Защита информации

1.6. Защита информации

Наряду с интенсивным развитием вычислительных  средств и средств коммуникации все более актуальной становится проблема обеспечения информационной безопасности. Меры безопасности направлены на предотвращение несанкционированного доступа, физического уничтожения и модификации защищаемой информации.

Угроза информационной информации – это действия и события, которые могут привести к разрушению, искажению, либо несанкционированному использованию информации.

Виды источников опасности:

1. случайные (ошибки информационного обеспечения, выход из строя технических средств, неправильные действия пользователя);

2. умышленные:

- активные (направленные на технические средства, базы данных пользователя и программное обеспечение);

- пассивные (несанкционированное использование баз данных и технических средств).

При разработке автоматизированных информационных технологий решают вопросы  по защите конфиденциальной информации с помощью методов и средств  защиты информации.

Рекомендуемые материалы

Методы защиты информации:

§ Препятствия – это метод создания физических препятствий для защиты информации от хищения, разрушения технических средств и несанкционированного доступа к конфиденциальной информации (метод обеспечивают физические средства защиты).

§ Управление доступом к информации – это метод, ограничивающий состав пользователей, порядок и время их работы (метод обеспечивают аппаратные средства защиты).

§ Метод маскировки (криптографии) основан на сокрытии и изменении вида информации с целью недопущения ее несанкционированного использования (метод обеспечивают программные средства защиты).

§ Метод регламентации порядка – метод, создающий такие условия для хранения, обработки и передачи информации, при котором возможности несанкционированного доступа минимальны (обеспечивается организационными средствами).

§ Метод побуждения – это метод защиты, при котором пользователи и персонал системы вынужден соблюдать правила обработки, хранения и передачи защищенной информации под угрозой  материальной,  административной или уголовной ответственности (обеспечивается законодательными средствами).

§ Метод побуждения – метод защиты, побуждающий пользователей и персонал системы не разрушать установленные порядки за счет соблюдения моральных и этических норм, как регламентированных, так и неписанных (морально-этические средства защиты).

К основным средствам защиты информации относят:

1. Технические средства – реализуются в виде электрических, электро-механических и электронных устройств. Технические средства можно разделить на два вида: аппаратные (встраиваемые непосредственно в вычислительную технику или сопряженные  с нею устройствами) и физические.

2. Физические средства – имеют вид автономных устройств и систем (замки на дверях, решетки на окнах, электронно-механическое оборудование охранной сигнализации).

3. Программные средства представляют собой специальное программное обеспечение  для  защиты информации (обычно  блокирующие и отключающие пользователя).

4. Организационные средства  осуществляют защиту информации в процессе создания и эксплуатации вычислительной техники и аппаратуры телекоммуникаций и включают в себя организационно-технические и организационно-правовые мероприятия.

5. Морально-этические средства защиты  это нормы, складывающиеся в процессе развития вычислительных средств  и средств связи в обществе. Они не являются законодательными, однако их  несоблюдение приводит к потере авторитета и престижа человека. Примером  норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

6. Законодательные средства защиты определяются Законодательными актами страны. Они регламентируют правила обработки, передачи конфиденциальной информации и устанавливают ответственность за нарушение этих правил.

Для реализации мер безопасности используются различные механизмы защиты информации:

1. Цифровая подпись. Механизм цифровой подписи включает две процедуры: формирование подписи отправителем и ее распознавание получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической контрольной суммой. В обоих случаях  используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для  опознавания отправителя. Использование цифровой подписи в России пока доступно только юридическим лицам, в США и некоторых других странах ею могут пользоваться  и физические лица. Закон о использовании цифровой подписи в России позволил перейти на электронный документооборот, что играет важную роль при внутрирегиональных и межрегиональных банковских расчетах. Документы с Электронной цифровой подписью (ЭЦП) имеют юридическую силу. Условия электронных расчетов были предусмотрены Банком России во временном положении «О правилах обмена электронными документами между Банком России, кредитными организациями и другими клиентами Банка России» от 12.03.98 г. №20-П. До использования ЭЦП  электронные документы оформлялись на бланке с реквизитами и перевод сопровождался обменом расчетных документов, при этом бланки дополнялись подписями и печатями, восполняющими недостающие реквизиты. Впервые безбумажный обмен электронными документами с ЭЦП был осуществлен на  внутрирегиональном уровне в Московском регионе в 1998 г.

2. Контроль доступа к защищенной информации предполагает осуществление проверки полномочий программ и пользователей.

3. Обеспечение целостности информации предполагает суммарную оценку блоков информационного потока. Отправитель дополняет информацию криптографической суммой. Несовпадение криптографического значения (фактической суммы) с криптографической суммой свидетельствует об искажении информации. Однако механизм не позволяет вскрыть подмену блока в целом.

4. Аутентификация предполагает сравнение электронного объекта с эталоном (односторонняя аутентификация) или двумя эталонами (двухсторонняя аутентификация).

5. Механизм постановки графика  основывается на формировании фиктивных блоков информации.

6. Механизм управления маршрутизацией предполагает использование только проверенных и надежных каналов передачи информации.

7. Механизм арбитража предполагает освидетельствование переданного электронного объекта третьим лицом (арбитром).

Если Вам понравилась эта лекция, то понравится и эта - 85 Приобретение наследства.

Документы правовой защиты информации, баз данных и программного обеспечения.

1. Статья 2 Закона "О правовой охране программ для ЭВМ и баз данных" закрепляет авторские права за автором баз данных и программного обеспечения; Статья 18  гарантирует возмещение убытков автору в  размере  от 5 000 до 50 000 кратного минимального размера оплаты труда;

2. Статья 22 закона «Об информации, информатизации и защите информации» регламентирует документ (сертификат), закрепляющий авторские права за разработчиком баз данных и программного обеспечения;

3. Уголовный кодекс России, глава 28 «Преступление в сфере компьютерной информации» в редакции от 01.01.97 г. в статье 272 закреплена уголовная ответственность за нарушителем, осуществившим несанкционированный доступ к информации, нелегальное ее копирование и нарушение работы ЭВМ. Статья 273 закрепила уголовную ответственность за создание вирусов, приводящих к уничтожению, модификации и нелегальному копированию информации.

В настоящее время в России наиболее распространенными нарушениями законодательства являются нелегальное копирование и изготовление копий сверх установленного числа. Высокий уровень пиратства в России обусловлен соотношением   средней   зарплаты   и   цены   программного   обеспечения (200 $  - 20 000$).

Программное обеспечение может распространяться: бесплатно (в целях саморекламы), условно-бесплатно (демонстрационные версии вида Try and buy) и на коммерческой основе.