Методи захисту інформації

Размещено на http://www.allbest.ru/

План

інформація захист програмний засіб

Вступ

1. Загрози безпеки АІС, причини виникнення загроз

2. Засоби та методи захисту інформації

3. Організація захисту інформації у фінансових установах

Висновок

Список літератури



Вступ

Будь-яка інформація, що обробляється та зберігається в інформаційних системах, чогось варта при умові її достовірності та гарантованості, а тому інформація має бути надійно захищена. Законом України "Про захист інформації в автоматизованих системах", положенням "Про технічний захист інформації в Україні" від 09.09.1994 та Кримінальним кодексом України передбачена адміністративна та кримінальна відповідальність за комп'ютерні злочини.

Причинами виникнення загроз для функціонування автоматизованих інформаційних систем (АІС) є наступне:

- інформація - товар: має ціну, стоїть грошей, може купуватись і продаватись, загалом представляє інтереси багатьох груп людей, бізнесу, може цікавити конкурентів, опонентів тощо;

- інформація - гроші: реальні гроші у вигляді файлових структур, електронних документів тощо;

- відкритість інформаційних каналів: використання глобальних мереж передачі інформації, кожен клієнт є учасником одного загального цілого і фізично з допомогою телекомунікацій має доступ до решти учасників процесу.

Більш конкретно, загострення проблем захисту інформації в АІС та зростання злочинності в інформаційній галузі у наш час визначається наступними причинами:

- високими темпами зростання парку засобів обчислювальної техніки і зв'язку, розширенням областей використання електронно-обчислювальних машин (ЕОМ);

- залученням в процес інформаційної взаємодії все більшого числа людей і організацій;

- підвищенням рівня довір 'я до автоматизованих систем управління і обробки інформації, використанням їх в критичних технологіях;

- ставленням до інформації, як до товару, переходом до ринкових відносин, з властивою ним конкуренцією і промисловим шпигунством, в області створення і збуту (надання) інформаційних послуг;

- концентрацією великих обсягів інформації різного призначення і приналежності на електронних носіях;

- наявністю інтенсивного обміну інформацією між учасниками цього процесу;

- кількісним і якісним вдосконаленням способів доступу користувачів до інформаційних ресурсів;

- загостренням протиріч між об'єктивно існуючими потребами суспільства в розширенні вільного обміну інформацією і надмірними або навпаки недостатніми обмеженнями на її поширення і використання;

- диференціацією рівнів втрат (збитку) від знищення, модифікації, витоку або незаконного блокування інформації;

- різноманіттям видів загроз і можливих каналів несанкціонованого доступу до інформації;

- зростанням числа кваліфікованих користувачів обчислювальної техніки і можливостей по створенню ними програмно-технічних впливів на систему;

- розвитком ринкових відносин (в галузі розробки, постачання, обслуговування обчислювальної техніки, розробки програмних засобів, в тому числі засобів захисту).

Саме з метою вирішення проблеми безпеки АІС 5 липня 1994 року був прийнятий Закон України "Про захист інформації в автоматизованих системах", який встановив правові засади забезпечення реалізації та непорушності права власності на інформацію. Незважаючи на закріплення в свій час прогресивних положень, які встановили основи правового регулювання питань захисту інформації в автоматизованих системах, цей закон вже не в повній мірі відповідає тим змінам, які обумовив бурхливий розвиток інформатизації нашого суспільства за останні роки.

Природно, в такій ситуації виникає потреба в захисті інформації від несанкціонованого доступу, знищення, модифікації та інших злочинних і небажаних дій. В усіх аспектах проблеми захисту інформації в АІС основним елементом є аналіз загроз, яким піддається система.



1. Загрози безпеки АІС, причини виникнення загроз

Загрози інформації в АІС можна розділити на два класи:

- об'єктивні (природні), що характеризуються впливом на об'єкт захисту фізичних процесів або стихійних природних явищ, які не залежать від людини;

- суб'єктивні, пов'язані з діяльністю людини, серед яких можна виділити: ненавмисні, викликані помилковими діями співробітників і відвідувачів об'єкта та навмисні, що є результатом зловживань порушників.

Навмисні загрози можуть бути внутрішніми - виникати зсередини системи, з боку учасників процесу обробки інформації, персоналу, так і зовнішніми - сторонніми особами.

Отже джерела загроз АІС можна поділити ще на дві групи: внутрішні, що можуть виникати безпосередньо на території та завдяки персоналу фінансової установи та зовнішні, що виникають за територією, а іноді на великій відстані, і завдяки сторонньому втручанню в систему. Наведемо нижче характеристику основних джерел загроз для функціонування інформаційних систем:

Проникнення у систему через комунікаційні канали зв'язку з присвоєнням повноважень легального користувача з метою підробки, копіювання або знищення даних. Реалізується розпізнаванням або підбором паролів і протоколів, перехопленням паролів при негласному підключенні до каналу під час сеансу зв'язку, дистанційним перехопленням паролів у результаті прийому електромагнітного випромінювання.

