Защита документов и информации

Выявление источников угрозы информации и определение способов защиты от них путем рассмотрения правовой стороны информационной безопасности, включающей в себя наличие норм ответственности, в том числе уголовной, что позволяет охранять информацию.

Рубрика Программирование, компьютеры и кибернетика
Вид реферат
Язык русский
Дата добавления 23.10.2009
Размер файла 41,7 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

РОССИЙСКОЙ ФЕДЕРАЦИИ

РОССИЙСКАЯ МЕЖДУНАРОДНАЯ АКАДЕМИЯ ТУРИЗМА

ВОЛЖСКО-КАМСКИЙ ФИЛИАЛ

РЕФЕРАТ

По дисциплине:«Административные системы и офисные технологии»

Тема: «Защита документов и информации»

Набережные Челны 2009

Содержание

Введение

Глава 1.Технические и программно-математические методы защиты информации

1.1.Методы защиты информации и их главные недостатки

1.2.Простые меры защиты

1.3.Защита электронной почты

1.4.Использование паролей

1.5.Электронная подпись

Глава 2:

2.1.Методы защиты документов от подделки

Заключение

Предметный указатель

Список использованной литературы

Введение

Человеческое общество по мере своего развития прошло этапы овладения веществом, затем энергией и, наконец, информацией. В первобытно-общинном, рабовладельческом и феодальном обществах деятельность общества в целом и каждого человека в отдельности была направлена, в первую очередь на овладение веществом.

С самого начала человеческой истории возникла потребность передачи и хранения информации.

Было создано индустриальное общество. В этот период происходили также существенные изменения в способах хранения и передачи информации.

В информационном обществе главным ресурсом является информация. Именно на основе владения информацией о самых различных процессах и явлениях можно эффективно и оптимально строить любую деятельность.

Важно не только произвести большое количество продукции, но произвести нужную продукцию в определённое время.Поэтому в информационном обществе повышается не только качество потребления, но и качество производства.В настоящее время развитые страны мира (США, Япония, страны Западной Европы) фактически уже вступили в информационное общество. Другие же, в том числе и Россия, находятся на ближних подступах к нему.

В качестве критериев развитости информационного общества можно выбрать три: наличие компьютеров, уровень развития компьютерных сетей и количество населения, занятого в информационной сфере, а также использующего информационные и коммуникационные технологии в своей повседневной деятельности.

Информация сегодня стоит дорого и её необходимо охранять. Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Информацией владеют и используют её все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, какая информация не должна быть доступна другим и т.д. Человеку легко, хранить информацию, которая у него в голове, а как быть, если информация занесена в «мозг машины», к которой имеют доступ многие люди.

Для предотвращения потери информации разрабатываются различные механизмы её защиты, которые используются на всех этапах работы с ней. Защищать от повреждений и внешних воздействий надо и устройства, на которых хранится секретная и важная информация, и каналы связи.

Повреждения могут быть вызваны поломкой оборудования или канала связи, подделкой или разглашением секретной информации. Внешние воздействия возникают как в результате стихийных бедствий, так и в результате сбоев оборудования или кражи.

Для сохранения информации используют различные способы защиты:

ь безопасность зданий, где хранится секретная информация;

ь контроль доступа к секретной информации;

ь разграничение доступа;

ь дублирование каналов связи и подключение резервных устройств;

ь криптографические преобразования информации;

А от чего, и от кого её надо защищать? И как это правильно сделать?

То, что эти вопросы возникают, говорит о том, что тема в настоящее время актуальна.

Цель данной работы является выявление источников угрозы информации и определение способов защиты от них.

Задачи:

ь выявить основные источники угрозы информации;

ь описать способы защиты;

ь рассмотреть правовую сторону информационной безопасности;

Глава 1. Технические и программно-математические методы защиты информации

Учитывая, что предметом данной работы являются организация безопасности в области защиты информации прежде необходимо дать ряд основных понятий данной сферы деятельности.

Защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.

Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты информации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Эффективность защиты информации - степень соответствия достигнутых результатов действий по защите информации поставленной цели защиты.

Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты.

Безопасность информации (информационная безопасность) - состояние информации, информационных ресурсов и информационных и телекоммуникационных систем, при котором с требуемой вероятностью обеспечивается защита информации.

Требования по безопасности информации - руководящие документы ФАПСИ, регламентирующие качественные и количественные критерии безопасности информации и нормы эффективности ее защиты.

Криптографическая защита - защита данных при помощи криптографического преобразования преобразования данных.

Криптографическое преобразование - преобразование данных при помощи шифрования и (или) выработки имитовставки.

И так Информацию достаточно условно можно разделить на сведения, отнесенные к государственной тайне, конфиденциальную информацию, персональную информацию и остальную информацию.

Согласно списку терминов и определений Гостехкомиссии России конфиденциальная информация - это информация, требующая защиты (любая, ее назначение и содержание не оговариваются). Персональные данные - это сведения о гражданах или предприятиях. В соответствии с Федеральным законом № 24 "Об информации, информатизации и защите информации" "защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб собственнику, владельцу или иному лицу". Из описанного следует, что ВЫ обязаны заботиться о сохранности своей информации. Например, никто кроме меня не вправе разглашать мою дату рождения, а ведь она хранится на всех предприятиях, где я работал и работаю.

