Реферат: Система защиты ценной информации и конфиденциальных документов

<span Arial",«sans-serif»; color:windowtext">

<span Arial",«sans-serif»; color:windowtext">СОДЕРЖАНИЕ

<span Arial",«sans-serif»; color:windowtext">

<span Arial",«sans-serif»; color:windowtext">

<span Arial",«sans-serif»; color:windowtext">1

<span Arial",«sans-serif»; color:windowtext">Введение

<span Arial",«sans-serif»; color:windowtext">

<span Arial",«sans-serif»;color:windowtext">3

<span Arial",«sans-serif»; color:windowtext">2

<span Arial",«sans-serif»; mso-bidi-font-weight:bold">Законодательные и административные меры для регулирования вопросов защиты информации

<span Arial",«sans-serif»; color:windowtext">

<span Arial",«sans-serif»;color:windowtext">5

<span Arial",«sans-serif»; color:windowtext">3

<span Arial",«sans-serif»; mso-bidi-font-weight:bold">Технические и программно-математические методы защиты информации

<span Arial",«sans-serif»">

<span Arial",«sans-serif»;color:windowtext">8

<span Arial",«sans-serif»; color:windowtext">4

<span Arial",«sans-serif»; color:windowtext;mso-bidi-font-weight:bold">Методы

<span Arial",«sans-serif»; color:windowtext;mso-bidi-font-weight:bold">защиты<span Arial",«sans-serif»;color:windowtext;mso-bidi-font-weight: bold"> <span Arial",«sans-serif»;color:windowtext;mso-bidi-font-weight:bold">информации<span Arial",«sans-serif»;color:windowtext;mso-bidi-font-weight: bold"> и их главные недостатки:

<span Arial",«sans-serif»; mso-bidi-font-weight:bold">

<span Arial",«sans-serif»;color:windowtext">10

<span Arial",«sans-serif»; color:windowtext">5

<span Arial",«sans-serif»; color:windowtext;mso-bidi-font-weight:bold">Заключение

<span Arial",«sans-serif»; color:windowtext;mso-bidi-font-weight:bold">

<span Arial",«sans-serif»;color:windowtext">13

<span Arial",«sans-serif»; color:windowtext">6

<span Arial",«sans-serif»; mso-bidi-font-weight:bold">Список литературы

<span Arial",«sans-serif»; mso-bidi-font-weight:bold">

<span Arial",«sans-serif»;color:windowtext">14

<span Arial",«sans-serif»; mso-fareast-font-family:«Arial Unicode MS»;color:black;mso-ansi-language:RU; mso-fareast-language:RU;mso-bidi-language:AR-SA">

<span Arial",«sans-serif»">Введение

<span Arial",«sans-serif»">Данная работа представляет собойсокращенный, актуализированный с учетом ряда происшедших за последний периодизменений, вариант учебного пособия книги «Организация безопасности вобласти защиты информации», опубликованной в 1998 г. в МИФИ. Не проходящийи не снижающийся интерес к этой проблематике, объясняется тем, что происходящиев стране процессы существенно затронули проблему организации системы защитыинформации во всех ее сферах — разработки, производства, реализации,эксплуатации средств защиты, подготовки соответствующих кадров. Прежниетрадиционные подходы в современных условиях уже не в состоянии обеспечитьтребуемый уровень безопасности государственно значимой и частнойконфиденциальной информации, циркулирующей в информационно-телекоммуникационныхсистемах страны.

<span Arial",«sans-serif»">Существенным фактором, до настоящеговремени оказывающим значительное влияние на положение дел в области защитыинформации, является то, что до начала 90-х годов нормативное регулирование в даннойобласти оставляло желать лучшего. Система защиты информации в нашей стране в товремя определялась существовавшей политической обстановкой и действовала восновном в интересах Специальных служб государства, Министерства обороны иВоенно-промышленного комплекса. Цели защиты информации достигались главнымобразом за счет реализации принципа «максимальной секретности», всоответствии с которым доступ ко многим видам информации был просто ограничен.Никаких законодательных и иных государственных нормативных актов, определяющихзащиту информационных прав негосударственных организаций и отдельных граждан,не существовало. Средства криптографической защиты информации использовалисьтолько в интересах государственных органов, а их разработка была прерогативойисключительно специальных служб и немногих специализированных государственныхпредприятий. Указанные предприятия строго отбирались и категорировались поуровню допуска к разработке и производству этих средств. Сами изделия тщательнопроверялись компетентными государственными органами и допускались кэксплуатации исключительно на основании специальных заключений этих органов.Любые работы в области криптографической защиты информации проводилась наосновании утвержденных Правительством страны специальных секретных нормативныхактов, полностью регламентировавших порядок заказа, разработки, производства иэксплуатации шифровальных средств. Сведения о этих средствах, их разработке,производстве, и использовании как в стране, так и за рубежом были строго засекречены,а их распространение предельно ограничено. Даже простое упоминание окриптографических средствах в открытых публикациях было запрещено.