Проникнення в систему через комунікаційні канали зв'язку при перекоммутації каналу на модем порушника після входження легального користувача в мережу й пред'явлення ним своїх повноважень з метою присвоєння прав цього користувача на доступ до даних.

Підключення до каналу зв'язку в ролі активного ретранслятора для фальсифікації платіжних документів, зміни їх утримання, порядку проходження, повторної передачі, затримання доставки.

Вірусні атаки, що можуть знищувати інформацію та виводити з ладу деякі апаратні пристрої. Основний засіб боротьби - використання антивірусного ПЗ, що дозволяє вести профілактичні заходи та лікування у разі необхідності. Вірусні атаки можуть бути проведені ззовні через мережі передачі даних або шляхом внесення вірусів у систему в неробочий час, наприклад використання співробітником "подарунка" у вигляді нової комп'ютерної гри.

Апаратні збої, що загрожують частковим або повним втратам інформації, програмного забезпечення, систем обробки даних. Захист інформації полягає в забезпеченні дублювання інформації на паралельно працюючому сервері, збереженні баз даних в архівах на змінних носіях інформації, як наприклад блоках флеш пам'яті, компакт-дисках, магнітних стрічках тощо.

Зловживання привілеями супервізора для порушення механізмів безпеки локальної мережі.

Диверсії - зловмисне фізичне псування апаратних засобів та комп'ютерних систем, з метою знищення інформації, системи тощо. Це може бути знищення устаткування, магнітних носіїв або дистанційне знищення інформації, встановлення ліквідаторів уповільненої дії або з дистанційним управлінням (програмних, апаратних або апаратно-програмних).

Використання залишеного без нагляду устаткування у робочий час. підміна елементів устаткування, що були залишені без нагляду у робочий час.

Встановлення програмних закладок для передачі інформації або паролів по легальних каналах зв'язку з комп'ютерною системою (електронної пошти).

Блокування каналу зв'язку власними повідомленнями, що викликає відмову від обслуговування легальних користувачів.

Крадіжки - викрадення інформації з метою використовувати її в своїх власних цілях. Так викрадення устаткування, у тому числі окремих плат, дисководів, мікросхем, кабелів, дисків, стрічок з метою продажу призводить до втрати працездатності системи, а іноді й до знищення даних.

Внесення змін або зчитування інформації у базах даних або окремих файлах через присвоєння чужих повноважень у результаті добору паролів з метою копіювання, підробки або знищення фінансової інформації.

Виявлення паролів при викраденні або візуальному спостереженні. Збір і аналіз використаної друкованої інформації, документації та інших матеріалів для копіювання інформації або виявлення паролів, ідентифікаторів, процедур доступу і ключів. Візуальне перехоплення інформації, виведеної на екрани дисплеїв або вводу з клавіатури для виявлення паролів, ідентифікаторів і процедур доступу.

Використання програмних засобів для подолання захисних можливостей системи.

Копіювання інформації і паролів при негласному пасивному підключенні до локальної мережі або прийомі електромагнітного випромінювання мережевого адаптеру. Виявлення паролів легальних користувачів при негласному активному підключенні до локальної мережі при імітації запиту операційної системи мережі.

Відмова абонента від факту прийому (передачі) інформації або створення помилкових відомостей про час прийому (передачі) повідомлень для зняття з себе відповідальності за виконання цих операцій.

Несанкціонована передача конфіденційної інформації в складі легального повідомлення для виявлення паролів, ключів і протоколів доступу;

Несанкціоноване перевищення своїх повноважень на доступ або повноважень інших користувачів в обхід механізмів безпеки;

Вилучення інформації із статистичних баз даних у результаті використання семантичних зв'язків між секретною та несекретною інформацією з метою добування конфіденційних відомостей.

Заміна та викривлення інформації - переслідує власні мотиви або осіб замовників, з метою нашкодити з певних інтересів. Внесення змін у дані, записані на залишених без нагляду магнітних носіях.

Піратство - порушення авторських прав власника програмного забезпечення, незаконне копіювання та розповсюдження інформації.

Пігебінг- проникнення в мережу, систему обробки інформації після некоректно завершеного сеасу роботи користувача.

Перехват - заволодіння та використання в своїх цілях чужої інформації в електронному вигляді. Захист полягає в шифруванні інформації на ділянках де обробляється таємна та конфіденційна інформація.

Помилки маршрутизації - інформація надіслана іншому користувачеві помилково.

Мережеві аналізатори - системи для несанкціонованого проникнення в мережі обробки інформації. Відомі продукти LAV Analiyzer. Network Analizer. Protocol Analizer, що запускаються на робочій станції мережі і читають потоки даних в мережі. Аналіз трафіка при пасивному підключенні до каналу зв'язку або при перехопленні електромагнітного випромінювання апаратури для виявлення протоколів обміну.