Защиту информации следует рассматривать как неотъемлемую часть хранения. Невозможно обеспечить серьезную защиту, не выполняя резервное копирование информации. К счастью, обеспечить сохранность копий гораздо проще, для этого достаточно административных мер (хранение в несгораемых сейфах). Емкость стриммеров, CD-R, CD-RW, DVD достаточна для составления резервных копий и восстановления из них в кратчайшие сроки. Пренебрежение данными мерами чревато даже по техническим соображениям - надежность технических средств хранения далека от 1 (а вероятность сбоя Windows 95/98 в течение рабочего дня равна 1), и потерять информацию по причине программного сбоя или поломки накопителя очень обидно и дорого. Известны случаи потери бухгалтерской отчетности за три месяца, восстановление заняло два месяца, штрафы за несвоевременное представление отчетности превысили стоимость сломавшегося накопителя более чем в 100 раз, не считая приостановки лицензии и косвенных потерь.

1.1 Методы защиты информации и их главные недостатки

Административные меры

Если территория (помещение) предприятия имеет охрану, персоналу можно доверять, локальная сеть не имеет выходов в глобальные сети, то такую защищенность надо признать очень высокой. Однако это идеальный случай, и в практике такое не всегда выполнимо (пример - персональная база жителей Санкт-Петербурга из ГУВД, обнародованная на CD). Пренебрегать этим методом нельзя, и он, как правило, дополняет или контролирует другие методы.

Защита средствами операционной системы

MS-DOS, как наиболее распространенная операционная система, не представляет каких-либо методов защиты. Это наиболее открытая операционная система, и на ее базе разработано много различных аппаратных и программных средств, в частности - виртуальные кодируемые или шифруемые диски, блокираторы загрузки и т.д. Однако имеющиеся средства дисассемблирования, отладчики, а также большое количество квалифицированных программистов сводят на нет все программные методы. DR-DOS, как одна из разновидностей MS-DOS, хоть и поддерживает блокировку файлов, но загрузка с дискеты или с другого накопителя делает бесполезной использование встроенных систем защиты. Windows 95/98 основаны на базе MS-DOS, и им присущи все ее недостатки. Парольная система Windows 95/98 не выдерживает никакой критики, и даже установка дополнительных модулей системной политики не решает данную задачу. Windows NT и Novell, хотя и решают задачу защиты, но... вот простейший пример - у Вас похитили, или изъяли в установленном порядке, компьютер. Диск установили вторым - и все ваше администрирование, на которое потрачены тысячи (если не миллионы) человеко-часов,- уже никому не помеха.

Я не хотела упоминать в данной работе защиту информации установкой пароля BIOS, но большое количество наблюдаемых установок данного пароля вынудило затронуть и данный метод. Максимум что надо для блокировки, это - открыть компьютер, установить перемычку и снять ее (самое большее - две минуты). Есть два (известных мне) исключения - системы с часами на базе микросхем DALLAS и переносные компьютеры. Здесь задачка не так просто решается. Помогает снятие накопителя и установка его в другой компьютер (опять же две минуты).

Блокировка загрузки операционной системы

По этому пути идут многие фирмы. У данного метода опять-таки недостатки всплывают, если к компьютеру или накопителю можно получить доступ. Известные платы перехватывают прерывание по загрузке, однако Setup современных компьютеров позволяет блокировать эту возможность, изъятие этой платы или накопителя сводит на нет кажущуюся мощь данного средства.

Физическое уничтожение накопителя

Это наиболее древний и действенный метод, вспомните сжигание, съедание бумаг. Конечно, в наше время он становится более изощренным, в частности, к компьютерной безопасности можно приобщить следующие методы:

выкинуть из окна винчестер или целиком компьютер, сломать дискету;

электромагнит, пробивающий насквозь накопитель или дискету (московская разработка, последствия очень впечатляющие);

пиропатрон, установленный под накопителем (за хранение и применение взрывчатых веществ предусмотрена уголовная ответственность).

Данным методам очень тяжело что-то противопоставить, но при ложном срабатывании слишком велика стоимость потерь. Имеются в виду только материальные потери, так как грамотное ведение резервного копирования решает задачу восстановления в кратчайшие сроки. Очень интересно, конечно, кроме последнего пункта, что эти меры не требуют никакого согласования, лицензирования и сертификации, если они выполнены силами самого предприятия. Например, нельзя обвинить изготовителя окна, что он стал виновником уничтожения информации, если компьютер был с него скинут. Очень распространено использование сменных HDD или магнитооптических дисков. Однако опыт их использования, особенно при постоянном изъятии, говорит о значительном сокращении срока их службы (удары по винчестеру) и частых сбоях (характерных для магнитооптики).

