49467 (597448), страница 15

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 15)

В самом общем виде решению такой задачи может помочь концептуальная модель защиты информации (см. рис. 6).

Рис. 6. Концептуальная модель защиты информации

Схема в виде последовательных блоков представляет содержание системы обеспечения защиты информации. Рассмотрим последовательно каждый из блоков.

Источники информации. Источник информации — это материальный объект, обладающий определёнными сведениями (информацией), представляющей конкретный интерес для злоумышленников или конкурентов. Выделяются следующие категории источников:

1. Люди (сотрудники, обслуживающий персонал, продавцы, клиенты и т.д.)

1. Документы различного характера и назначения.

2. Публикации: доклады, статьи, интервью, проспекты, книги, специализированные периодические издания.

3. Технические носители информации. Наиболее точное описание носителей дано в законе "О государственной тайне" " Носители сведений — материальные объекты, в том числе физические поля, в которых сведения, составляющие тайну, находят своё отображение в виде символов, образов, сигналов, технических решений и процессов.

5. Технические средства обработки информации, средства связи и
средства обеспечения производственной и трудовой деятельности.

1. Выпускаемая продукция.

2. Производственные и промышленные отходы.

Рассмотрим особенности источников с точки, зрения вероятности реализации угроз безопасности.

Люди как носители информации с точки зрения её защиты занимают особое место — как активные элементы, имеющие волевое начало, не только владеющие, но и обобщающие различные сведения. Поэтому необходим тщательный подбор персонала и анализ окружения..

Документы. Документ (документированная информация) - это информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать. К документированной относится информация не только на бумажных, но и на электронных носителях, в том числе и хранящаяся на жестком диске и в оперативной памяти ЭВМ. Для защиты документов организуется регламентируемое и контролируемое их движение.

Публикации. Например: "Коммерсант DAILY", "Деловой мир", "Финансовая Россия", "Деньги", "Финансовые известия", "Экономическая газета", "Обозреватель — Observer" и др. За рубежом: "Business Week", "Financial Times", "Wall Street Journal", Dun's Review", "Commerce & Business Daily", "Business Horizons" и др. По заключению западных специалистов более 60% секретной военной и 90% экономической информации можно получить из открытых источников. Поэтому обязательным подразделением службы безопасности предприятия является информационно-аналитический отдел, обрабатывающий открытую информацию.

Производственные и промышленные отходы. По мнению специалистов в области защиты информации "В мусорной корзине можно найти 1000$ банкнот." Поэтому при обработке конфиденциальной информации предъявляются особые требования к уничтожению документов, принтерных распечаток, копировальных лент и очистка оперативной памяти компьютеров и магнитных носителей. Поэтому в обеспечении безопасности деятельности предприятия и эксплуатации ИС важно учитывать все угрозы, которые могут возникнуть со стороны источников информации.

Виды информации по условиям защиты. Статья 21 Закона РФ "Об информации, информатизации и защите информации" определяет, что защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Закон подразделяет информацию по уровню доступа на следующие категории: общедоступная, открытая информация, информация о гражданах (персональные данные) и конфиденциальная информация. Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. В свою очередь, документированная информация с ограниченным доступом по условиям её защиты подразделяется на информацию отнесённую к государственной тайне и конфиденциальную. К конфиденциальной информации относятся сведения, определяемые общим понятием — тайна. В законах встречается 32 вида тайн. Однако, обобщённый перечень сведений, отнесённых к разряду конфиденциальных, приводится в Указе Президента РФ №188 от 6.03.97 г.

1. Сведения о фактах, событиях и обстоятельствах частной жизни
гражданина, позволяющие идентифицировать его личность (персональные
данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

1. Сведения, составляющие тайну следствия и судопроизводства.

2. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

3. Сведения, связанные с профессиональной деятельностью, доступ к
   которым ограничен в соответствии с Конституцией Российской Федерации
   и федеральными законами (врачебная, нотариальная, адвокатская тайна,
   тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

4. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским Кодексом Российской
   Федерации и федеральными законами (коммерческая тайна).

5. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Следует отметить, что согласно ст. 139 Гражданского Кодекса РФ к коммерческой тайне относятся сведения, представляющие потенциальную ценность для её обладателя в силу неизвестности третьим лицам. Здесь же определено, что обладатель коммерческой тайны должен сам предпринимать меры к её сохранности. Поэтому, с точки зрения обладателя коммерческой тайны, необходимо обеспечить защиту как документированной, так и недокументированной информации.