Маскарад - проникнення в інформаційну систему шляхом перехвату пароля або злому. Оголошення себе іншим користувачем (маскування) для порушення адресації повідомлень або відмови у законному обслуговуванні.

З метою надійного захисту інформації в системах, каналах передачі даних безпечна робота забезпечується наступними рівнями:

Організаційним: створення відповідних умов для захисту приміщень, комп 'ютерів, облік конфіденційної, таємної інформації, гримування, контроль за розповсюдженням, копіюванням, діями персоналу.

Технічним: апаратно-програмний захист, розподіл доступу до баз даних, мереж: передачі, введення паролів, криптозахист, накладання електронних цифрових підписів (ЕЦП).

Таким чином є найширший спектр варіантів шляхів навмисного несанкціонованого доступу до даних і втручання в процеси обробки і обміну інформацією. Правильно побудована система захисту інформації в АІС - важлива складова успішного проведення аналізу ризику і забезпечення безпеки роботи автоматизованої системи.

Зважаючи на те, що питання боротьби та профілактики комп'ютерної злочинності в сфері фінансової та банківської діяльності в нашій державі почали вивчати лише з 90-х років, а в деяких зарубіжних країнах це питання вивчається дуже давно, нам слід упровадити провідний досвід цих країн у вітчизняну практику, враховуючи діючу нормативно-правову базу України

2. Засоби та методи захисту інформації

Система захисту - це єдина сукупність правових і морально-етичних норм, організаційних, технологічних і програмно-технічних засобів, направлених на протидію загроз інформації і системи у цілому, з метою зведення до мінімуму втрат інформації.

У фінансових установах існує два підходи до захисту інформації:

Автономний - направлений на захист конкретної дільниці або частини інформаційної системи, яка як правило є найбільш вразливою або може бути джерелом зловживань.

Комплексний - захищає інформаційну систему в цілому, всі її складові частини, приміщення, персонал тощо.

Важливим елементом попередження комп'ютерних злочинів у фінансовій діяльності стає застосування сучасних технічних засобів захисту інформації (під захистом розуміється обмеження доступу чи використання всієї або частини комп'ютерної системи). У Положенні про технічний захист інформації в Україні зазначено: технічний захист інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки спрямовано на запобігання порушенню цілісності інформації з обмеженим доступом та її просочення шляхом:

> несанкціонованого доступу;

> приймання й аналізу побічних електромагнітних випромінювань і наводок;

> використання закладних пристроїв;

> впровадження комп'ютерних вірусів та іншого впливу.

Технічний захист інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки, призначених для формування, пересилання, приймання, перетворення, відображення та зберігання інформації, забезпечується комплексом конструкторських, організаційних, програмних і технічних заходів на всіх етапах їх створення й експлуатації.

Основними методами та засобами технічного захисту інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки є:

* використання захищеного обладнання;

* регламентування роботи користувачів, технічного персоналу, програмних засобів, елементів баз даних і носіїв інформації з обмеженим доступом (розмежування доступу);

* регламентування архітектури автоматизованих систем і засобів обчислювальної техніки;

* інженерно-технічне оснащення споруд і комунікацій, призначених для експлуатації автоматизованих систем і засобів обчислювальної техніки;

* пошук, виявлення і блокування закладних пристроїв.

До основних засобів захисту інформації можна віднести такі: фізичні засоби, апаратні засоби, програмні засоби, апаратно-програмні засоби, криптографічні та організаційні методи.

* Фізичні засоби захисту - це засоби, необхідні для зовнішнього захисту засобів обчислювальної техніки, території та об'єктів на базі ПК, які спеціально призначені для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів інформаційних систем та інформації, що захищаються.

Найпростіший і надійний спосіб захисту інформації від загроз несанкціонованого доступу - режим автономного використання ПК одним користувачем у спеціально виділеному приміщенні при відсутності сторонніх осіб. У робочий час, коли ПК працює, можливий витік інформації каналами побічного електромагнітного випромінювання.

Спектр сучасних фізичних засобів захисту дуже широкий. До цієї групи засобів захисту належать також різні засоби екранування робочих приміщень та каналів передачі даних.

Апаратні засоби захисту - це різні електронні, електронно-механічні та інші пристрої, які вмонтовуються в серійні блоки електронних систем обробки і передачі даних для внутрішнього захисту засобів обчислювальної техніки: терміналів, пристроїв введення та виведення даних, процесорів, ліній зв 'язку тощо.

Основні функції апаратних засобів захисту:

> заборона несанкціонованого (неавторизованого) зовнішнього доступу віддаленого користувача;

> заборона несанкціонованого (неавторизованого) внутрішнього доступу до баз даних в результаті випадкових чи умисних дій персоналу;

> захист цілісності програмного забезпечення. Ці функції реалізуються шляхом:

- ідентифікації суб'єктів (користувачів, обслуговуючого персоналу) і об'єктів (ресурсів) системи;

- аутентифікації суб'єкта за наданим ним ідентифікатором;

- перевірки повноважень, яка полягає в перевірці дозволу на певні види робіт;

- реєстрації (протоколювання) при звертаннях до заборонених ресурсів;

- реєстрації спроб несанкціонованого доступу.

