Реферат: Информационная безопасность

Содержание

1. Основыинформационной 6езопасности

2. Информационныетехнологии и право

3. Уровни защитыинформации

4. Признакикомпьютерных преступлений и меры защиты от них

5. Технологиикомпьютерных преступлений и злоупотреблений

6. Методы совершениякомпьютерных преступлений

7. Признаки уязвимыхмест в информационной безопасности

8. Меры защитыинформационной безопасности

9. Понятие пароля

1. Основы информационной6езопасности

В связи с массовой информатизациейсовременного общества все большую актуальность приобретает знаниенравственно-этических норм и правовых основ использования средств новыхинформационных технологий в повседневной практической деятельности. Наглядными примерами,иллюстрирующими необходимость защиты информации и обеспечения информационной безопасности,являются участившиеся сообщения о компьютерных «взломах» банков, ростекомпьютерного пиратства, распространении компьютерных вирусов.

Число компьютерныхпреступлений растет, также увеличиваются масштабы компьютерных злоупотреблений.Умышленные компьютерные преступления составляют заметную часть преступлений. Нозлоупотреблений компьютерами и ошибок еще больше.

Основной причиной потерь,связанных с компьютерами, является недостаточная образованность в областибезопасности.

Под информационнойбезопасностью понимается защищенность информации от случайных илипреднамеренных воздействий естественного или искусственного характера, чреватыхнанесением ущерба владельцам или пользователям информации.

Целью информационнойбезопасности является обезопасить ценности системы, защитить и гарантировать точностьи целостность информации, минимизировать разрушения, которые могут иметь место,если информация будет модифицирована или разрушена.

На практике важнейшимиявляются три аспекта информационной безопасности:

· доступность — возможность за разумное время получить требуемую информационную услугу;

· целостность — еезащищенность от разрушения и несанкционированного изменения;

· конфиденциальность— защита от несанкционированного прочтения.

Кроме того,информационные системы должны использоваться в соответствии с существующимзаконодательством. Данное положение, разумеется, применимо к любому видудеятельности, однако информационные технологии специфичны в том отношении, четразвиваются исключительно быстрыми темпами. Почти всегда законодательствоотстает от потребностей практики, и это создает в обществе определеннуюнапряженность. Для информационных технологий подобное отставание законов, нормативных;актов, национальных и отраслевых стандартов оказывается особенно болезненным.

Формирование режимаинформационной безопасности — проблема комплексная. Меры по ее решению можноразделить на четыре уровня:

1. Законодательный(законы, нормативные акты, стандарты и т.п.).

2. Административный (действияобщего характера, предпринимаемые руководством организации),

3. Процедурный(конкретные меры безопасности, имеющие дело с людьми),

4. Программно-технический(конкретные технические меры).

2. Информационныетехнологии и право

Важнейшим аспектомрешения проблемы информационной безопасности являетcя правовой.

Соответствующеезаконодательство довольно быстра развивается, в нем стараются учитыватьразвитие компьютерной техники и телекоммуникаций, но, естественно, не успеваютв силу разумного консерватизма, предполагающего создание новых правовыхмеханизмов при условии накопления некой «критической массы»правоотношений, требующих урегулирования. В России аналогичное законодательствочаще всего называется «законодательством в сфере информатизации» иохватывает, по разным оценкам, от 70 до 500 нормативно-правовых актов.

Конституцией РФнепосредственно не регулируются отношения в области производства и применения новыхинформационных технологий, но создаются предпосылки для такого регулирования,закрепляя права граждан (свободно искать, получать, передавать, производить ираспространять информацию любым законным способом; на охрану личной тайны идр.) и обязанности государства (по обеспечению возможности ознакомлениягражданина с документами и материалами, непосредственно затрагивающими егоправа и свободы).

Гражданский кодекс РФ(ПС) в большей степени определяет систему правоотношений в рассматриваемойобласти. Часть первая ГК устанавливает правовые режимы информации — служебная икоммерческая тайна, а также личная и семейная тайна.

На уровне действующихзаконов России в области компьютерного права можно считать в достаточнойстепени урегулированными вопросы охраны исключительных прав и частично защитыинформации (в рамках государственной тайны). Не получили достойного отражения взаконодательстве две группы правоотношений: право граждан на доступ информации,защита информации (в том числе коммерческая и служебная тайны, защитаперсональных данных). Эти вопросы должны стать предметом разрабатываемыхзаконопроектов.

Значительный пласт «компьютерногоправа» составляют Указы Президента РФ. которые касаются, прежде всего,вопросов формирования государственной политики в сфере информатизации, созданиясистемы правовой информации и информационно-правового сотрудничества сгосударствами СНГ, обеспечения информацией органов государственной власти, мерпо защите информации (в частности, шифрования).