Стирание информации

Метод имеет много общего с предыдущим и в тоже время лишен ряда его недостатков, так как теряется только информация, а не накопитель (яркий пример - стирание пленки в фильме "Гений"). Информацию восстанавливаем с резервной копии - и нет проблем. Программное стирание и комплексы, использующие данную функцию, требуют нахождения компьютера исключительно под напряжением. Это трудно выполнимо, даже мощные UPS не могут обеспечить работу компьютеров более часа. Пример: один комплекс дал сбой, так как удаляемый файл был открыт программой и блокировка операционной системы остановила дальнейшее удаление. Аппаратное стирание, выполняющее свои функции без участия компьютера, особенно при наличии резервного источника питания, устраняет эти проблемы. Скорость уничтожения, как правило, соизмерима со скоростью работы самого накопителя. Хотя для магнитной ленты возможно и мгновенное стирание. Данные устройства могут применятся не только в помещении офиса, но, например, и в кейсе, при перевозке информации.

Шифрование данных

Это одно из мощнейших методов. Начнем его рассмотрение с определения по ГОСТ 19781: Шифрование - это процесс преобразования открытых данных в зашифрованные при помощи шифра или зашифрованных данных в открытые при помощи шифра - совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей (конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования). Стойкость современных шифровальных систем достаточно высока, и будем считать ее достаточной. Но - !!! Вот тут-то мы и получаем мощное сопротивление со стороны законодательства. Во-первых, разработчик, продавец и установщик должны иметь лицензию. Но и этого мало! ДАЖЕ ПОЛЬЗОВАТЕЛЬ обязан иметь лицензию ФАПСИ. В России разрешено использование только одного алгоритма и принципиально невозможно получить, а значит, и использовать, импортные разработки! Например, появившаяся в печати реклама комплекса "Secret Disk" о продаже его в магазинах просто непонятна (одно из двух - или это не шифрование или это уголовно наказуемо). Статья 4 Указа № 334 прямо гласит: "В интересах информационной безопасности РФ и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных ФАПСИ". Сможете ли вы применить данный метод после этих разъяснений?

Приобретаемые технические устройства защиты информации могут не иметь сертификации, при условии, что они не будут использованы в государственных и банковских учреждениях. Однако предприятие-продавец должно иметь лицензию на право занятия данной деятельностью. Ответственность за использование несертифицированных средств, как ни странно, лежит на самом потребителе, хотя он может (или должен? и куда?) обратиться для проверки на соответствие данной системы.

Методы защиты информации и их главные недостатки:

Административные меры

Если территория (помещение) предприятия имеет охрану, персоналу можно доверять, локальная сеть не имеет выходов в глобальные сети, то такую защищенность надо признать очень высокой. Однако это идеальный случай, и в практике такое не всегда выполнимо (пример - персональная база жителей Санкт-Петербурга из ГУВД, обнародованная на CD). Пренебрегать этим методом нельзя, и он, как правило, дополняет или контролирует другие методы.

Защита средствами операционной системы

MS-DOS, как наиболее распространенная операционная система, не представляет каких-либо методов защиты. Это наиболее открытая операционная система, и на ее базе разработано много различных аппаратных и программных средств, в частности - виртуальные кодируемые или шифруемые диски, блокираторы загрузки и т.д. Однако имеющиеся средства дисассемблирования, отладчики, а также большое количество квалифицированных программистов сводят на нет все программные методы. DR-DOS, как одна из разновидностей MS-DOS, хоть и поддерживает блокировку файлов, но загрузка с дискеты или с другого накопителя делает бесполезной использование встроенных систем защиты. Windows 95/98 основаны на базе MS-DOS, и им присущи все ее недостатки. Парольная система Windows 95/98 не выдерживает никакой критики, и даже установка дополнительных модулей системной политики не решает данную задачу. Windows NT и Novell, хотя и решают задачу защиты, но... вот простейший пример - у Вас похитили, или изъяли в установленном порядке, компьютер. Диск установили вторым - и все ваше администрирование, на которое потрачены тысячи (если не миллионы) человеко-часов,- уже никому не помеха.

Я не хотела упоминать в данной работе защиту информации установкой пароля BIOS, но большое количество наблюдаемых установок данного пароля вынудило затронуть и данный метод. Максимум что надо для блокировки, это - открыть компьютер, установить перемычку и снять ее (самое большее - две минуты). Есть два (известных мне) исключения - системы с часами на базе микросхем DALLAS и переносные компьютеры. Здесь задачка не так просто решается. Помогает снятие накопителя и установка его в другой компьютер (опять же две минуты).

Блокировка загрузки операционной системы

По этому пути идут многие фирмы. У данного метода опять-таки недостатки всплывают, если к компьютеру или накопителю можно получить доступ. Известные платы перехватывают прерывание по загрузке, однако Setup современных компьютеров позволяет блокировать эту возможность, изъятие этой платы или накопителя сводит на нет кажущуюся мощь данного средства.

Физическое уничтожение накопителя

Это наиболее древний и действенный метод, вспомните сжигание, съедание бумаг. Конечно, в наше время он становится более изощренным, в частности, к компьютерной безопасности можно приобщить следующие методы:

выкинуть из окна винчестер или целиком компьютер, сломать дискету;

электромагнит, пробивающий насквозь накопитель или дискету (московская разработка, последствия очень впечатляющие);

пиропатрон, установленный под накопителем (за хранение и применение взрывчатых веществ предусмотрена уголовная ответственность).