<span Arial",«sans-serif»">В настоящее время можно отметить, чтоправовое поле в области защиты информации получило весомое заполнение. Конечнонельзя сказать, что процесс построения цивилизованных правовых отношенийуспешно завершен и задача правового обеспечения деятельности в этой области ужерешена. Важно другое — на мой взгляд, можно констатировать, что уже имеетсянеплохая законодательная база, вполне позволяющая, с одной стороны,предприятиям осуществлять свою деятельность по защите информации в соответствиитребованиями действующих нормативных актов, а с другой — уполномоченнымгосударственным органам на законной основе регулировать рынок соответствующихтоваров и услуг, обеспечивая необходимый баланс интересов отдельных граждан,общества в целом и государства.

<span Arial",«sans-serif»">В последнее время в различныхпубликациях муссируется вопрос о том, что созданный механизм государственногорегулирования в области защиты информации используется государственнымиорганами, уполномоченными на ведение лицензионной деятельности, для зажимаконкуренции и не соответствует ни мировому опыту, ни законодательству страны. Вэтой связи, во-первых, хотели бы отметить, что по состоянию на декабрь месяц1996 года Федеральным агентством правительственной связи и информации приПрезиденте Российской Федерации оформлена 71 лицензия на деятельность в областизащиты информации. Официально в выдаче лицензии отказано только одной фирме.Еще одному предприятию, кстати, государственному отказано в продлении лицензииза нарушения условий ее действия. Среди лицензиатов — предприятия различныхформ собственности и ведомственной принадлежности, включая такие частные фирмы,как: «Авиателеком», «Аргонавт», «Анкей»,«КомФАКС», «Инфотекс» и другие. Полный список лицензий,выданных ФАПСИ публикуется в печати, в том числе и в изданиях фирмы«Гротек».

<span Arial",«sans-serif»">Кроме того, чтобы остудить бушующиевокруг данной проблемы страсти, считаю полезным подробнее ознакомиться симеющимся опытом зарубежного законодательства и требованиями российскихнормативных актов в области защиты информации.

<span Arial",«sans-serif»">

<span Arial",«sans-serif»">Законодательные и административныемеры для регулирования вопросов защиты информации

<span Arial",«sans-serif»">Законодательные и административныемеры для регулирования вопросов защиты информации на государственном уровнеприменяются в большинстве научно-технически развитых стран мира. Компьютерныепреступления приобрели в странах с развитой информационно-телекоммуникационнойинфраструктурой такое широкое распространение, что для борьбы с ними вуголовное законодательство введены специальные статьи.

<span Arial",«sans-serif»">Первый закон о защите информации былпринят в Соединенных Штатах Америки в 1906 году. В настоящее время в СШАимеется около 500 законодательных актов по защите информации, ответственностиза ее разглашение и компьютерные преступления. Проблемы информационнойбезопасности рассматриваются американской администрацией как один из ключевыхэлементов национальной безопасности. Национальная политика США в области защитыинформации формируется Агентством национальной безопасности (АНБ). При этомнаиболее важные стратегические вопросы, определяющие национальную политику вданной сфере, как правило, решаются на уровне Совета национальной безопасности,а решения оформляются в виде директив Президента США. Среди таких директивследует отметить следующие:

<span Arial",«sans-serif»">директива PD/NSC-24 «Политика вобласти защиты систем связи» (1977 год, Д. Картер), в которой впервыеподчеркивается необходимость защиты важной несекретной информации в обеспечениинациональной безопасности;

<span Arial",«sans-serif»">директива SDD-145 «Национальнаяполитика США в области безопасности систем связи автоматизированныхинформационных систем» (1984 год, Р. Рейган), которая стала юридическойосновой для возложения на АНБ функции по защите информации и контролю забезопасностью не только в каналах связи, но и в вычислительных и сложныхинформационно-телекоммуникацион-ных системах.