Реалізація цих функцій здійснюється за допомогою застосування різних технічних пристроїв спеціального призначення. До них, зокрема, належать:

> джерела безперебійного живлення апаратури, а також: пристрої стабілізації, що оберігають від стрибкоподібних перепадів напруги і пікових навантажень у мережі електроживлення;

> пристрої екранування апаратури, ліній зв'язку та приміщень, в яких знаходиться комп'ютерна техніка;

> пристрої ідентифікації і фіксації терміналів і користувачів при спробах несанкціонованого доступу до комп'ютерної мережі;

> засоби захисту портів комп'ютерної техніки тощо.

Програмні засоби захисту необхідні для виконання логічних і інтелектуальних функцій захисту, які вмонтовані до складу програмного забезпечення системи.

З допомогою програмних засобів захисту реалізуються наступні задачі безпеки:

> контроль завантаження та входу в систему за допомогою системи паролів;

Р розмежування і контроль прав доступу до системних ресурсів, терміналів, зовнішніх ресурсів, постійних та тимчасових наборів даних тощо;

> захист файлів від вірусів;

> автоматичний контроль за роботою користувачів шляхом протоколювання їх дій.

Апаратно-програмні засоби захисту - це засоби, які основані на 11 синтезі програмних та апаратних засобів.

Ці засоби широко використовуються при аутентифікації користувачів автоматизованих банківських систем. Аутентифікація - це перевірка ідентифікатора користувача перед допуском його до ресурсів системи. Аутентифікація - це ідентифікація користувача в системі з допомогою його імені або псевдоніма, що приймає участь в реєстраційній процедурі та пароля доступу, що відомий лише користувачу. Пароль - це код (набір символів), що забезпечує доступ до систем, файлів, апаратних засобів, тощо. Апаратно-програмні засоби захисту використовуються також при накладанні електронно-цифрових підписів відповідальних користувачів. Найпоширенішим в автоматизованих банківських системах є використання смарт-карт, які містять паролі та ключі користувачів.

Організаційні заходи захисту засобів комп'ютерної інформації складають сукупність заходів щодо підбору, перевірки та навчання персоналу, який бере участь у всіх стадіях інформаційного процесу.

Досвід зарубіжних країн свідчить про те, що найефективнішим захистом інформаційних систем є введення до штату організації посади фахівця з комп'ютерної безпеки або створення спеціальних служб, як приватних, так і централізованих, виходячи з конкретної ситуації. Наявність такого відділу (служби) в банківській структурі, за оцінками зарубіжних фахівців, удвічі знижує ймовірність вчинення злочинів у сфері використання комп'ютерних технологій.

Згідно законодавства України, у державних установах та організаціях можуть створюватись підрозділи, служби, які організують роботу, пов'язану із захистом інформації, підтримкою рівня захисту інформації в автоматизованих системах і несуть відповідальність за ефективність захисту інформації. Зазначимо, що ця норма за характером не є обов'язковою, а рекомендованою. З її змісту в поєднанні з іншими нормами Закону "Про захист інформації в автоматизованих системах" витікає, що захист інформації в автоматизованих системах є обов'язковою функцією, проте необов'язково під цю функцію може створюватися окрема функціональна організаційна структура. Ця функція може бути складовою іншої організаційної структури, тобто здійснюватися у поєднанні з іншими функціями.

Однак в банківських установах створення спеціальних структур для захисту інформації, фінансової безпеки є обов'язковим. В них мають бути створені спеціальні відділи комп'ютерної безпеки в рамках діючих служб економічної безпеки та фізичного захисту, діяльністю яких має керувати один із спеціально призначених для цих цілей заступник начальника служби безпеки, який має у своєму розпорядженні відповідні людські, фінансові і технічні ресурси для вирішення поставлених завдань.

До функціональних обов'язків таких осіб (структурних підрозділів) має входити здійснення, передусім, таких організаційних заходів:

- забезпечення підтримки з боку керівництва конкретної організації вимог захисту засобів комп'ютерної техніки;

- розробка комплексного плану захисту інформації;

- визначення пріоритетних напрямів захисту інформації з урахуванням специфіки діяльності організації;

- складання загального кошторису витрат фінансування охоронних заходів відповідно до розробленого плану та затвердження його як додатку до плану керівництвом організації;

- визначення відповідальності співробітників організації за безпеку інформації в межах встановленої компетенції шляхом укладення відповідних договорів між співробітником та адміністрацією;

- розробка, впровадження і контроль за виконанням різного роду інструкцій, правил та наказів, які регламентують форми допуску, рівні секретності інформації, конкретних осіб, допущених до роботи з секретними (конфіденційними) даними тощо;

- розробка ефективних заходів боротьби з порушниками захисту засобів комп'ютерної техніки.