Данным методам очень тяжело что-то противопоставить, но при ложном срабатывании слишком велика стоимость потерь. Имеются в виду только материальные потери, так как грамотное ведение резервного копирования решает задачу восстановления в кратчайшие сроки. Очень интересно, конечно, кроме последнего пункта, что эти меры не требуют никакого согласования, лицензирования и сертификации, если они выполнены силами самого предприятия. Например, нельзя обвинить изготовителя окна, что он стал виновником уничтожения информации, если компьютер был с него скинут. Очень распространено использование сменных HDD или магнитооптических дисков. Однако опыт их использования, особенно при постоянном изъятии, говорит о значительном сокращении срока их службы (удары по винчестеру) и частых сбоях (характерных для магнитооптики).

Стирание информации

Метод имеет много общего с предыдущим и в тоже время лишен ряда его недостатков, так как теряется только информация, а не накопитель (яркий пример - стирание пленки в фильме "Гений"). Информацию восстанавливаем с резервной копии - и нет проблем. Программное стирание и комплексы, использующие данную функцию, требуют нахождения компьютера исключительно под напряжением. Это трудно выполнимо, даже мощные UPS не могут обеспечить работу компьютеров более часа. Пример: один комплекс дал сбой, так как удаляемый файл был открыт программой и блокировка операционной системы остановила дальнейшее удаление. Аппаратное стирание, выполняющее свои функции без участия компьютера, особенно при наличии резервного источника питания, устраняет эти проблемы. Скорость уничтожения, как правило, соизмерима со скоростью работы самого накопителя. Хотя для магнитной ленты возможно и мгновенное стирание. Данные устройства могут применятся не только в помещении офиса, но, например, и в кейсе, при перевозке информации.

Шифрование данных

Это одно из мощнейших методов. Начнем его рассмотрение с определения по ГОСТ 19781: Шифрование - это процесс преобразования открытых данных в зашифрованные при помощи шифра или зашифрованных данных в открытые при помощи шифра - совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей (конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования). Стойкость современных шифровальных систем достаточно высока, и будем считать ее достаточной. Но - !!! Вот тут-то мы и получаем мощное сопротивление со стороны законодательства. Во-первых, разработчик, продавец и установщик должны иметь лицензию. Но и этого мало! ДАЖЕ ПОЛЬЗОВАТЕЛЬ обязан иметь лицензию ФАПСИ. В России разрешено использование только одного алгоритма и принципиально невозможно получить, а значит, и использовать, импортные разработки! Например, появившаяся в печати реклама комплекса "Secret Disk" о продаже его в магазинах просто непонятна (одно из двух - или это не шифрование или это уголовно наказуемо). Статья 4 Указа № 334 прямо гласит: "В интересах информационной безопасности РФ и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных ФАПСИ". Сможете ли вы применить данный метод после этих разъяснений?

Приобретаемые технические устройства защиты информации могут не иметь сертификации, при условии, что они не будут использованы в государственных и банковских учреждениях. Однако предприятие-продавец должно иметь лицензию на право занятия данной деятельностью. Ответственность за использование несертифицированных средств, как ни странно, лежит на самом потребителе, хотя он может (или должен? и куда?) обратиться для проверки на соответствие данной системы.

1.2Простые меры защиты

есть кое какие несложные приемы для защиты ценной информации, которые используются уже много лет. Проблема в том, что все эти схемы легко обойдет хорошо осведомленный пользователь.

DOS и предшествующие операционные системы некоторое время сохраняют удаленные файлы, не уничтожая их полностью. При удалении просто редактируется FAT (File Allocation Table): запись имени файла объявляется недействительной, а сектора, где записан файл, - свободными. Это означает, что удаленные файлы можно восстановить с помощью некоторых широко распространенных утилит.

Программы уничтожения полностью стирают файл, перезаписывая всю информацию о файле в FAT и сектора, где он находился.

Также можно надежно шифровать отдельные файлы и сообщения электронной почты используя правительственный стандарт шифрования DES. DES расшифровывается как Data Encryption Standart (стандарт шифрования данных). DES был разработан IBM по заказу FBI и CIA как программное обеспечение для шифрования. После разработки DES в 1977 году он был принят правительством USA. Программа DES for Windows, написанная Джеффом Зальцманом, является утилитой шифрования общего пользования.

1.3Защита электронной почты

подавляющее большинство электронной почты посылается через Internet или другие глобальные сети в виде простого текста, который можно прочесть. Закон о конфиденциальности электронных коммуникаций приравнивает вашу электронную почту к обычному телефонному звонку.

Вы должны понимать, что системные администраторы имеют все необходимые средства для чтения электронной почты на своей системе. Иногда им даже необходимо просматривать электронную почту, чтобы удостовериться, что система работает нормально.

Хакеры и любопытные отличаются тем, что владеют различными способами получения доступа к вашей почте, но обе эти категории не могут читать вашу почту, если она зашифрована. Если вам необходимо защитить секретную информацию используйте PGP (Pretty Good Privacy) для шифрования почты перед отправлением.