<span Arial",«sans-serif»">В период с 1967 года по настоящеевремя в США принят целый ряд федеральных законов, создавших правовую основу дляформирования и проведения единой государственной политики в областиинформатизации и защиты информации с учетом интересов национальной безопасностистраны. Это законы «О свободе информации» (1967 год), «Осекретности» (1974 год), «О праве на финансовую секретность»(1978 год), «О доступе к информации о деятельности ЦРУ» (1984 год),«О компьютерных злоупотреблениях и мошенничестве» (1986 год), «Обезопасности компьютерных систем» (1987 год) и некоторые другие.

<span Arial",«sans-serif»">Во Франции государственному контролюподлежат изготовление, экспорт и использование шифровального оборудования.Экспорт возможен только с разрешения Премьер-министра страны, выдаваемого послеконсультаций со специальным комитетом по военному оборудованию. Импортшифровальных средств на территорию Французской республики вообще запрещен.Закон объявляет экспорт и снабжение криптографическими средствами безспециального разрешения преступлением, которое наказывается штрафом в размередо 500 000 франков или тюремным заключением на срок от 1 до 3 месяцев.

<span Arial",«sans-serif»">Нормы и требования российскогозаконодательства включают в себя положения ряда нормативных актов РоссийскойФедерации различного уровня.

<span Arial",«sans-serif»">19 февраля 1993 года Верховным СоветомРоссийской Федерации был принят закон «О федеральных органахправительственной связи и информации» N 4524-1. Статья 11 данного законапредоставила Федеральному агентству права по определению порядка разработки,производства, реализации, эксплуатации шифровальных средств, предоставленияуслуг в области шифрования информации, а также порядка проведения работ повыявлению электронных устройств перехвата информации в технических средствах ипомещениях государственных структур. Таким образом, закон Российской Федерации«О федеральных органах правительственной связи и информации» являетсяпервым собственно российским правовым нормативным актом, который вводитсертификацию в области защиты информации и дата его принятия — 19 февраля1996г. — является исходной точкой от которой необходимо вести отсчетограничения прав на занятие предпринимательской деятельностью.

<span Arial",«sans-serif»">Новым шагом в деле правовогообеспечения деятельности в области защиты информации явилось принятиеФедеральным собранием России Федерального закона «Об информации,информатизации и защите информации» от 20.02.95 N 24-ФЗ. Данный законвпервые официально вводит понятие «конфиденциальной информации»,которая рассматривается как документированная информация, доступ к которойограничивается в соответствии с законодательством Российской Федерации, иустанавливает общие правовые требования к организации защиты такой информации впроцессе ее обработки, хранения и циркуляции в технических устройствах иинформационных и телекоммуникационных системах и комплексах и организацииконтроля за осуществлением мероприятий по защите конфиденциальной информации.При этом следует подчеркнуть, что Закон не разделяет государственную и частнуюинформацию как объект защиты в том случае, если доступ к ней ограничивается.

<span Arial",«sans-serif»">Кроме того, закон определяет нагосударственно-правовом уровне электронную цифровую подпись как средство защитыинформации от несанкционированного искажения, подмены (имитозащиты) иподтверждения подлинности отправителя и получателя информации (аутентификациисторон). В соответствии со статьей 5 «юридическая сила документа,хранимого, обрабатываемого и передаваемого с помощью автоматизированныхинформационных и телекоммуникационных систем, может подтверждаться электроннойцифровой подписью». При этом «юридическая сила электронной цифровойподписи признается при наличии в автоматизированной системепрограммно-технических средств, обеспечивающих идентификацию подписи, исоблюдении установленного режима их использования». Далее закон раскрываеттребования, предъявляемые к специализированным программно-техническимсредствам, реализующим электронную цифровую подпись, и порядку их использованияв информационно-телекомму-никационных системах.

<span Arial",«sans-serif»">Так Статья 20 определяетосновные цели защиты информации. В соответствии с этой статьей таковыми, в частности,являются: предотвращение утечки, хищения, утраты, искажения и подделкиинформации; предотвращение угроз безопасности личности, общества и государства;предотвращение несанкционированных действий по уничтожению, модификации,искажению, копированию, блокированию информации; защита конституционных правграждан на сохранение личной тайны и конфиденциальности персональных сведений;сохранение государственной тайны и конфиденциальности информации.