Надійним засобом підвищення ефективності заходів інформаційної безпеки є навчання та інструктаж працюючого персоналу щодо організаційно-технічних заходів захисту, які застосовуються в конкретній організації. Крім цього, обов'язково мають бути реалізовані наступні організаційні заходи:

для всіх осіб, що мають право доступу до засобів комп'ютерної техніки, потрібно визначити категорії допуску, тобто коло службових інтересів коленої особи, види інформації, до яких вона має право доступу, а також: вид такого дозволу, правомочність особи, яка уповноважується для здійснення тих або інших маніпуляцій з засобами комп'ютерної техніки;

слід визначити адміністративну відповідальність за збереження і санкціонування доступу до інформаційних ресурсів. При цьому, за кожний вид ресурсів відповідальність повинна нести одна конкретна особа;

налагодити періодичний системний контроль за якістю захисту інформації шляхом проведення регламентних робіт як особою, відповідальною за безпеку, так і залученням компетентних фахівців (експертів) з інших організацій;

провести класифікацію інформації відповідно до Ті важливості, диференціювати на основі цього заходи захисту; визначити порядок охорони та знищення інформації;

організувати фізичний захист засобів комп'ютерної техніки. Криптографічні методи захисту. З метою захисту інформації при її передачі зазвичай використовують різні методи шифрування даних перед їх введенням до каналу зв'язку або на фізичний носій з наступною розшифровкою. Методи шифрування дозволяють досить надійно захищати комп'ютерну інформацію від злочинних посягань.

Застосування криптографічного захисту, тобто кодування тексту з допомогою складних математичних алгоритмів, завойовує все більшу популярність. Звичайно, жоден з шифрувальних алгоритмів не дає цілковитої гарантії захисту від зловмисників, але деякі методи шифрування настільки складні, що ознайомитися зі змістом зашифрованих повідомлень практично неможливо.

Потужним та дієвим є застосування для захисту інформації крипто-захисту, тобто систем, що дозволяють шифрувати та дешифрувати інформаційні потоки. Традиційна криптографія виходила з того, що для шифрування та дешифрування використовувався один і той же секретний ключ, який мав мати відправник і отримувач повідомлення. Одним з поширених, сьогодні, методів шифрування є алгоритм RSA, в основі якого кожен учасник процесу має власний таємний ключ та відкритий ключ, що не є секретним з допомогою якого проводиться обмін повідомленнями. Електронний цифровий підпис (ЕЦП) - це аналог власного підпису посадової особи в електронному вигляді.

Криптографічні методи захисту інформації широко використовуються в автоматизованих банківських системах і реалізуються у вигляді апаратних, програмних чи програмно-апаратних методів захисту. Використовуючи шифрування повідомлень в поєднанні з правильною установкою комунікаційних засобів, належними процедурами ідентифікації користувача, можна добитися високого рівня захисту інформаційного обміну.

Криптографія є одним з найкращих засобів забезпечення конфіденційності і контролю цілісності інформації. Вона займає центральне місце серед програмно-технічних регулювальників безпеки, є основою реалізації багатьох з них і, в той же час, останнім захисним рубежем.

Підводячи підсумки, слід підкреслити, що деякі фахівці з банківської безпеки пов'язують надійність фінансових інформаційних систем з засобами їх зовнішнього захисту, тобто системою паролів для входу не тільки у саму комп'ютерну мережу, а й до різних рівнів інформації системи, залежно від допуску користувачів. Коло працівників, які за технологією виконання банківських операцій мають доступ до широкого діапазону такої інформації, дуже великий. Тому система захисту, яка базується на кодуванні входів до різних видів інформації, малоефективна. Потрібно знайти принципово нові підходи для розробки та впровадження відносно надійних систем захисту банківської діяльності від комп'ютерних злочинів. Така система повинна будуватися згідно із технологією банківського документообігу та особливостями форм розрахунково-кредитних операцій.

3. Організація захисту інформації у фінансових установах

Сучасні інформаційні технології потребують організації високого рівня захисту даних. Колективне користування інформаційними ресурсами вимагає чіткої постановки задачі захисту окремих папок та файлів та мережевих ресурсів взагалі від несанкціонованого втручання інформаційних зловмисників, вірусів та небезпечних програм. Найважливішим етапом на цьому рівні є фізичний захист самого інформаційного ресурсу. Якщо ж на такому ресурсі зберігаються конфіденційні дані, вони повинні знаходитися у безпечному місці.

