Файл: Назначение и структура системы защиты информации в коммерческих предприятиях.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 30.06.2023

Просмотров: 53

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Каждая из угроз по-разному воздействует на информационные системы, что отражено в таблице 1.

Таблица 1

Основные характеристики моделей предоставления

Виды угроз

Способы воздействия угроз

информационные

– нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;

– несанкционированный доступ к информационным ресурсам;

– манипулирование информацией;

– нарушение технологии обработки информации.

программно-математические

– внедрение компьютерных вирусов;

– установка программных и аппаратных закладных устройств;

– уничтожение или модификацию данных в автоматизированных информационных системах.

физические

– уничтожение или разрушение средств обработки информации и связи;

– уничтожение, разрушение или хищение машинных, или других носителей информации;

– хищение программных или аппаратных ключей и средств криптографической защиты информации;

– воздействие на персонал;

– перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;

– воздействие на парольно-ключевые системы.

радиоэлектрон-ные

перехват информации в технических каналах ее возможной утечки;

– внедрение электронных устройств перехвата информации в технические средства и помещения;

– перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;

– радиоэлектронное подавление линий связи и систем управления.

организационно-правовые

– невыполнение требований законодательства о задержке в принятии

необходимых нормативно-правовых положений в информационной сфере;

– неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

Знание возможных угроз, а также уязвимых мест защиты, необходимо, чтобы выбрать наиболее рациональные и действенные методы обеспечения безопасности. Самыми частыми и опасными угрозами являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других, обслуживающих информационные системы лиц.


2.2 Воздействие вредоносных программ

Программы с потенциально опасными последствиями названы в УК РФ вредоносными программами. Классификация вредоносных программ приведена на рисунке 3.

Рисунок 3 – Классификация вредоносных программ

А. Вирус – это программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии, причем последняя сохраняет способность к дальнейшему размножению [5].

Своим названием компьютерные вирусы обязаны определенному сходству с вирусами биологическими:

- способностями к саморазмножению;

- высокой скорости распространения;

- избирательности поражаемых систем;

- наличию определенного инкубационного периода;

- способности «заражать» еще незараженные системы;

- трудности борьбы с вирусами и т.д.

Выделяют следующие основные виды вирусов:

- файловые;

- загрузочные;

- макровирусы.

Б. «Троянский конь» – программа, выполняющая в дополнение к проектным и документированным не описанные в документации действия.

Опасность «троянского коня» заключается в дополнительном блоке команд, тем или иным образом вставленном в исходную безвредную программу, которая затем предлагается пользователем. Этот блок команд может срабатывать при наступлении некоторого условия.

«Червь» – программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий.

В. Атаки с использованием скрытых каналов обычно приводят к нарушениям конфиденциальности информации, по характеру воздействия являются пассивными, нарушение состоит только в передаче информации. Для организации «скрытых каналов» может использоваться как штатное программное обеспечение, так и специально разработанные «троянские» или вирусные программы. Атака обычно производится программным способом.

Также существует большое количество способов организации связи между двумя процессами системы. Более того, многие операционные системы имеют в своем распоряжении такие средства, так как они очень облегчают работу программистов и пользователей. Проблема заключается в том, что очень трудно отделить неразрешенные «скрытые каналы» от разрешенных, то есть тех, которые не запрещаются системной политикой безопасности. В конечном счете все определяется ущербом, который может принести организация «скрытых каналов».


В. Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности - выход в привилегированный режим) [1].

«Люки» чаще всего являются результатом забывчивости разработчиков. В частности, отладка программы ведется за счет прямого доступа к отдельным частям продукта или наборе определенного сочетания клавиш.