<span Arial",«sans-serif»">Пункт 3 статьи 21 возлагает контрольза соблюдением требований к защите информации, за эксплуатацией специальныхсредств защиты информации, а также обеспечение организационных мер защитыинформационных систем, обрабатывающих информацию с ограниченным доступом, внегосударственных структурах на органы государственной власти.

<span Arial",«sans-serif»">Статья 23 Закона «Об информации,информатизации и защите информации» посвящена защите прав субъектов всфере информационных процессов и информатизации. Статья устанавливает, чтозащита прав субъектов в данной сфере осуществляется судом, арбитражным судом итретейскими судами, которые могут создаваться на постоянной или временнойоснове.

<span Arial",«sans-serif»">Технические ипрограммно-математические методы защиты информации

<span Arial",«sans-serif»">Учитывая, что предметом данной работыявляются организация безопасности в области защиты информации прежде необходимодать ряд основных понятий данной сферы деятельности.

<span Arial",«sans-serif»">Защита информации

<span Arial",«sans-serif»">- комплекс мероприятий, проводимых с целью предотвращенияутечки, хищения, утраты, несанкционированного уничтожения, искажения,модификации (подделки), несанкционированного копирования, блокированияинформации и т.п.

<span Arial",«sans-serif»">Средства защиты информации

<span Arial",«sans-serif»"> — технические, криптографические,программные и другие средства, предназначенные для защиты информации, средства,в которых они реализованы, а также средства контроля эффективности защитыинформации.

<span Arial",«sans-serif»">Эффективность защиты информации

<span Arial",«sans-serif»"> — степень соответствия достигнутыхрезультатов действий по защите информации поставленной цели защиты.

<span Arial",«sans-serif»">Контроль эффективности защиты информации

<span Arial",«sans-serif»"> — проверка соответствия эффективностимероприятий по защите информации установленным требованиям или нормамэффективности защиты.

<span Arial",«sans-serif»">Безопасность информации (информационная безопасность)

<span Arial",«sans-serif»"> — состояние информации,информационных ресурсов и информационных и телекоммуникационных систем, прикотором с требуемой вероятностью обеспечивается защита информации.

<span Arial",«sans-serif»">Требования по безопасности информации

<span Arial",«sans-serif»"> — руководящие документы ФАПСИ,регламентирующие качественные и количественные критерии безопасности информациии нормы эффективности ее защиты.

<span Arial",«sans-serif»">Криптографическая защита

<span Arial",«sans-serif»"> — защита данных при помощикриптографического преобразования преобразования данных.

<span Arial",«sans-serif»">Криптографическое преобразование

<span Arial",«sans-serif»">- преобразование данных при помощишифрования и (или) выработки имитовставки.

<span Arial",«sans-serif»; color:windowtext">И так Информацию

<span Arial",«sans-serif»;color:windowtext"> <span Arial",«sans-serif»;color:windowtext">достаточно условно можно разделить насведения, отнесенные к государственной тайне, конфиденциальную <span Arial",«sans-serif»; color:windowtext">информацию<span Arial",«sans-serif»; color:windowtext">, персональную <span Arial",«sans-serif»;color:windowtext">информацию<span Arial",«sans-serif»;color:windowtext"> и остальную <span Arial",«sans-serif»; color:windowtext">информацию<span Arial",«sans-serif»; color:windowtext">. Рассматривать первый тип мы не будем. Согласно спискутерминов и определений Гостехкомиссии России конфиденциальная <span Arial",«sans-serif»; color:windowtext">информация<span Arial",«sans-serif»; color:windowtext"> — это <span Arial",«sans-serif»;color:windowtext">информация<span Arial",«sans-serif»;color:windowtext">, требующая <span Arial",«sans-serif»; color:windowtext">защиты<span Arial",«sans-serif»; color:windowtext"> (любая, ее назначение и содержание не оговариваются).Персональные данные — это сведения о гражданах или предприятиях. В соответствиис Федеральным законом № 24 «Об <span Arial»,«sans-serif»;color:windowtext">информации<span Arial",«sans-serif»;color:windowtext">, информатизации и <span Arial",«sans-serif»; color:windowtext">защите<span Arial",«sans-serif»; color:windowtext"> <span Arial",«sans-serif»;color:windowtext">информации<span Arial",«sans-serif»;color:windowtext">" "<span Arial",«sans-serif»; color:windowtext">защите<span Arial",«sans-serif»; color:windowtext"> подлежит любая документированная <span Arial",«sans-serif»; color:windowtext">информация<span Arial",«sans-serif»; color:windowtext">, неправомерное обращение с которой может нанести ущербсобственнику, владельцу или иному лицу". Из описанного следует, что ВЫобязаны заботиться о сохранности своей <span Arial",«sans-serif»;color:windowtext">информации<span Arial",«sans-serif»;color:windowtext">. Например, никтокроме меня не вправе разглашать мою дату рождения, а ведь она хранится на всехпредприятиях, где я работал и работаю.