Угрозы безопасности деятельности предприятий и информации подразделяются на внешние и внутренние. Их перечень обширен и для каждого предприятия индивидуален. Общими для всех являются угрозы стихийных бедствий, техногенных катастроф и деятельность людей - непреднамеренные ошибки персонала (нарушители) или преднамеренные действия (злоумышленники), приводящие к нарушениям безопасности. В Доктрине информационной безопасности России приводится следующий перечень угроз информационным системам:

• Противоправный сбор и использование информации;

• Нарушения технологии обработки информации;

• Внедрение аппаратных и программных закладок, нарушающих
  нормальное функционирование ИС;

• Создание и распространение вредоносных программ

• Уничтожение и повреждение ИС и каналов связи

• Компрометация ключей и средств криптографической защиты;

• Утечка информации по техническим каналам;

• Внедрение устройств для перехвата информации;

• Хищение, повреждение, уничтожение носителей информации;

• Несанкционированный доступ в ИС, базы и банки данных.

Методы и способы защиты

На каждом предприятии, независимо от его размеров, вида собственности и направления деятельности применяются однотипные методы и способы защиты, реализующие модель системы защиты. Блок методов защиты - это препятствия, регламентация, разграничение доступа, маскировка, побуждение и принуждение. Перечисленные методы реализуются применением следующих способов защиты. Препятствия (физический способ) — установка ограждений вокруг предприятий, ограничения доступа в здание и помещения, установка сигнализации, охрана. Разграничение доступа осуществляется физическим способом и программно — техническим. Маскировка предусматривает использование криптографических программных средств. Побуждение — соблюдение пользователями этических норм при обработке и использовании информации. Регламентация подразумевает наличие инструкций и регламентов по обработке информации, а запрещение предполагает наличие правовых норм, закрепленных в нормативных документах и определяющих юридическую ответственность в случае их нарушения.

Согласно руководящим документам Государственной технической комиссии при президенте РФ, органу, который определяет порядок защиты информации и контролирует применение программно-технических средств защиты, перечисленные выше методы и способы защиты, объединяются в четыре подсистемы, которые устанавливаются в информационных системах:

1. Подсистема разграничения доступа — осуществляет защиту входа в информационную систему с помощью программных (пароли) и программно-технических средств (электронные ключи, ключевые дискеты,
   устройства распознавания пользователей по биометрическим признакам
   и др.).

2. Подсистема регистрации и учета — осуществляет регистрацию в специальном электронном журнале пользователей и программ, получивших доступ в систему, к файлам, программам или базам данных, время входа и выхода из системы и другие операции, выполняемые пользователями.

3. Криптографическая подсистема — набор специальных программ, осуществляющих шифрование и расшифрование информации. Наличие криптографической подсистемы особенно необходимо в информационных системах, используемых для электронного бизнеса.

4. Подсистема обеспечения целостности (неизменности) информации включает в себя наличие физической охраны средств вычислительной техники и носителей, наличие средств тестирования программ и данных, использование сертифицированных средств защиты.

ТЕМА 7.

Программное обеспечение экономической деятельности

Структура программного обеспечения

Программное обеспечение (ПО) компьютера называют мягким оборудованием или SOFTWARE.

В зависимости от функций, выполняемых программным обеспечением, его можно разделить на 2 группы: системное программное обеспечение и прикладное программное обеспечение.

Системное ПО организует процесс обработки информации на компьютере и обеспечивает нормальную рабочую среду для прикладных программ. Системное ПО настолько тесно связано с аппаратными средствами, что его иногда считают частью компьютера.

В состав системного ПО входят:

• операционные системы;

• сервисные программы;

• трансляторы языков программирования;

• программы технического обслуживания.

Операционная система (ОС) — это совокупность программ, управляющая аппаратной частью компьютера, его ресурсами (оперативной памятью, местом на дисках), обеспечивающая запуск и выполнение прикладных программ, автоматизацию процессов ввода/вывода. Без операционной системы компьютер мертв. ОС загружается при включении компьютера.

Сервисное программное обеспечение — это совокупность программных продуктов, предоставляющих пользователю дополнительные услуги в работе с компьютером и расширяющих возможности операционных систем.

Транслятором языка программирования называется программа, осуществляющая перевод текста программы с языка программирования в (как правило) машинный код.

Под программами технического обслуживания понимается совокупность программно-аппаратных средств для диагностики и обнаружения ошибок в процессе работы компьютера или вычислительной системы в целом. Они включают в себя средства диагностики и тестового контроля правильности работы компьютера и его отдельных частей, в том числе автоматического поиска ошибок и неисправности, как в отдельном компьютере, так и во всей вычислительной системе.

Прикладное ПО предназначено для решения конкретных задач пользователя и организации вычислительного процесса информационной системы в целом.

Прикладное ПО позволяет разрабатывать и выполнять задачи (приложения) пользователя по бухгалтерскому учету, управлению персоналом и т.п.

Прикладное программное обеспечение работает под управлением системного ПО, в частности операционных систем. В состав прикладного ПО входят:

• пакеты прикладных программ (ППП) общего назначения;

• пакеты прикладных программ функционального назначения.

ППП общего назначения — это универсальные программные продукты, предназначенные для автоматизации разработки и эксплуатации функциональных задач пользователя и информационных систем в целом.

Характеристики

Список файлов книги