3. Уровни защитыинформации.

Различают 4 уровня защитыинформации:

· предотвращение —доступ к информации и технологии только для персонала, который имеет допуск отсобственника информации;

· обнаружение —обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмызащиты были обойдены;

· ограничение —уменьшается размер потерь, если преступление все-таки произошло, несмотря намеры по его предотвращению и обнаружению;

· восстановление — обеспечиваетсяэффективное восстановление информации при наличии документированных ипроверенных планов по восстановлению.

Вчера контроль защитыинформации был заботой технических администраторов. Сегодня контроль информациистал обязанностью каждого пользователя. Это требует от пользователя новыхзнаний и навыков. Так, например, хороший контроль над информацией требует пониманиявозможностей совершения компьютерных преступлений и злоупотреблений, чтобыможно было в дальнейшем предпринять контрмеры против них.

Когда компьютеры впервыепоявились, они были доступны только небольшому числу людей, которые умели ихиспользовать. Обычно они помещались в специальных помещениях, удаленныхтерриториально от помещений, где работали служащие. Сегодня все изменилось.Компьютерные терминалы и настольные компьютеры используются везде. Благодарясовременным программам компьютерное оборудование стало дружественным кпользователю, поэтому много людей могут быстро и легко научиться тому, как егоиспользовать. Этот процесс привел к тому, что произошла «демократизацияпреступления». Чем больше людей получало доступ к информационнойтехнологии и компьютерному оборудованию, тем больше возникало возможностей длясовершения компьютерных преступлений.

Люди совершаюткомпьютерные преступления по разным причинам: из-за лично или финансовойвыгоды, развлечений, мести, случайности, вандализма.

Но значительно большийущерб (около 60% всех потерь) наносят не умышленные преступления, а ошибкилюдей. Предотвращение компьютерных потерь, как умышленных преступлений, так ииз-за неумышленных ошибок требует знаний в области безопасности.

4. Признаки компьютерныхпреступлений и меры защиты от них

Для уменьшения ущерби откомпьютерного преступления очень важно своевременно

его обнаружить. Для того,чтобы обнаружить компьютерное преступление или уязвимые места в системеинформационной безопасности следует обращать внимание на:

· несанкционированныепопытки доступа к файлам данных;

· кражи частейкомпьютером;

· кражи программ;

· физическоеразрушение оборудование;

· уничтожениеданных или программ.

В то время как признакимогут помочь выявить преступление или злоупотребление, меры защиты могут помочьпредотвратить его.

Меры защиты — это меры,вводимые для обеспечения безопасности информации; административные руководящиедокументы (приказы, положения, инструкции), аппаратные устройства или дополнительныепрограммы, основной целью которых является предотвращение преступления излоупотреблений, не позволяющее им произойти. Меры защиты могут также выполнятьфункцию ограничения, уменьшая размер ущерба от преступления.

Некоторые технологии позащите информации могут быть встроены в сам компьютер, другие могут бытьвстроены в программы, некоторые же выполняются людьми и являются реализациейуказаний руководства, содержащихся в соответствующих руководящих документах.

Принятие решения о выбореуровня сложности технологий для защиты системы требует установления критичностиинформации и последующего определения адекватного уровня безопасности. Подкритическими данными понимаются данные, которые требуют защиты из-завероятности нанесения (риска) ущерба и его величины в том случае, еслипроизойдет случайное или умышленное раскрытие, изменение или разрушение данных.Этот термин включает в себя данные, чье неправильное использование илираскрытие может отрицательно отразиться на способности организации решать своизадачи, на персональных данных и других данных, защита которых требуетсяуказами Президента РФ, законами РФ и другими подзаконными документами.

5. Технологиикомпьютерных преступлений и злоупотреблений

Чтобы предупреждать исвоевременно раскрывать компьютерные преступления, необходимо представлятьспособы и средства их совершения. Анализ зарубежных и отечественных отчетов овыявленных компьютерных преступлениях позволяет описать технологии ихсовершения. Лишь немногие включают разрушение компьютеров данных. Только в 3%мошенничеств и 8% злоупотреблений происходило специальное разрушениеоборудования, уничтожение программ или данных. В большей часта случаевмошенничеств и злоупотреблений использовалась информация — ею манипулировали,ее создавали, ее использовали.

Освоение технологии, использовавшиесяпри совершении компьютерных преступлений:

Мошенничества

1. Вводнеавторизованной информации (Авторизация – предоставление определенныхполномочий лицу (группе лиц) на выполнение некоторых действий в системеобработки данных).