<span Arial",«sans-serif»;color:windowtext">В данной работе небудут затронуты

<span Arial",«sans-serif»;color:windowtext">информация<span Arial",«sans-serif»;color:windowtext">, распространяемая поканалам связи (телефония, WEB, E-mail, локальные сети и т.д.), а такжепроблемы, связанные с ее перехватом, блокировкой и <span Arial",«sans-serif»; color:windowtext">защитой<span Arial",«sans-serif»; color:windowtext">. Это связано с широтой проблемы и другими методами <span Arial",«sans-serif»; color:windowtext">защиты<span Arial",«sans-serif»; color:windowtext">. Основное внимание мы сосредоточим на <span Arial",«sans-serif»; color:windowtext">информации<span Arial",«sans-serif»; color:windowtext">, хранимой и используемой на предприятии или у граждан. Отчего же необходимо защищать <span Arial",«sans-serif»;color:windowtext">информацию<span Arial",«sans-serif»;color:windowtext">? Ответ — в Положении«О государственном лицензировании деятельности в области <span Arial»,«sans-serif»; color:windowtext">защиты<span Arial",«sans-serif»; color:windowtext"> <span Arial",«sans-serif»;color:windowtext">информации<span Arial",«sans-serif»;color:windowtext">" №60, гдеговорится, что "<span Arial",«sans-serif»;color:windowtext">защита<span Arial",«sans-serif»;color:windowtext"> <span Arial",«sans-serif»; color:windowtext">информации<span Arial",«sans-serif»; color:windowtext"> — комплекс мероприятий, проводимых с целью предотвращенияутечки, хищения, утраты, несанкционированного уничтожения, искажения,модификации (подделки), несанкционированного копирования, блокирования <span Arial",«sans-serif»; color:windowtext">информации<span Arial",«sans-serif»; color:windowtext"> и т.п.". Пример — в одном из РЭУ подмосковного городабыли похищены компьютеры, и в результате была обнародована <span Arial",«sans-serif»; color:windowtext">информация<span Arial",«sans-serif»; color:windowtext"> о прописке граждан. Также в современных российских условияхне следует сбрасывать со счета и попытки предприятий скрыть данные от силовыхведомств. Правомочность этих действий мы не оспариваем, но каждое предприятиесамо решает, какие данные оно хочет обнародовать, какие — нет (по определениюконфиденциальной <span Arial",«sans-serif»;color:windowtext">информации<span Arial",«sans-serif»;color:windowtext">). Кстати, <span Arial",«sans-serif»; color:windowtext">информация<span Arial",«sans-serif»; color:windowtext">, хранимая на компьютерах, не может использоваться как уликив уголовно-гражданских делах, но вполне возможно ее применение для выполненияследственных действий.

<span Arial",«sans-serif»; color:windowtext">Защиту

<span Arial",«sans-serif»; color:windowtext"> <span Arial",«sans-serif»;color:windowtext">информации<span Arial",«sans-serif»;color:windowtext"> следуетрассматривать как неотъемлемую часть хранения. Невозможно обеспечить серьезную <span Arial",«sans-serif»; color:windowtext">защиту<span Arial",«sans-serif»; color:windowtext">, не выполняя резервное копирование <span Arial",«sans-serif»; color:windowtext">информации<span Arial",«sans-serif»; color:windowtext">. К счастью, обеспечить сохранность копий гораздо проще, дляэтого достаточно административных мер (хранение в несгораемых сейфах). Емкостьстриммеров, CD-R, CD-RW, DVD достаточна для составления резервных копий ивосстановления из них в кратчайшие сроки. Пренебрежение данными мерами чреватодаже по техническим соображениям — надежность технических <span Arial",«sans-serif»; color:windowtext">средств<span Arial",«sans-serif»; color:windowtext"> хранения далека от 1 (а вероятность сбоя Windows 95/98 втечение рабочего дня равна 1), и потерять <span Arial",«sans-serif»;color:windowtext">информацию<span Arial",«sans-serif»;color:windowtext"> по причинепрограммного сбоя или поломки накопителя очень обидно и дорого. Известны случаипотери бухгалтерской отчетности за три месяца, восстановление заняло двамесяца, штрафы за несвоевременное представление отчетности превысили стоимостьсломавшегося накопителя более чем в 100 раз, не считая приостановки лицензии икосвенных потерь.