1.4Использование паролей

Идея использования паролей заключается в следующем: если кто-либо попробует обратиться к вашим данным или аппаратным средствам, то пароли должны создать собой массу неудобств. Чем сложнее будет угадать или «взломать» используемый вами пароль, тем в большей безопасности будут ваши данные. Длина пароля существенно влияет на уровень защиты. Личные номера на сегодняшний день являются одним из наименее безопасных паролей широкого использования (напр. Кредитные карты для кассовых аппаратов АТМ или телефонные карты). В личных номерах могут использоваться цифры от 0 до 9, то есть номер может иметь десять тысяч вариаций. Этого достаточно если речь идет о человеке стоящем возле АТМ и набирающего код наугад, но совсем не много если речь идет о компьютере использующем лобовой метод решения.

При «лобовом» нападении проверяются все возможные комбинации паролей до тех пор пока одна из них не сработает. При увеличении длины пароля сложность лобового нападения возрастает, так как это займет больше времени. Конечно, многие банки используют не только четырехразрядный код (PIN), но и другие методы для повышения безопасности, например, видеокамеры и АТМ, которые блокируют карточки. При этом меры защиты в каждом банке сильно отличаются. Большинство банков также оказывают следующую услугу: вы можете позвонить в банк, набрать номер карточки и личный номер и узнать состояние текущего счета. Этот сценарий делает уязвимым ваш личный номер (PIN) - некто может засесть за телефон и пробовать разные варианты.

С телефонной карточкой возникает та же проблема. Сети дальней телефонной связи вроде AT & T, MCI, Sprint также используют личные четырехразрядные номера для опознания звонков. Предположим, вы потеряли бумажник… обычно первая реакция - сожаления о наличных ценностях, а лишь потом звонят в кредитные компании и сообщают о потере карточки. Это позволяет заблокировать платежи с ваших карточек. Однако большинство людей забывают, что телефонная карта тоже является кредитной и небольшую программу для взламывания ее PINа способен написать даже подросток.

Функция DialAccess() - это небольшой отрывок кода. Он набирает телефон компании и последовательно (в данном случае от 0 до 9999) вводит номер карточки, используя i как PIN. Это классический пример лобового метода решения.

Таким образом, четырехразрядный пароль - ваш PIN - имеет всего 9999 возможных комбинаций. Однако большинство компьютерных паролей длиннее и кроме чисел 1-9 могу содержать символы. Четырехразрядный пароль, в котором используются числа и символы, расшифровать сложнее - он может содержать 1679616 уникальных комбинаций.

Вот формула для вычисления возможного количества комбинаций символов: c=xy, где с - число возможных комбинаций , x - количество различных символов используемых в каждой позиции пароля, y - число символов пароля. Например, при использовании PINа c=104. Также некоторые пароли чувствительны к регистру и включают в себя знаки препинания, так что число возможных комбинаций ещё возрастает.

Кроме паролей используемых для обращения к местной сети, Internet и т.д., у пользователей компьютеров есть ряд защитных мер включающих пароли. К ним относятся основанная на BIOS защита, требующая ввести пароль при загрузке компьютера, специальные защитные программы, блокирующие доступ к отдельным файлам, и защищенные паролем архивные ZIP-файлы.

1.5Электронная подпись

В 2002 году был принят Закон РФ «Об электронно-цифровой подписи», который стал законодательной основой электронного документооборота в России. По этому закону электронная цифровая подпись в электронном документе признаётся юридически равнозначной подписи в документе на бумажном носителе.

При регистрации электронно-цифровой подписи в специализированных центрах корреспондент получает два ключа: секретный и открытый. Секретный ключ хранится на дискете или смарт-карте и должен быть у всех потенциальных получателей документов и обычно рассылается по электронной почте.

Процесс электронного подписания документа состоит в обработке с помощью секретного ключа текста сообщения. Далее зашифрованное сообщение посылается по электронной почте абоненту. Для проверки подлинности сообщения и электронной подписи абонент использует открытый ключ.

С помощью блока специальных законов регулируется информационная безопасность государства, общества и личности. Среди этих законов:

Закон «О средствах массовой информации» от 27.12.91 г. N 2124-I;

Закон «О Федеральных органах правительственной связи и информации» от 19.02.92 N 4524-1;

Закон «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 года №3523-1;

Закон «О правовой охране топологий интегральных микросхем» от 23.09.92 г. N 3526-I;

Закон «О государственной тайне» от 21 июля 1993 г. N 5485-1;

Закон «Об обязательном экземпляре документов» от 29.12.94 г. N 77-ФЗ;

Закон «Об информации, информатизации и защите информации» от 20.02.95 года N 24-ФЗ;

Глава 2

2.1Методы защиты документов от подделки

В настоящее время существует множество технологий защиты от подделки. Защита документов и проверка их подлинности традиционно осуществляются с использованием множества различных физико-химических методов. Используются специальные методы печати, специальные краски с особыми оптическими и магнитными свойствами, голограммы, пикселограммы и т. д. Оценивать их качество - задача неблагодарная, так как у производителей есть и свои секреты, но факты неумолимы - подделки есть и их объем нарастает. Уже бытует мнение, что подделывается все, и от этого нам никуда не уйти. Достаточно вспомнить поддельные видеокассеты, компакт-диски, водку, проездные документы, одежду и обувь престижных фирм и, говоря о банках, пластиковые карточки, векселя, банкноты.