2. Манипуляцияразрешенной для ввода информацией.

3. Манипуляции илинеправильное использование файлов с информацией.

4. Созданиенеавторизованных файлов с информацией.

5. Обход внутреннихмер защиты.

Злоупотребления

1. Кражакомпьютерного времени, программ, информации и оборудования.

2. Вводнеавторизованной информации.

3. Созданиенеавторизованных файлов с информацией.

4. Разработкакомпьютерных программ для неслужебного использования.

5. Манипулированиеили неправильное использование возможностей по проведению работ на компьютерах.

6. Методы совершениякомпьютерных преступлений

Основными методамисовершения преступления являются:

1. Надувательство сданными является самым распространенным методом при совершении компьютерныхпреступлений, так как он не требует технических знаний и относительнобезопасен. Информация меняется в процессе ее ввода в компьютер или во времявывода. Например, при вводе документы могут быть заменены фальшивыми, вместорабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы.

2. Сканирование является распространеннымметодом получения информации, который может привести к преступлению. Служащие,читающие файлы других, могут обнаружить там персональную информацию о своихколлегах. Информация, позволяющая получить доступ к компьютерным файлам илиизменить их, может быть найдена после просмотра мусорных корзин. Дискеты,оставленные на столе, могут быть прочитаны, скопированы или украдены. Существуютсканирующие программы, которые могут, просматривая лишь остаточную информацию,оставшуюся на компьютере или на носителе информации после выполнениясотрудником задания и удаления файлов, получать эту информацию в более полномвиде.

3. Метод «троянскийконь» предполагает, что пользователь не заметил изменения компьютернойпрограммы таким образом, что та включает в себя дополнительные функции.Программа, выполняющая полезные функции, пишется таким образом, что содержитдополнительные скрытые функции, которые будут использовать особенности механизмовзащиты системы (возможности пользователя, запустившего программу, по доступу кфайлам).

4. Метод «люка»основан на использовании скрытого программного или аппаратного механизма,позволяющего обойти методы защиты в системе. Этот механизм активируетсянекоторым неочевидным образом. Иногда программа пишется таким образом, чтоспецифическое событие, например, число выполнения определенных процедур,обработанных в определенный день, вызовет запуск неавторизованного механизма.

5. Технология «салями»основана на постепенном изменении компьютерной программы небольшими частями,настолько маленькими, что они незаметны. Например, платежи могут округляться донескольких центов, и разница между реальной и округленной суммой поступать наспециально открытый счет злоумышленника.

6. Технологиясуперотключения названа по имени программы, использовавшейся в рядекомпьютерных центров, обходившей системные меры защиты и использовавшейся приаварийных ситуациях. Владение этим «мастер-ключом» дает возможность влюбое время получить доступ к компьютеру и информации, находящейся в нем.

7. Признаки уязвимых меств информационной безопасности

Компьютерное преступлениеможно предотвратить, а ущерб от возможного нарушения системы информационнойбезопасности можно сделать минимальным, если внимательно анализировать системуинформационной безопасности на уязвимость и предпринимать меры для укрепленияобнаруженных уязвимых мест.

Различают следующиепризнаки уязвимых мест в информационной безопасности:

1. Не разработаныположения о защите информации или они не соблюдаются. Не назначен ответственныйза информационную безопасность.

2. Пароли пишутся накомпьютерных терминалах, помещаются в общедоступные места, ими делятся сдругими людьми, или они появляются на компьютерном экране при их вводе.

3. Удаленные терминалы имикрокомпьютеры оставляются без присмотра в рабочие и нерабочие часы. Данныеотображаются на компьютерных экранах, оставленных без присмотра.

4. Не существуетограничений на доступ к информации, или на характер ее использования. Всепользователи имеют доступ ко всей информации и могут использовать все функциисистемы.

5. Не ведется системныхжурналов, и не хранится информация о том, кто и для чего использует компьютер.

6. Изменения в программымогут вноситься без их предварительного утверждения руководством.

7. Отсутствуетдокументация или она не позволяет понимать получаемые отчеты и формулы, покоторым получаются результаты, модифицировать программы, готовить данные дляввода, исправлять ошибки, производить оценку мер защиты и понимать сами данные— их источники, формат хранения, взаимосвязи между ними.

8. Делаютсямногочисленные попытки войти в систему с неправильными паролями.

9. Вводимые данные непроверяются на корректность и точность, или при их проверке много данныхотвергается из-за ошибок в них, требуется сделать много исправлений в данных,не делается записей в журналах об отвергнутых транзакциях.

10. Имеют место выходы изстроя системы, приносящие большие убытки.