<span Arial",«sans-serif»;color:windowtext">Методы

<span Arial",«sans-serif»; color:windowtext">защиты<span Arial",«sans-serif»; color:windowtext"> <span Arial",«sans-serif»;color:windowtext">информации<span Arial",«sans-serif»;color:windowtext"> и их главныенедостатки: Административные меры

<span Arial",«sans-serif»;color:windowtext">Если территория(помещение) предприятия имеет охрану, персоналу можно доверять, локальная сетьне имеет выходов в глобальные сети, то такую защищенность надо признать оченьвысокой. Однако это идеальный случай, и в практике такое не всегда выполнимо(пример — персональная база жителей Санкт-Петербурга из ГУВД, обнародованная наCD). Пренебрегать этим методом нельзя, и он, как правило, дополняет иликонтролирует другие методы.

 Защитасредствамиоперационной системы

<span Arial",«sans-serif»;color:windowtext">MS-DOS, как наиболеераспространенная операционная система, не представляет каких-либо методов

<span Arial",«sans-serif»; color:windowtext">защиты<span Arial",«sans-serif»; color:windowtext">. Это наиболее открытая операционная система, и на ее базеразработано много различных аппаратных и программных <span Arial",«sans-serif»; color:windowtext">средств<span Arial",«sans-serif»; color:windowtext">, в частности — виртуальные кодируемые или шифруемые диски,блокираторы загрузки  и тд. Однакоимеющиеся <span Arial",«sans-serif»;color:windowtext">средства<span Arial",«sans-serif»;color:windowtext"> дисассемблирования,отладчики, а также большое количество квалифицированных программистов сводят нанет все программные методы. DR-DOS, как одна из разновидностей MS-DOS, хоть иподдерживает блокировку файлов, но загрузка с дискеты или с другого накопителяделает бесполезной использование встроенных систем <span Arial",«sans-serif»; color:windowtext">защиты<span Arial",«sans-serif»; color:windowtext">. Windows 95/98 основаны на базе MS-DOS, и им присущи все еенедостатки. Парольная система Windows 95/98 не выдерживает никакой критики, идаже установка дополнительных модулей системной политики не решает данную задачу.Windows NT и Novell, хотя и решают задачу <span Arial",«sans-serif»;color:windowtext">защиты<span Arial",«sans-serif»;color:windowtext">, но… вотпростейший пример — у Вас похитили, или изъяли в установленном порядке,компьютер. Диск установили вторым — и все ваше администрирование, на котороепотрачены тысячи (если не миллионы) человеко-часов,- уже никому не помеха.

<span Arial",«sans-serif»;color:windowtext">Я не хотел упоминатьв данной работе

<span Arial",«sans-serif»;color:windowtext">защиту<span Arial",«sans-serif»;color:windowtext"> информацииустановкой пароля BIOS, но большое количество наблюдаемых установок данногопароля вынудило затронуть и данный метод. Максимум что надо для блокировки, это- открыть компьютер, установить перемычку и снять ее (самое большее — двеминуты). Есть два (известных мне) исключения — системы с часами на баземикросхем DALLAS и переносные компьютеры. Здесь задачка не так просто решается.Помогает снятие накопителя и установка его в другой компьютер (опять же двеминуты). Блокировка загрузки операционной системы

<span Arial",«sans-serif»;color:windowtext">По этому пути идутмногие фирмы. У данного метода опять-таки недостатки всплывают, если ккомпьютеру или накопителю можно получить доступ. Известные платы перехватываютпрерывание по загрузке, однако Setup современных компьютеров позволяетблокировать эту возможность, изъятие этой платы или накопителя сводит на неткажущуюся мощь данного

<span Arial",«sans-serif»;color:windowtext">средства<span Arial",«sans-serif»;color:windowtext">. Физическое уничтожение накопителя

<span Arial",«sans-serif»;color:windowtext">Это наиболее древнийи действенный метод, вспомните сжигание, съедание бумаг. Конечно, в наше времяон становится более изощренным, в частности, к компьютерной безопасности можноприобщить следующие методы:

выкинуть из окна винчестер или целиком компьютер, сломать дискету; электромагнит, пробивающий насквозь накопитель или дискету (московская разработка, последствия очень впечатляющие); пиропатрон, установленный под накопителем (за хранение и применение взрывчатых веществ предусмотрена уголовная ответственность).