Рост преступлений, связанных с подделкой материальных объектов, обусловлен прежде всего значительным прогрессом в областях копировальной и лазерной техники, приборостроения, органической химии. Ведь сегодня злоумышленник имеет возможность приобрести все необходимые компоненты и оборудование для производства поддельных документов. Опять же вспомним пример с поддельным свидетельством о праве занятия предпринимательской деятельностью без образования юридического лица. Государству остается только запрещать, обязывать регистрировать приобретаемую технику, а в конце концов - развести руками. Следовательно, организациям приходится заботиться о себе самим. Созрели все предпосылки к появлению новой технологии, которая смогла бы поставить заслон фальшивкам.

Впервые указанная проблема была переведена в плоскость защиты информации о самом носителе, что позволило эффективно применить для защиты от подделки хорошо развитый аппарат теории информации и кодирования. Сущность защищенной патентами технологии AXIS-2000 состоит в следующем. Каждый материальный объект (ценная бумага, документ, пластиковая карточка, компакт-диск, жидкость и т. д.) обладает своими устойчивыми во времени индивидуальными (уникальными) признаками, которые невозможно искусственно воспроизвести при изготовлении фальшивки. Для бумаги это, например, микрорельеф поверхности.

Используя эти индивидуальные признаки, законный эмитент шифрует их специальным кодом аутентификации с секретным и открытым ключами, т.е. осуществляет электронную подпись под индивидуальными признаками подлинного документа, а полученную последовательность наносит на сам документ или сертификат подлинности, прилагаемый к документу.

Пользователи документа проверяют его подлинность, считывая сканером защитную последовательность, расшифровывают ее при помощи переданного эмитентом открытого ключа аутентификации и сравнивают между собой предъявленные в метке индивидуальные свойства носителя с уникальными свойствами представленного объекта. В результате аппаратурой выносится решение о подлинности предъявленного носителя информации.

В основе описываемой технологии для защиты от подделки и контроля подлинности материальных объектов лежит уникальность и практическая неповторимость устойчивых признаков объектов и криптостойкость применяемых шифров.

В настоящее время неизвестны технологии получения бумажного носителя с наперед заданным рисунком микроструктуры поверхности. Следовательно, невозможна подделка документа, защищенного по технологии AXIS-2000, путем имитации рисунка микроструктуры бумаги.

В оборудовании, применяемом в международном масштабе, может быть использован алгоритм шифрования RSA с ключами размерности 1024. В литературе по криптоанализу и криптографии нет информации об успешных попытках криптоатаки на шифр RSA. Этот шифр широко применяется для коммерческих целей при хранении и передаче конфиденциальной информации (ИСО/МЭК 11166-2-94. Банковское дело. Управление ключами посредством асимметричного алгоритма. Принятые алгоритмы, использующие шифросистему RSA. Из научной литературы также известно, что при использовании в шифре RSA ключей длиной более 600 бит криптоатака практически и теоретически невозможна.

Известные способы защиты обладают тем основным недостатком, что в современных условиях злоумышленники могут реально обладать технологической базой того же уровня, что и законный эмитент. Это позволяет злоумышленникам изготовлять подделки, практически не отличимые от оригинала.

Принципиальное отличие новой технологии защиты от всех известных состоит в том, что ее принципы могут быть широко опубликованы и доведены до сведения всех желающих, так как знакомство с ней не позволяет подделать защищенные с ее помощью объекты из-за существующих природных и технологических ограничений.

Любая информация о конструкции оборудования, алгоритме обработки сигналов и технология защиты или проверки подлинности не является конфиденциальной, так как не дает возможности предсказать значение секретного ключа, формируемого оборудованием, и, следовательно, бесполезна для подделки объектов.

Важнейшим преимуществом данной технологии является то, что оборудование защиты от подделки и приборы контроля подлинности могут свободно, без каких-либо ограничений продаваться, ремонтироваться, заменяться.

Основные преимущества технологии AXIS-2000 базируются на уникальных возможностях используемых в оборудовании методов и авторских алгоритмов распознавания образов, сжатия информации и помехоустойчивого кодирования.

Технология позволяет превратить в подлинный только тот материальный объект, который защищается оборудованием AXIS! Например, если из пачки подлинных векселей законный эмитент дополнительно защитит по технологии AXIS-2000 только один, то при проверке на оборудовании AXIS подлинным будет признан только тот единственный, который был защищен по соответствующей технологии. Остальные документы, хотя и изготовлены законно, с точки зрения технологии не будут признаны подлинными. Защита объекта по данной технологии индивидуальна!