11. Не производитсяанализ информации, обрабатываемой в компьютере, с целью определениянеобходимого для ее уровня безопасности.

12.Мало вниманияуделяется информационной безопасности, считается, что на самом деле она ненужна.

8. Меры защитыинформационной безопасности

С целью защиты информациикаждый должен знать и осуществлять следующие меры:

1. Контроль доступа как кинформации в компьютере, так и к прикладным программам. Надо иметь гарантиитого, что только авторизованные пользователи имеют доступ к информации иприложениям.

Необходимо требовать, чтобыпользователи выполняли процедуры входа в компьютер, и использовать это каксредство для идентификации в начале работы. Чтобы эффективно контролироватькомпьютер, может оказаться наиболее выгодным использовать его какоднопользовательскую систему.

Нужно использоватьуникальные пароли для каждого пользователя, которые не являются комбинациямиличных данных пользователей, для аутентификации личности пользователя.Внедряются меры защиты при администрировании паролей и проводится знакомствопользователей с наиболее общими ошибками, позволяющими совершитьсякомпьютерному преступлению.

2. Процедуры авторизации.Администратор должен разработать процедуры авторизации, которые определяют, ктоиз пользователей должен иметь доступ к той или иной информации и приложениям, ипредусмотреть соответствующие меры по внедрению тих процедур в организации.

В организацииустанавливается порядок, при котором для использования компьютерных ресурсов,получения разрешения доступа к информации и приложениям и получения паролятребуется разрешение руководства.

3. Защита файлов.Разрабатываются процедуры по ограничению доступа к файлам с иными:

· используютсявнешние и внутренние метки файлов для указания типа информации, который онисодержат, и требуемого уровня безопасности;

· ограничиваетсядоступ в помещения, в которых хранятся файлы данных, иисие, как архивы ибиблиотеки данных;

· используютсяорганизационные меры и программно-аппаратные средства для ограничения доступа кфайлам только авторизованных пользователей;

4. Защита целостностиинформации. Вводимая информация должна быть авторизована, полна, точна и должнаподвергаться проверкам на ошибки. Необходимо проверять точность информации спомощью процедур сравнения результатов обработки с предполагаемыми результатамиобработки.

5. Защита системныхпрограмм. Если программное обеспечение используется совместно, необходимо защищатьего от скрытой модификации. Меры защиты при разработке программ должны включатьпроцедуры внесения изменений в программу, ее приемки и тестирования до ввода вэксплуатацию.

6. Становление мер защитыболее адекватными с помощью привлечения организаций, занимающихся тестированиеминформационной безопасности. При разработке мер защиты в прикладных программахнеобходимо консультироваться с ними при определении необходимости тестов ипроверок при обработка критических данных.

7. Рассмотрение вопроса окоммуникационной безопасности. Данные, передаваемые по незащищенным линиям,могут быть перехвачены.

9. Понятие пароля

Пароли — один из типовидентификации — что-то, что знает только пользователь. Двумя другими типамиидентификации, которые тоже эффективны, является что-то, чем владеетпользователь (например, магнитная карта), Или уникальные характеристикипользователя (его голос).

Если в компьютере имеетсявстроенный стандартный пароль, надо обязательно изменить его. Устанавливают,чтобы программы в компьютере после входы пользователя в систему сообщали емувремя его последнего сеанса и число неудачных попыток установления сеанса послеэтого. Это позволит своевременно получать информацию о попытках проникновения взащищаемую систему.

При защите паролянеобходимо соблюдать следующие меры:

o Не делиться своимпаролем ни с кем;

o Выбирать парольтрудно угадываемым;

o Можно позволитькомпьютеру самому сгенерировать пароль;

o Не использоватьпароль, который является адресом пользователя, его псевдонимом, именемродственников, телефонным номером или чем-либо очевидным;

o Использоватьдлинные пароли, так как они более безопасны, лучше всего от 6 до 8 символов;

o Обеспечить неотображаемостьпароля на экране компьютера при его вводе;

o Обеспечитьотсутствие паролей в распечатках;

o Пароли нигде незаписывать, а держать в памяти;

o Серьезноотноситься к администрированию паролей;

o Периодическименять пароли и делать это не по графику;

o Шифровать иличто-нибудь еще с файлами паролей, хранящимися в компьютере, для защиты их отнеавторизованного доступа;

o Назначать надолжность администратора паролей только самого надежного человека;

o Не использоватьодин и тот же пароль для всех сотрудников в группе;

o Менять пароли,когда человек увольняется;

o Заставлять людейрасписываться за получение паролей;

o Становить ивнедрить правила работы с паролями и обеспечить, чтобы все знали их.