<span Arial",«sans-serif»;color:windowtext">Данным методам оченьтяжело что-то противопоставить, но при ложном срабатывании слишком великастоимость потерь. Имеются в виду только материальные потери, так как грамотноеведение резервного копирования решает задачу восстановления в кратчайшие сроки.Очень интересно, конечно, кроме последнего пункта, что эти меры не требуютникакого согласования, лицензирования и сертификации, если они выполнены силамисамого предприятия. Например, нельзя обвинить изготовителя окна, что он сталвиновником уничтожения

<span Arial",«sans-serif»;color:windowtext">информации<span Arial",«sans-serif»;color:windowtext">, если компьютер былс него скинут. Очень распространено использование сменных HDD илимагнитооптических дисков. Однако опыт их использования, особенно при постоянномизъятии, говорит о значительном сокращении срока их службы (удары повинчестеру) и частых сбоях (характерных для магнитооптики).

Стирание информации

<span Arial",«sans-serif»;color:windowtext">Метод имеет многообщего с предыдущим и в тоже время лишен ряда его недостатков, так как теряетсятолько

<span Arial",«sans-serif»;color:windowtext">информация<span Arial",«sans-serif»;color:windowtext">, а не накопитель(яркий пример — стирание пленки в фильме «Гений»). <span Arial",«sans-serif»; color:windowtext">Информацию<span Arial",«sans-serif»; color:windowtext"> восстанавливаем с резервной копии — и нет проблем.Программное стирание и комплексы, использующие данную функцию, требуютнахождения компьютера исключительно под напряжением. Это трудно выполнимо, дажемощные UPS не могут обеспечить работу компьютеров более часа. Пример: одинкомплекс дал сбой, так как удаляемый файл был открыт программой и блокировкаоперационной системы остановила дальнейшее удаление. Аппаратное стирание,выполняющее свои функции без участия компьютера, особенно при наличиирезервного источника питания, устраняет эти проблемы. Скорость уничтожения, какправило, соизмерима со скоростью работы самого накопителя. Хотя для магнитнойленты возможно и мгновенное стирание. Данные устройства могут применятся нетолько в помещении офиса, но, например, и в кейсе, при перевозке <span Arial",«sans-serif»; color:windowtext">информации<span Arial",«sans-serif»; color:windowtext">.

Шифрование данных

<span Arial",«sans-serif»;color:windowtext">Это одно из мощнейшихметодов. Начнем его рассмотрение с определения по ГОСТ 19781: Шифрование — этопроцесс преобразования открытых данных в зашифрованные при помощи шифра илизашифрованных данных в открытые при помощи шифра — совокупность обратимыхпреобразований множества возможных открытых данных на множество возможныхзашифрованных данных, осуществляемых по определенным правилам с применениемключей (конкретное секретное состояние некоторых параметров алгоритмакриптографического преобразования данных, обеспечивающее выбор одногопреобразования). Стойкость современных шифровальных систем достаточно высока, ибудем считать ее достаточной. Но — !!! Вот тут-то мы и получаем мощноесопротивление со стороны законодательства. Во-первых, разработчик, продавец иустановщик должны иметь лицензию. Но и этого мало! ДАЖЕ ПОЛЬЗОВАТЕЛЬ обязаниметь лицензию ФАПСИ. В России разрешено использование только одного алгоритмаи принципиально невозможно получить, а значит и использовать, импортныеразработки! Например, появившаяся в печати реклама комплекса «SecretDisk» о продаже его в магазинах просто непонятна (одно из двух — или этоне шифрование или это уголовно наказуемо). Статья 4 Указа № 334 прямо гласит:«В интересах информационной безопасности РФ и усиления борьбы сорганизованной преступностью запретить деятельность юридических и физическихлиц, связанную с разработкой, производством, реализацией и эксплуатациейшифровальных

<span Arial»,«sans-serif»;color:windowtext">средств<span Arial",«sans-serif»;color:windowtext">, а также защищенныхтехнических <span Arial",«sans-serif»;color:windowtext">средств<span Arial",«sans-serif»;color:windowtext"> хранения, обработкии передачи <span Arial",«sans-serif»;color:windowtext">информации<span Arial",«sans-serif»;color:windowtext">, предоставлениемуслуг в области шифрования <span Arial",«sans-serif»;color:windowtext">информации<span Arial",«sans-serif»;color:windowtext">, без лицензий,выданных ФАПСИ". Сможете ли вы применить данный метод после этихразъяснений?