Суть інформаційної безпеки - забезпечити безперебійну роботу організації і звести до мінімуму збиток від подій, що таять загрозу безпеки, за допомогою їхнього запобігання і зведення наслідків до мінімуму. Управління інформаційною безпекою дозволяє колективно використовувати інформацію, забезпечуючи при цьому її захист і захист обчислювальних ресурсів. Інформаційна безпека складається з трьох основних компонентів:

- конфіденційність: захист конфіденційної інформації від несанкціонованого розкриття чи перехоплення;

- цілісність: забезпечення точності і повноти інформації і комп'ютерних програм;

- доступність: забезпечення доступності інформації і життєво важливих сервісів для користувачів, коли це потрібно.

Інформація існує в різних формах. її можна зберігати на комп'ютерах, передавати по обчислювальних мережах, роздруковувати чи записувати на папері, а також озвучувати в розмовах. З погляду безпеки усі види інформації, включаючи паперову документацію, бази даних, плівки, мікрофільми, моделі, магнітні стрічки, дискети, розмови й інші способи, використовувані для передачі знань та ідей, вимагають належного захисту.

Інвентаризація ресурсів допомагає переконатися в тому, що забезпечується їхній ефективний захист, крім того, перелік ресурсів може знадобитися для інших виробничих цілей, наприклад, при вживанні заходів по охороні здоров'я і по техніці безпеки, для страхування чи фінансових цілей. Інвентаризацію необхідно провести для всіх основних ресурсів, зв'язаних з кожною інформаційною системою. Кожен ресурс повинний бути чітко ідентифікований, а його власник і категорія таємності погоджені і задокументовані. Прикладами ресурсів, пов'язаних з інформаційними системами, є:

- інформаційні ресурси: бази даних і файли даних, системна документація, посібники користувача, навчальні матеріали, операційні процедури і процедури підтримки, плани забезпечення безперебійної роботи організації, процедури переходу на аварійний режим;

- програмні ресурси: прикладне програмне забезпечення, системне програмне забезпечення, інструментальні засоби й утиліти;

- фізичні ресурси: комп'ютери і комунікаційне устаткування, магнітні носії даних (стрічки і диски), інше технічне устаткування (блоки живлення, кондиціонери), меблі, приміщення;

- сервіси: обчислювальні і комунікаційні сервіси, інші технічні сервіси (опалення, освітлення, енергопостачання, кондиціонування повітря).

Секретна інформація і вихідні дані систем, що підтримують секретну інформацію, повинні мати відповідні грифи таємності. Однак часто інформація перестає бути конфіденційною через деякий проміжок часу, наприклад, коли вона стає загальнодоступною. Це варто взяти до уваги, тому що надмірне засекречування інформації може привести до невиправданих, додаткових витрат організації.

Вихідні дані інформаційних систем, що містять секретну інформацію, повинні мати відповідний гриф таємності. Цей гриф повинний відображати категорію таємності найбільш уразливої інформації. Прикладами таких вихідних даних є друковані звіти, інформація, виведена на екрани дисплеїв, дані, збережені на магнітних носіях (стрічках, дисках, касетах), електронні повідомлення і передані файли.

Фізичні мітки є найбільш придатною формою маркування. Однак у деяких випадках, наприклад, для електронної передачі даних, можуть знадобитися інші засоби, такі, як процедури, чи контракти поштові повідомлення для виконання функцій маркування.

Безпека персоналу. Користувачі повинні бути навчені процедурам захисту і правильному поводженню з інформаційними ресурсами. Необхідно також офіційно, у письмовій формі, затвердити дозволений користувачам доступ до інформаційних ресурсів.

Користувачі повинні одержати необхідні відомості про політику організації і прийнятих у ній процедурах, включаючи вимоги до безпеки й інших засобів контролю, а також навчитися правильно користуватися інформаційними ресурсами (наприклад, знати процедуру входу в систему, уміти користатися пакетами програм) перед тим, як вони одержать доступ до інформаційних систем. Ці міри необхідні для того, щоб гарантувати, що процедури захисту виконуються правильно, і для зведення ризику порушення конфіденційності, цілісності і доступності даних через помилку користувача до мінімуму.

Реагування на небезпечні події. Усі співробітники і підрядчики повинні бути ознайомлені з процедурою повідомлення про різні типи інцидентів що можуть вплинути на безпеку інформаційних ресурсів організації.

Фізичний захист обладнання. Необхідно забезпечити фізичний захист устаткування від погроз порушення безпеки і небезпек, що представляються навколишнім середовищем. Захист устаткування інформаційних систем необхідний як для того, щоб зменшити ризик несанкціонованого доступу до даних, так і для того, щоб не допустити його втрату або ушкодження. Варто також приділити увагу проблемам розміщення устаткування і його утилізації. Можуть знадобитися спеціальні міри для захисту від несанкціонованого доступу й інших небезпек, а також для захисту допоміжного устаткування, наприклад, системи електроживлення і кабельного розведення.

Устаткування інформаційних систем повинне бути так розміщено і захищено, щоб зменшити ризик, зв'язаний із впливом навколишнього середовища і несанкціонованим доступом.