Методика воздействия вредоносных программ в значительной мере зависит от организации обработки информации в системе, разработанной политики безопасности, возможностей установленных средств защиты, а также добросовестности администратора и оператора. Для реализации несанкционированного доступа существует два способа:

1. преодолеть систему защиты, то есть путем различных воздействий на нее прекратить ее действия в отношении себя или своих программ. Это сложно, трудоемко и не всегда возможно, зато эффективно;

2. понаблюдать какие наборы данных, представляющие интерес для злоумышленника, открыты для доступа по недосмотру или умыслу администратора. Такой доступ, хотя и с некоторой натяжкой, тоже можно назвать несанкционированным, его легко осуществить, но от него легко и защититься. К этому же типу относится доступ с подбором пароля, поскольку осуществить такой подбор возможно лишь в случае нарушения правил составления паролей и использования в качестве пароля человеческих имен, повторяющихся символов и пр.

В подавляющем большинстве случаев несанкционированный доступ становится возможным из-за непродуманного выбора средств защиты, их некорректной установки и настройки, плохого контроля работы, а также при небрежном отношении пользователей и администраторов к защите своих собственных данных.

Итак, во второй главе курсовой работы было рассмотрено понятие информационной угрозы и приведена их основная классификация. Также были рассмотрены основные типы вредоносных программ, способных нанести вред информационное безопасности любого предприятия, в том числе и коммерческого.


ГЛАВА 3. МЕТОДЫ, СРЕДСТВА И ОРГАНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ КОММЕРЧЕСКИХ ПРЕДПРИЯТИЙ

3.1 Правовые основы обеспечения информационной безопасности

Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от тотального сокрытия большого объема сведений к гарантированной защищенности принципиально важных данных, обеспечивающей:

- конституционные права и свободы граждан, предприятий и организаций в сфере информатизации;

- необходимый уровень безопасности информации, подлежащей защите;

- защищенность систем формирования и использования информационных ресурсов.

Нормативные акты правового регулирования вопросов информатизации и защиты информации в Российской Федерации включают следующие источники, отраженные на рисунке 4.

Рисунок 4 – Нормативные акты РФ, регулирующие вопросы информатизации и защиты информации

Также источником нормативных и методических документов могут стать уполномоченные государственные органы РФ (Гостехкомиссии России, ФАПСИ, ФСБ) [2].

Ключевым моментом политики государства в данной области является осознание необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу.

Федеральные законы и другие нормативные акты предусматривают:

  1. разделение информации на категории свободного и ограниченного доступа, причем информация ограниченного доступа подразделяется на:

- отнесенную к государственной тайне;

- отнесенную к служебной тайне (информацию для служебного пользования), персональные данные (и другие виды тайн);

- и другую информацию, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Указанные категории регулируются действием следующих нормативных актов, приведенных в таблице 2.

Таблица 2

Нормативные акты и регулируемые ими виды информации

Вид информации

Нормативный акт и источник

в отношении сведений, отнесенных к государственной тайне

Уполномоченные государственные органы на основании Закона Российской Федерации «О государственной тайне» (от 21.07.93 г. N 5485-1)

в отношении конфиденциальной документированной информации

Собственник информационных ресурсов или уполномоченное лицо на основании Закона Российской Федерации «Об информации, информатизации и защите информации» (в ред. Федеральных законов от 27.07.2010 N 227-ФЗ, от 06.04.2011 N 65-ФЗ)

в отношении персональных данных

Отдельные федеральные законы


2) лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;

3) аттестование автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);

4) сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в автоматизированных системах;

5) возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством Российской Федерации;

6) создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;

7) определение прав и обязанностей субъектов в области защиты информации.

Правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу, устанавливается на основании федерального законодательства РФ. Рассмотренные выше Федеральные законы и другие нормативные акты составляют правовые основы обеспечения информационной безопасности.

Активное развитие систем автоматизации и распространение компьютерных технологий, внедряемых непосредственно в работу коммерческих предприятий, влияют на значительное изменение и постепенное совершенствование юридических основ защиты информации.

3.2 Основные методы и средства защиты информации

При разработке информационных систем, зачастую, возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информационных систем.

Защита разрабатывается индивидуально для каждого типа системы, но в соответствии с общепринятыми правилами, которые предполагают реализацию следующих этапов:

- анализ риска, заканчивающийся разработкой проекта системы защиты;