и использования информации ограниченного доступа и ответственность за их нарушение.

Комплекс физических мер и мероприятий предназначен для создания физических препятствий для потенциальных нарушителей на пути в места, в которых можно иметь доступ к защищаемой информации.

Аппаратные методы обеспечения конфиденциальности информации - это комплекс мероприятий по разработке и использованию механических, электрических, электронных и других устройств, предназначенных для защиты информации от несанкционированного доступа, утечки и модификации.

Программными решениями (методами) обеспечения конфиденциальности информации являются комплексы специальных программ и компонентов общего программного обеспечения автоматизированных систем, предназначенных для выполнения функций контроля, разграничения доступа и исключения несанкционированного использования информации.

Криптографические методы обеспечения конфиденциальности информации в автоматизированных системах - это комплекс процедур и алгоритмов преобразования информации, обеспечивающих скрытность смыслового содержания информационных массивов.

2. Методы разграничения доступа

При организации доступа субъектов к объектам выполняются следующие действия:

1) Идентификация и аутентификация субъекта доступа - при входе в компьютерную систему. При получении доступа к программам и конфиденциальным данным субъект должен быть идентифицирован и аутентифицирован. Эти две операции обычно выполняются вместе, т.е. пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация), а затем сообщает секретные сведения, подтверждающие, что он тот, за кого себя выдает.

Иногда проводится дополнительно авторизация субъекта, под которой понимается создание программной среды для его работы. Но основными средствами обеспечения безопасности являются идентификация и аутентификация.

Обычно данные, идентифицирующие пользователя, не засекречены, но для усложнения проведения атак по несанкционированному доступу желательно хранить эти данные в файле, доступ к которому возможен только администратору системы.

Для аутентификации субъекта чаще всего используются атрибутивные идентификаторы, которые делятся на следующие категории:

- пароли;

- съемные носители информации;

- электронные жетоны;

- пластиковые карты;

- механические ключи.

Одним из надежных способов аутентификации является биометрический принцип, использующий некоторые стабильные биометрические показатели пользователя, например, отпечатки пальцев, рисунок хрусталика глаза, ритм работы на клавиатуре и др. Для снятия отпечатков пальцев и рисунков хрусталика требуются специальные устройства, которые устанавливаются на компьютерных системах высших уровней защиты.

2) Проверка прав доступа субъекта к объекту - в модель информационной безопасности введены определения объекта и субъекта доступа. Каждый объект имеет некоторые операции, которые над ним может производить субъект доступа, и которые могут быть разрешены или запрещены данному субъекту или множеству субъектов. Возможность доступа обычно выясняется на уровне операционной системы компьютерной системы и определяется архитектурой операционной системы и текущей политикой безопасности.

Существует несколько моделей разграничения доступа. Наиболее распространенными являются:

- дискреционная модель разграничения доступа;

- полномочная (мандатная) модель разграничения доступа;

Дискреционная модель, или избирательное разграничение доступа, характеризуется следующим набором правил:

- для любого объекта существует владелец;

- владелец может произвольно ограничивать доступ субъектов к данному объекту;

- для каждой тройки субъект - объект - метод возможность доступа определена однозначно;

- существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.

В этой модели для определения прав доступа используется матрица доступа, строки которой - субъекты, а столбцы - объекты. В каждой ячейке хранится набор прав доступа данного субъекта к данному объекту. Типичный объем матрицы доступа для современной операционной системы составляет десятки мегабайт.

Полномочная (мандатная) модель характеризуется следующим набором правил:

- каждый объект имеет гриф секретности. Чем выше его числовое значение, тем секретнее объект;

- каждый субъект доступа имеет уровень допуска.

Допуск субъекта к объекту в этой модели разрешен только в том случае, если субъект имеет значение уровня допуска не менее, чем значение грифа секретности объекта. Достоинством этой модели являются отсутствие необходимости хранить большие объемы информации о разграничении доступа. каждый субъект хранит только значение своего уровня доступа, а каждый объект - значение своего грифа секретности.

3) Ведение журнала учета действий субъекта - политика безопасности предполагает контроль за работой компьютерных систем и ее компонентов, который заключается в фиксировании и последующем анализе событий в специальных журналах - журналах аудита. Периодически журнал просматривается администратором операционной системы или специальным пользователем - аудитором, которые анализируют сведения, накопленные в нем.

Криптографические методы являются наиболее эффективными средствами защиты информации в автоматизированных системах, при передаче же по протяженным линиям связи они являются единственным реальным средством предотвращения несанкционированного доступа к ней. Метод шифрования характеризуется показателями надежности и трудоемкости.