Если же один из подлинных документов будет защищен по описываемой технологии нелегальным эмитентом, то при проверке подлинности на оборудовании AXIS он будет признан фальшивым. (Эмитент не был зарегистрирован: не передал свой открытый ключ в органы распределения ключей, т. е. его ключ отсутствует в приборах контроля подлинности.).

Доступ к ресурсам оборудования для защиты объектов от подделки должен быть строго ограничен. Для этого используется многоступенчатая аппаратная и компьютерная система паролей и аутентификации пользователя. Несанкционированное использование оборудования для защиты от подделки невозможно:

использовать оборудование для защиты от подделки могут только заранее назначенные люди;

все санкционированные операции по защите объектов заносятся в память оборудования с указанием информации о том, кто работал на оборудовании, даты, времени, какой объект защищали. Эту информацию нельзя стереть или изменить.

Администратор системы всегда может получить полную информацию о работе своих подчиненных, что исключает возможность подкупа персонала, работающего на этом оборудовании.

Разработан ряд концепций, которые затрагивают вопросы защиты, как индивидуальных объектов, так и продукции массового производства. Это направление получило название групповой защиты.

В связи с важностью и масштабностью проблем, которые могут решаться с помощью новой технологии, необходима государственная поддержка ряда направлений ее использования. К ним мы относим: защиту от подделки регистрационных документов (лицензий, сертификатов и т. д.); таможенных документов; нотариальных документов; документов, связанных с регистрацией и владением недвижимостью, автомобилями и т. д., - в тех сферах, где действия злоумышленников наносят наибольший ущерб государству.

Для организаций должны быть интересны следующие концепции:

дополнительная защита ценных бумаг от подделки и проверка их подлинности;

дополнительная защита от подделки пластиковых карточек;

защита банковского документооборота от подделки.

Значительная доля преступлений, связанных с подделкой документов, приходится на именно на банковские и финансовые документы. Причем большая часть из них приходится на мошеннические операции, внутри самой организации. К сожалению, учреждение обязано рассматривать в качестве потенциальных злоумышленников не только посторонних лиц, но и собственных сотрудников.

Технология AXIS-2000 позволяет построить непреодолимый заслон для большинства мошеннических операций, проводимых не только снаружи, но и внутри организации. Создано специальное оборудование, основанное на технологии информационной защиты информации, которое позволяет:

защитить от подделки любой документ в момент его заполнения работником организации, а также защитить от подделки или модификации заносимую информацию. Причем документ может выполняться как на специальном бланке, так и на простом листе бумаги. Надежность защиты при этом одинаковая. Защита от подделки производится в автоматическом режиме независимо от желания или нежелания работника организации. Обеспечивается невозможность выпуска в обращение любого документа без его защиты от подделки;

произвести в момент защиты документа его автоматическую регистрацию с занесением в защищенную область памяти содержания документа, фамилии исполнителя, даты и времени совершения операции;

обеспечить обязательную обработку каждого документа, принимаемого оборот в организации. При этом в автоматическом режиме производится проверка подлинности документа и записанной на нем информации, регистрируется данная операция с занесением в защищенную область памяти реквизитов и содержания документа, даты и времени проверки, фамилии работника организации и результатов проверки подлинности. Причем обеспечивается проверка подлинности как собственных документов, так и чужих документов, защищенных на аналогичном оборудовании;

обеспечить ограниченный доступ к оборудованию при помощи системы контроля доступа, что исключает несанкционированное использование оборудования для изготовления фальшивого документа;

обеспечить администратору системы безопасности организации эффективный контроль подлинности всех важных документов и контроль правомочности действий персонала организации, что позволяет резко сократить возможности преступников по мошенническим операциям как внутри организации, так и между организациями.

Учитывая, что подделка документов, защищенных при помощи новой технологии информационной защиты, практически невозможна, новое оборудование позволяет существенно уменьшить потери организаций от мошенничества.

Новая технология в состоянии помочь и в деле реализации защиты от подделки продукции добропорядочных предпринимателей, выявления поддельной продукции с помощью приборного контроля, а не "на глаз", как это происходит сейчас. А далее уже решение вопроса в судебном порядке.

Привлекательным видится использование Интернета для защиты от подделки документов, других материальных объектов в разовом порядке. В этом случае пользователь (эмитент) отправляет изображение объекта, полученное с помощью сканера или видеокамеры, Web-браузеру и получает обратно защитную метку, которую может распечатать как на защищаемом документе, так и на сертификате к объекту, если он не плоский. Прорабатывается вопрос защиты документа передаваемого и с помощью факсимильного аппарата.

Практические результаты теории реализованы в виде оборудования для защиты от подделки и проверки подлинности бумажных документов, произведений изобразительного искусства, автомобилей, кредитных карточек, магнитных и оптических носителей информации. Создано и производится оборудование для защиты от подделки документов и информации и для автоматизированной проверки их подлинности и целостности.

В связи с особым в России отношением к использованию криптографических алгоритмов по заказу пользователей возможно встраивание в программное обеспечение тех алгоритмов электронной подписи, которые сертифицированы в России и соответствуют российским стандартам.

