Защита информации
1.6. Защита информации
Наряду с интенсивным развитием вычислительных средств и средств коммуникации все более актуальной становится проблема обеспечения информационной безопасности. Меры безопасности направлены на предотвращение несанкционированного доступа, физического уничтожения и модификации защищаемой информации.
Угроза информационной информации – это действия и события, которые могут привести к разрушению, искажению, либо несанкционированному использованию информации.
Виды источников опасности:
1. случайные (ошибки информационного обеспечения, выход из строя технических средств, неправильные действия пользователя);
2. умышленные:
- активные (направленные на технические средства, базы данных пользователя и программное обеспечение);
- пассивные (несанкционированное использование баз данных и технических средств).
При разработке автоматизированных информационных технологий решают вопросы по защите конфиденциальной информации с помощью методов и средств защиты информации.
Рекомендуемые материалы
Методы защиты информации:
§ Препятствия – это метод создания физических препятствий для защиты информации от хищения, разрушения технических средств и несанкционированного доступа к конфиденциальной информации (метод обеспечивают физические средства защиты).
§ Управление доступом к информации – это метод, ограничивающий состав пользователей, порядок и время их работы (метод обеспечивают аппаратные средства защиты).
§ Метод маскировки (криптографии) основан на сокрытии и изменении вида информации с целью недопущения ее несанкционированного использования (метод обеспечивают программные средства защиты).
§ Метод регламентации порядка – метод, создающий такие условия для хранения, обработки и передачи информации, при котором возможности несанкционированного доступа минимальны (обеспечивается организационными средствами).
§ Метод побуждения – это метод защиты, при котором пользователи и персонал системы вынужден соблюдать правила обработки, хранения и передачи защищенной информации под угрозой материальной, административной или уголовной ответственности (обеспечивается законодательными средствами).
§ Метод побуждения – метод защиты, побуждающий пользователей и персонал системы не разрушать установленные порядки за счет соблюдения моральных и этических норм, как регламентированных, так и неписанных (морально-этические средства защиты).
К основным средствам защиты информации относят:
1. Технические средства – реализуются в виде электрических, электро-механических и электронных устройств. Технические средства можно разделить на два вида: аппаратные (встраиваемые непосредственно в вычислительную технику или сопряженные с нею устройствами) и физические.
2. Физические средства – имеют вид автономных устройств и систем (замки на дверях, решетки на окнах, электронно-механическое оборудование охранной сигнализации).
3. Программные средства представляют собой специальное программное обеспечение для защиты информации (обычно блокирующие и отключающие пользователя).
4. Организационные средства осуществляют защиту информации в процессе создания и эксплуатации вычислительной техники и аппаратуры телекоммуникаций и включают в себя организационно-технические и организационно-правовые мероприятия.
5. Морально-этические средства защиты это нормы, складывающиеся в процессе развития вычислительных средств и средств связи в обществе. Они не являются законодательными, однако их несоблюдение приводит к потере авторитета и престижа человека. Примером норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.
6. Законодательные средства защиты определяются Законодательными актами страны. Они регламентируют правила обработки, передачи конфиденциальной информации и устанавливают ответственность за нарушение этих правил.
Для реализации мер безопасности используются различные механизмы защиты информации:
1. Цифровая подпись. Механизм цифровой подписи включает две процедуры: формирование подписи отправителем и ее распознавание получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической контрольной суммой. В обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя. Использование цифровой подписи в России пока доступно только юридическим лицам, в США и некоторых других странах ею могут пользоваться и физические лица. Закон о использовании цифровой подписи в России позволил перейти на электронный документооборот, что играет важную роль при внутрирегиональных и межрегиональных банковских расчетах. Документы с Электронной цифровой подписью (ЭЦП) имеют юридическую силу. Условия электронных расчетов были предусмотрены Банком России во временном положении «О правилах обмена электронными документами между Банком России, кредитными организациями и другими клиентами Банка России» от 12.03.98 г. №20-П. До использования ЭЦП электронные документы оформлялись на бланке с реквизитами и перевод сопровождался обменом расчетных документов, при этом бланки дополнялись подписями и печатями, восполняющими недостающие реквизиты. Впервые безбумажный обмен электронными документами с ЭЦП был осуществлен на внутрирегиональном уровне в Московском регионе в 1998 г.
2. Контроль доступа к защищенной информации предполагает осуществление проверки полномочий программ и пользователей.
3. Обеспечение целостности информации предполагает суммарную оценку блоков информационного потока. Отправитель дополняет информацию криптографической суммой. Несовпадение криптографического значения (фактической суммы) с криптографической суммой свидетельствует об искажении информации. Однако механизм не позволяет вскрыть подмену блока в целом.
4. Аутентификация предполагает сравнение электронного объекта с эталоном (односторонняя аутентификация) или двумя эталонами (двухсторонняя аутентификация).
5. Механизм постановки графика основывается на формировании фиктивных блоков информации.
6. Механизм управления маршрутизацией предполагает использование только проверенных и надежных каналов передачи информации.
7. Механизм арбитража предполагает освидетельствование переданного электронного объекта третьим лицом (арбитром).
Если Вам понравилась эта лекция, то понравится и эта - 85 Приобретение наследства.
Документы правовой защиты информации, баз данных и программного обеспечения.
1. Статья 2 Закона "О правовой охране программ для ЭВМ и баз данных" закрепляет авторские права за автором баз данных и программного обеспечения; Статья 18 гарантирует возмещение убытков автору в размере от 5 000 до 50 000 кратного минимального размера оплаты труда;
2. Статья 22 закона «Об информации, информатизации и защите информации» регламентирует документ (сертификат), закрепляющий авторские права за разработчиком баз данных и программного обеспечения;
3. Уголовный кодекс России, глава 28 «Преступление в сфере компьютерной информации» в редакции от 01.01.97 г. в статье 272 закреплена уголовная ответственность за нарушителем, осуществившим несанкционированный доступ к информации, нелегальное ее копирование и нарушение работы ЭВМ. Статья 273 закрепила уголовную ответственность за создание вирусов, приводящих к уничтожению, модификации и нелегальному копированию информации.
В настоящее время в России наиболее распространенными нарушениями законодательства являются нелегальное копирование и изготовление копий сверх установленного числа. Высокий уровень пиратства в России обусловлен соотношением средней зарплаты и цены программного обеспечения (200 $ - 20 000$).
Программное обеспечение может распространяться: бесплатно (в целях саморекламы), условно-бесплатно (демонстрационные версии вида Try and buy) и на коммерческой основе.