Засоби обчислювальної техніки необхідно захищати від збоїв у системі електроживлення й інших неполадках в електричній мережі. Доцільно розглянути необхідність використання резервного джерела живлення.

Кабелі електроживлення і мережеві кабелі для передачі даних необхідно захищати від розкриття з метою перехоплення інформації й ушкодження.

Необхідно здійснювати належне технічне обслуговування устаткування, щоб забезпечити його постійну доступність і цілісність. Технічне обслуговування устаткування повинне здійснюватися через проміжки часу, що рекомендуються постачальником, і відповідно до інструкцій. Ремонт і обслуговування устаткування повинен виконувати тільки персонал підтримки, що має відповідні повноваження.

Використання устаткування інформаційних систем (незалежно від того, хто їм володіє), що підтримують виробничі процеси, за межами організації повинно бути санкціоновано керівництвом. Рівень захисту такого устаткування повинний бути таким же, як і для устаткування, розташованого на території організації.

Створення захищених зон. Інформаційні системи, що підтримують критично важливі сервіси організації, повинні бути розміщені в захищених областях. Такі системи повинні бути також захищені фізично від несанкціонованого доступу, ушкодження і перешкод. їх варто розмістити в захищених областях, обмежених визначеним периметром безпеки, з належним контролем доступу в приміщення і захисні бар'єри.

Захист обладнання. Необхідно забезпечити фізичний захист устаткування від погроз порушення безпеки і небезпек, що представляються навколишнім середовищем. Захист устаткування інформаційних систем (включаючи устаткування, використовуване за межами організації) необхідний як для того, щоб зменшити ризик несанкціонованого доступу до даних, так і для того, щоб не допустити його втрат або ушкодження.

Захист від шкідливого програмного забезпечення. Для запобігання і виявлення випадків впровадження шкідливого програмного забезпечення, потрібно вживання належних заходів обережності. В даний час існує цілий ряд шкідливих методів, що дозволяють використовувати уразливість комп'ютерних програм стосовно їх несанкціонованої модифікації, з такими іменами, як «комп'ютерні віруси», "мережеві хробаки", "троянські коні" і "логічні бомби". Адміністратори інформаційних систем повинні бути завжди готові до небезпеки проникнення шкідливого програмного забезпечення в системи і по необхідності вживати спеціальних заходів по запобіганню або виявленню його впровадження. Зокрема украй важливо вжити заходів обережності для запобігання і виявлення комп'ютерних вірусів на персональних комп'ютерах.

Обслуговування систем. Заходи для обслуговування систем вимагаються для підтримки цілісності і доступності сервісів. Необхідно визначити повсякденні технологічні процеси для зняття резервних копій з даних, реєстрації подій і збоїв, а також для спостереження за середовищем, у якій функціонує устаткування.

Обмін даними і програмами. Обміни даними і програмами необхідно контролювати. Такі обміни варто здійснювати на основі формальних угод. Повинні бути встановлені процедури і стандарти для захисту носіїв інформації під час їхнього транспортування. Необхідно враховувати наслідки для виробничої діяльності і системи безпеки від використання електронного обміну даними і повідомленнями електронної пошти, а також вимоги до засобів управління безпекою.

Електронна пошта відрізняється від традиційних видів зв'язку швидкістю, структурою повідомлень, ступенем формальності й уразливістю стосовно перехоплення. Для зменшення ризику, якому піддаються виробничі процеси і система безпеки, пов'язаного з застосуванням електронної пошти, необхідно використовувати наступні засоби контролю:

> уразливість електронних повідомлень стосовно несанкціонованого перехоплення і модифікації;

> уразливість даних, що пересилаються по електронній пошті, стосовно помилок, наприклад, неправильна адресація чи напрямок

> повідомлень не по призначенню, а також надійність і доступність системи в цілому;

> вплив зміни характеристик комунікаційного середовища на виробничі процеси, наприклад, вплив підвищеної швидкості передачі даних або зміни системи адресації між: організаціями й окремими особами;

> необхідність вживання захисних заходів для контролю вилученого доступу користувачів до електронної пошти.

Управління доступом користувачів. Для управління процесом надання прав доступу до інформаційних систем вимагаються формальні процедури. Ці процедури повинні містити в собі всі стадії життєвого циклу управління доступом користувачів - від початкової реєстрації нових користувачів до видалення облікових записів користувачів, що більше не мають потреби в доступі до інформаційних систем. Особливу увагу варто приділити необхідності управління процесом надання привілейованих прав доступу, що дозволяють користувачам обійти засоби системного контролю.

В даний час паролі є основним засобом підтвердження повноважень доступу користувачів до комп'ютерних систем. Призначення паролів необхідно контролювати за допомогою формального процесу управління

Для забезпечення ефективного контролю за доступом до даних та інформаційних систем керівництво повинне реалізовувати формальний процес перегляду прав доступу користувачів через регулярні проміжки часу. Цей процес повинний забезпечувати перегляд повноважень доступу користувачів через регулярні проміжки часу, рекомендується період З місяці.