Заключение

Подводя итоги, следует упомянуть о том, что известно множество случаев, когда фирмы (не только зарубежные) ведут между собой настоящие «шпионские войны», вербуя сотрудников конкурента с целью получения через них доступа к информации, составляющую коммерческую тайну. Регулирование вопросов, связанных с коммерческой тайной, еще не получило в России достаточного развития. Имеющееся законодательство все же не обеспечивает соответствующего современным реалиям регулирования отдельных вопросов, в том числе и о коммерческой тайне. В то же время надо отдавать себе отчет, что ущерб, причиненный разглашением коммерческой тайны, зачастую имеет весьма значительные размеры (если их вообще можно оценить). Наличие норм об ответственности, в том числе уголовной, может послужить работникам предостережением от нарушений в данной области, поэтому целесообразно подробно проинформировать всех сотрудников о последствиях нарушений. Хотелось бы надеяться что создающаяся в стране система защиты информации и формирование комплекса мер по ее реализации не приведет к необратимым последствиям на пути зарождающегося в России информационно - интеллектуального объединения со всем миром.

Предметный указатель

Защита информации - ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1 ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящий стандарт устанавливает основные термины и их определения в области защиты информации.

Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по защите информации.

Настоящий стандарт применяется совместно с ГОСТ РВ 50170-92.

2 ОБЩИЕ ПОЛОЖЕНИЯ

Установленные в стандарте термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации. Оставшаяся часть термина является его краткой формой и приводится в алфавитном указателе раздельно с указанием того же номера статьи.

Наличие квадратных скобок в терминологической статье означает, что в нее включены два (три, четыре и т.п.) термина, имеющие общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно с указанием номера статьи.

Разрешается, при необходимости, уточнять приведенные определения, вводя дополнительные признаки, раскрывающие значения терминов, без искажения смысла определения.

Термины и определения общетехнических понятий, необходимые для понимания текста стандарта, приведены в приложении А.

3 СТАНДАРТИЗОВАННЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ

3.1 Основные понятия

1. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание:

Собственником информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2.Защита информации - защита информации: Деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

3.Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.

4.Защита информации от несанкционированного воздействия - защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

5.Зашита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

6.Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

7.Защита информации от несанкционированного доступа - защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

Примечание:

Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

8.Защита информации от [иностранной] разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.

9.Защита информации от [иностранной] технической разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств.

10.Защита информации от агентурной разведки - деятельность по предотвращению получения защищаемой информации агентурной разведкой.

11.Цель защиты информации - желаемый результат защиты информации.

Примечание:

Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

12.Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели.

13.Показатель эффективности зашиты информации - мера или характеристика для оценки эффективности защиты информации.

14.Нормы эффективности защиты информации - значения показателей эффективности защиты информации, установленные нормативными документами.

3.2 Организация защиты информации

15.Организация защиты информации - содержание и порядок действий по обеспечению защиты информации.

16.Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

17.Мероприятие по защите информации - совокупность действий по разработке и/или практическому применению способов и средств защиты информации.

18.Мероприятие по контролю эффективности защиты информации- совокупность действий по разработке и/или практическому применению методов [способов] и средств контроля эффективности защиты информации.

19.Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

20.Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

21.Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации.

22.Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты].

23.Метод [способ] контроля эффективности защиты информации - порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.

24. Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.

25.Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.

26.Средство контроля эффективности защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.

27.Контроль организации защиты информации - проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

28.Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

29.Организационный контроль эффективности зашиты информации- проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.

30. ехнический контроль эффективности зашиты информации - контроль эффективности защиты информации, проводимой с использованием средств контроля.

ГОСТ Р 50922-96

Приложение А (справочное)

Термины и определения, необходимые для понимания текста стандарта

1.Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

2.Доступ к информации - получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.

Субъект доступа к информации - субъект доступа: участник правоотношений в информационных процессах.


Подобные документы

  • Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.

    реферат [51,5 K], добавлен 20.01.2014

  • Важнейшие стороны обеспечения информационной безопасности. Технические средства обработки информации, ее документационные носители. Типовые пути несанкционированного получения информации. Понятие об электронной подписи. Защита информации от разрушения.

    реферат [138,5 K], добавлен 14.07.2015

  • Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.

    дипломная работа [255,5 K], добавлен 08.03.2013

  • Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.

    дипломная работа [225,1 K], добавлен 16.06.2012

  • Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

    реферат [30,0 K], добавлен 15.11.2011

  • Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.

    контрольная работа [30,5 K], добавлен 18.09.2016

  • Политика защиты информации. Возможные угрозы, каналы утечки информации. Разграничение прав доступа и установление подлинности пользователей. Обзор принципов проектирования системы обеспечения безопасности информации. Межсетевой экран. Антивирусная защита.

    дипломная работа [1,9 M], добавлен 05.11.2016

  • Моделирование объектов защиты информации. Структурирование защищаемой информации. Моделирование угроз безопасности: способы физического проникновения, технические каналы утечки информации, угрозы от стихийных источников. Инженерно-техническое мероприятия.

    курсовая работа [794,1 K], добавлен 13.07.2012

  • Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.

    контрольная работа [26,6 K], добавлен 26.05.2010

  • Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".

    дипломная работа [1,4 M], добавлен 05.06.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.