Важнейшим показателем надежности криптографического закрытия информации является его стойкость - тот минимальный объем зашифрованного текста, который можно вскрыть статистическим анализом. Таким образом, стойкость шифра определяет допустимый объем информации, зашифровываемый при использовании одного ключа.

Шифрование - процесс преобразования открытого сообщения в шифрованное сообщение (криптограмму, шифртекст) с помощью определенных правил, содержащихся в шифре.

Трудоемкость метода шифрования определяется числом элементарных операций, необходимых для шифрования одного символа исходного текста.

Основные требования к криптографическому закрытию информации:

1. Сложность и стойкость криптографического закрытия данных должны выбираться в зависимости от объема и степени секретности данных.

2. Надежность закрытия должна быть такой, чтобы секретность не нарушалась даже в том случае, когда злоумышленнику становится известен метод шифрования.

3. Метод закрытия, набор используемых ключей и механизм их распределения не должны быть слишком сложными.

4. Выполнение процедур прямого и обратного преобразований должно быть формальным. Эти процедуры не должны зависеть от длины сообщений.

5. Ошибки, возникающие в процессе преобразования, не должны распространяться по всему тексту.

6. Вносимая процедурами защиты избыточность должна быть минимальной.

3. Контроль защиты информации

конфиденциальность автоматизированный криптографический доступ

С целью взаимопонимания между руководством фирмы и работником всех рангов, а также службе безопасности для защиты конфиденциальной информации следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основные формы контроля:

· аттестация работников;

· отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;

· регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации;

· самоконтроль.

При работе с персоналом фирмы необходимо уделять внимание не только сотрудникам, работающим с конфиденциальной информацией. Под контролем должны находиться и лица, не имеющие доступа к секретам фирмы. Также необходимо учитывать, что эти работники могут быть посредниками в действиях злоумышленника. Кроме того, нужно всегда помнить, что работники, владеющие конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Необходимо сделать так, чтобы психологический настрой коллектива и отдельных работников всегда находился в центре внимания руководства фирмы и службы безопасности.

В случае установления фактов невыполнения любым из руководителей или работников требований по защите информации к ним обязательно должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Очень важно, чтобы наказание было обязательным и своевременным, не взирая на должнос тной уровень работника и его взаимоотношения с руководством фирмы.

Одновременно с виновным лицом ответственность за разглашение сведений, являющихся секретами фирмы, несут руководители фирмы и ее структурных подразделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы.

По фактам разглашения или утечки конфиденциальной информации, а также другим грубым нарушениям правил защиты информации организуется служебное расследование.

Данное расследование проводит специальная комиссия, которая формируется приказом первого руководителя фирмы. Расследование необходимо для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба.

План проведения служебного расследования:

· определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.);

· определение конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);

· назначение ответственных лиц за проведение каждого мероприятия;

· указание сроков проведения мероприятия;

· определение порядка документирования;

· обобщение и анализ выполненных действий по всем мероприятиям;

· установление причин утраты информации, виновных лиц, вида и объема ущерба;

· передача материалов служебного расследования с заключительными вывода ми первому руководителю фирмы для принятия решения.

При проведении служебного расследования все мероприятия в обязательном порядке документируются с целью последующего комплексного анализа выявленного факта. Обычно анализируются следующие виды документов:

· письменные объяснения опрашиваемых лиц, составляемые в произвольной форме;

· акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и Дата;

· другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.). Служебное расследование проводится в очень краткие сроки. По результатам анализа составляется заключение о результатах проведенного служебного расследования, в нем очень подробно описывается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего.

Заключение

Таким образом, рассмотрев способы и средства нарушения конфиденциальности информации в области персональных данных, а также методы ее защиты в информационных системах, можно сделать следующие выводы.

Личная тайна работника или любого другого человека охраняется законом на самом высшем уровне. Необходимо учесть, что основная причина правонарушений в данных вопросах - это неграмотность работников отделов кадров. На очень многих предприятиях нет конкретных правил хранения персональных данных. Рострудинспекция при проведении проверок все же требует веские доказательства сохранности данных сведений.

Необходимо выделить, что существуют законы, в которых предусмотрены наказания за нарушения в вопросах охраны персональных данных работника. Но все таки в этих законах прописаны санкции, которые восстанавливают справедливость, но не снижают количество правонарушений.

Большое значение имеет то, как руководитель каждого предприятия относится к правам своих работников. Так как только администрация предприятия или организации может и должна контролировать соблюдение порядка по хранению и защите персональных данных своих работников.

Размещено на Allbest.ru