<span Arial",«sans-serif»;color:windowtext">Приобретаемыетехнические устройства

<span Arial",«sans-serif»;color:windowtext">защиты<span Arial",«sans-serif»;color:windowtext"> <span Arial",«sans-serif»; color:windowtext">информации<span Arial",«sans-serif»; color:windowtext"> могут не иметь сертификации, при условии, что они не будутиспользованы в государственных и банковских учреждениях. Однакопредприятие-продавец должно иметь лицензию на право занятия даннойдеятельностью. Ответственность за использование несертифицированных <span Arial",«sans-serif»; color:windowtext">средств<span Arial",«sans-serif»; color:windowtext">, как ни странно, лежит на самом потребителе, хотя он может(или должен? и куда?) обратиться для проверки на соответствие данной системы.

<span Arial",«sans-serif»;color:windowtext">Заключение

<span Arial",«sans-serif»">Итак, подведем итоги.

<span Arial",«sans-serif»;color:windowtext">Эту работу ни в коемслучае не следует рассматривать как полную (есть о чем поговорить !?) и, несодержащий ошибок или противоречий. Но однако и<span Arial",«sans-serif»">звестно множество случаев, когда фирмы (не толькозарубежные !!!) ведут между собой настоящие «шпионские войны», вербуясотрудников конкурента с целью получения через них доступа к <span Arial",«sans-serif»">информации<span Arial",«sans-serif»">, составляющую коммерческую тайну.Регулирование вопросов, связанных с коммерческой тайной, еще не получило вРоссии достаточного развития. Принятый еще в 1971 году КЗоТ несмотря намногочисленные изменения безнадежно устарел и не обеспечивает соответствующегосовременным реалиям регулирования многих вопросов, в том числе и о коммерческойтайне. Наличие норм об ответственности, в том числе уголовной, может послужитьработникам предостережением от нарушений в данной области, поэтомуцелесообразно подробно проинформировать всех сотрудников о последствияхнарушений. В то же время надо отдавать себе отчет, что ущерб, причиненныйразглашением коммерческой тайны, зачастую имеет весьма значительные размеры(если их вообще можно оценить). Компенсировать убытки, потребовав их возмещенияс виновного работника, скорее всего не удастся, отчасти из-за несовершенногопорядка обращения имущественных взысканий на физических лиц, отчасти — простоиз-за отсутствия у физического лица соответствующих <span Arial",«sans-serif»; color:windowtext">средств<span Arial",«sans-serif»; color:windowtext">.<span Arial",«sans-serif»">Хотелось бы надеяться  что создающееся встране система защиты информации и формирование комплекса мер по ее реализациине приведет к необратимым последствиям на пути зарождающегося в Россииинформационно — интеллектуального объединения со всем миром.

<span Arial",«sans-serif»">

<span Arial",«sans-serif»">Список литературы

<span Arial",«sans-serif»;mso-fareast-font-family:Arial">1.<span Times New Roman"">   

<span Arial",«sans-serif»;color:windowtext">Статья «Правовыесредства защиты конфиденциальной информации» журнал <span Arial",«sans-serif»">«Банковское дело в Москве» № 15 1998г

<span Arial",«sans-serif»;mso-fareast-font-family:Arial">2.<span Times New Roman"">   

<span Arial",«sans-serif»">поматериалам “Компьютер Price”, №31 2000г

<span Arial",«sans-serif»;mso-fareast-font-family:Arial">3.<span Times New Roman"">   

<span Arial",«sans-serif»">«Организациябезопасности в области защиты информации», 1998 г. МИФИ.

<span Arial",«sans-serif»;mso-fareast-font-family:Arial">4.<span Times New Roman"">   

<span Arial",«sans-serif»">Законыи нормативные акты правительства РФ
еще рефераты
Еще работы по разное