Якщо користувачам необхідний доступ до багатьох систем і платформ і від них потрібно підтримка декількох паролів, то їм варто рекомендувати використовувати один єдиний надійний пароль для входу в усі системи, що забезпечує мінімальний рівень захисту для збереження паролів.

Користувачі повинні забезпечити належний захист устаткування, залишеного без нагляду. Устаткування, установлене на робочих місцях користувачів, наприклад, робочі станції і файлові сервери, може потребувати спеціального захисту від несанкціонованого доступу в тих випадках, коли воно залишається без догляду на тривалий час.



Висновок

У зв'язку з широким розповсюдженням персональних комп'ютерів не тільки як засобів обробки інформації, а також як оперативних засобів комунікації, виникають проблеми, пов'язані із забезпеченням захисту інформації від навмисних або випадкових спотворень.

Актуальність цих проблем підкреслюється також тією обставиною, що персональний комп'ютер або автоматизоване робоче місце (АРМ) є частиною систем обробки інформації, систем колективного користування , обчис-лювальних мереж . У таких випадках пред'являються досить жорсткі вимоги щодо надійності та достовірності переданої інформації.

Метою захисту інформації є: запобігання витоку, розкрадання, втрати, перекручування, підробки інформації; запобігання загрозам безпеки осо-бистості, суспільства, держави; запобігання несанкціонованих дій по знищенню,системи забезпечення правового режиму документованої інформації як об'єкта власності; захист конституційних прав громадян на збереження особистої таємниці та конфіденційності персональних даних, що є в інфор-маційних системах; збереження державної таємниці, конфіденційності документованої інформації відповідно до законодавства, забезпечення прав суб'єктів в інформаційних процесах при розробці, виробництві та застосуванні інформаційних систем, технологій та засобів їх забезпечення .

Завдання захисту інформації в інформаційних обчислювальних системах вирішується , як правило, досить просто: забезпечуються засоби контролю за виконанням программ , що мають доступ до збереженої в системі інформації. Проте при широкому поширенні обчислювальних та інформаційних систем, особливо в таких сферах, як обслуговування населення ,банківська справа, цих заходів виявилося явно недостатньо.

Система,що забезпечує захист інформації, не повинна дозволяти доступу до даних користувачам, які не мають такого права. Така система захисту є невід'ємною частиною будь-якої системи колективного користування засобами обчислювальної техніки, незалежно від того, де вони використовуються.

Органи державної влади та організації, відповідальні за формування та використання інформаційних ресурсів, що підлягають захисту, а також органи та організації, що розробляють та застосовують інформаційні системи та технології для формування та використання інформаційних ресурсів з обмеженим доступом, керуються в своїй діяльності законодавством України.

Контроль за дотриманням вимог до захисту інформації та експлуатації спеціальних програмно-технічних засобів захисту, а також забезпечення організаційних заходів з захисту інформаційних систем, що опрацьовують інформацію з обмеженим доступом в недержавних структурах, здійснюються органами державної влади. Організації, які опрацьовують інформацію з обмеженим доступом, що є власністю держави, створюють спеціальні служби для забезпечення захисту інформації.



Список литератури

1. Закон України “Про інформацію” // Відом. Верховної Ради УРСР. - 1992. - № 48.

2. Баяндин Н. Технологии безопасности бизнеса. - М.: Юристъ, 2002.

3. Безопасность информации сегодня и завтра. - Служба безопасности, 1996. - № 3.

4. Берлач А. Безпека бізнесу. - К.: Університет «Україна», 2007.

5. Давыдов И. Тайна фирмы. - К.: Фирма Колир - 2, 1993.

6. Землянов В. Своя контрразведка. - Минск: Харвест, 2002.

7. Зубок М. Безпека банківської діяльності. - К.: КНЕУ, 2002.

8. Зубок М. Інформаційна безпека. - К.: КНТЕУ, 2005.

9. Зубок М. Правове регулювання безпеки підприємницької діяльності. - К.: КНТЕУ, 2005.

10. Зубок М., Зубок Р. Безпека підприємницької діяльності.

11. Кормич Б. Інформаційна безпека: організаційно-правові основи. - К.: Кондор, 2004.

12. Кузнецов И. Бизнес-безопасность. - М.: ИД «Дашков и К», 2006.

13. Низенко Е., Камняк В. Забезпечення інформаційної безпеки підприємництва. - К.: МАУП, 2006.

14. Поздняков Е. Защита объектов. - М.: БДЦ, 1997.

15. Степанов Е., Корнеев И. Информационная безопасность и защита информации. - М. Инфра - М, 2001.

16. Яскевич В. Секьюрити. Организационные основы безопасности фирмы. - М.: Ось-89, 2005.

Размещено на Allbest.ru