Файл: Назначение и структура системы защиты информации в коммерческих предприятиях.pdf
Добавлен: 30.06.2023
Просмотров: 47
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ СУЩНОСТЬ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
1.1 Проблема защиты информации
1.2 Требования к обработке информации в информационных системах коммерческих предприятий
ГЛАВА 2. ОСНОВНЫЕ ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
2.2 Воздействие вредоносных программ
3.1 Правовые основы обеспечения информационной безопасности
3.2 Основные методы и средства защиты информации
Каждая из угроз по-разному воздействует на информационные системы, что отражено в таблице 1.
Таблица 1
Основные характеристики моделей предоставления
Виды угроз |
Способы воздействия угроз |
информационные |
– нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации; – несанкционированный доступ к информационным ресурсам; – манипулирование информацией; – нарушение технологии обработки информации. |
программно-математические |
– внедрение компьютерных вирусов; – установка программных и аппаратных закладных устройств; – уничтожение или модификацию данных в автоматизированных информационных системах. |
физические |
– уничтожение или разрушение средств обработки информации и связи; – уничтожение, разрушение или хищение машинных, или других носителей информации; – хищение программных или аппаратных ключей и средств криптографической защиты информации; – воздействие на персонал; – перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи; – воздействие на парольно-ключевые системы. |
радиоэлектрон-ные |
перехват информации в технических каналах ее возможной утечки; – внедрение электронных устройств перехвата информации в технические средства и помещения; – перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи; – радиоэлектронное подавление линий связи и систем управления. |
организационно-правовые |
– невыполнение требований законодательства о задержке в принятии необходимых нормативно-правовых положений в информационной сфере; – неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию. |
Знание возможных угроз, а также уязвимых мест защиты, необходимо, чтобы выбрать наиболее рациональные и действенные методы обеспечения безопасности. Самыми частыми и опасными угрозами являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других, обслуживающих информационные системы лиц.
2.2 Воздействие вредоносных программ
Программы с потенциально опасными последствиями названы в УК РФ вредоносными программами. Классификация вредоносных программ приведена на рисунке 3.
Рисунок 3 – Классификация вредоносных программ
А. Вирус – это программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии, причем последняя сохраняет способность к дальнейшему размножению [5].
Своим названием компьютерные вирусы обязаны определенному сходству с вирусами биологическими:
- способностями к саморазмножению;
- высокой скорости распространения;
- избирательности поражаемых систем;
- наличию определенного инкубационного периода;
- способности «заражать» еще незараженные системы;
- трудности борьбы с вирусами и т.д.
Выделяют следующие основные виды вирусов:
- файловые;
- загрузочные;
- макровирусы.
Б. «Троянский конь» – программа, выполняющая в дополнение к проектным и документированным не описанные в документации действия.
Опасность «троянского коня» заключается в дополнительном блоке команд, тем или иным образом вставленном в исходную безвредную программу, которая затем предлагается пользователем. Этот блок команд может срабатывать при наступлении некоторого условия.
«Червь» – программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий.
В. Атаки с использованием скрытых каналов обычно приводят к нарушениям конфиденциальности информации, по характеру воздействия являются пассивными, нарушение состоит только в передаче информации. Для организации «скрытых каналов» может использоваться как штатное программное обеспечение, так и специально разработанные «троянские» или вирусные программы. Атака обычно производится программным способом.
Также существует большое количество способов организации связи между двумя процессами системы. Более того, многие операционные системы имеют в своем распоряжении такие средства, так как они очень облегчают работу программистов и пользователей. Проблема заключается в том, что очень трудно отделить неразрешенные «скрытые каналы» от разрешенных, то есть тех, которые не запрещаются системной политикой безопасности. В конечном счете все определяется ущербом, который может принести организация «скрытых каналов».
В. Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности - выход в привилегированный режим) [1].
«Люки» чаще всего являются результатом забывчивости разработчиков. В частности, отладка программы ведется за счет прямого доступа к отдельным частям продукта или наборе определенного сочетания клавиш.
Методика воздействия вредоносных программ в значительной мере зависит от организации обработки информации в системе, разработанной политики безопасности, возможностей установленных средств защиты, а также добросовестности администратора и оператора. Для реализации несанкционированного доступа существует два способа:
1. преодолеть систему защиты, то есть путем различных воздействий на нее прекратить ее действия в отношении себя или своих программ. Это сложно, трудоемко и не всегда возможно, зато эффективно;
2. понаблюдать какие наборы данных, представляющие интерес для злоумышленника, открыты для доступа по недосмотру или умыслу администратора. Такой доступ, хотя и с некоторой натяжкой, тоже можно назвать несанкционированным, его легко осуществить, но от него легко и защититься. К этому же типу относится доступ с подбором пароля, поскольку осуществить такой подбор возможно лишь в случае нарушения правил составления паролей и использования в качестве пароля человеческих имен, повторяющихся символов и пр.
В подавляющем большинстве случаев несанкционированный доступ становится возможным из-за непродуманного выбора средств защиты, их некорректной установки и настройки, плохого контроля работы, а также при небрежном отношении пользователей и администраторов к защите своих собственных данных.
Итак, во второй главе курсовой работы было рассмотрено понятие информационной угрозы и приведена их основная классификация. Также были рассмотрены основные типы вредоносных программ, способных нанести вред информационное безопасности любого предприятия, в том числе и коммерческого.
ГЛАВА 3. МЕТОДЫ, СРЕДСТВА И ОРГАНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ КОММЕРЧЕСКИХ ПРЕДПРИЯТИЙ
3.1 Правовые основы обеспечения информационной безопасности
Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от тотального сокрытия большого объема сведений к гарантированной защищенности принципиально важных данных, обеспечивающей:
- конституционные права и свободы граждан, предприятий и организаций в сфере информатизации;
- необходимый уровень безопасности информации, подлежащей защите;
- защищенность систем формирования и использования информационных ресурсов.
Нормативные акты правового регулирования вопросов информатизации и защиты информации в Российской Федерации включают следующие источники, отраженные на рисунке 4.
Рисунок 4 – Нормативные акты РФ, регулирующие вопросы информатизации и защиты информации
Также источником нормативных и методических документов могут стать уполномоченные государственные органы РФ (Гостехкомиссии России, ФАПСИ, ФСБ) [2].
Ключевым моментом политики государства в данной области является осознание необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу.
Федеральные законы и другие нормативные акты предусматривают:
- разделение информации на категории свободного и ограниченного доступа, причем информация ограниченного доступа подразделяется на:
- отнесенную к государственной тайне;
- отнесенную к служебной тайне (информацию для служебного пользования), персональные данные (и другие виды тайн);
- и другую информацию, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Указанные категории регулируются действием следующих нормативных актов, приведенных в таблице 2.
Таблица 2
Нормативные акты и регулируемые ими виды информации
Вид информации |
Нормативный акт и источник |
в отношении сведений, отнесенных к государственной тайне |
Уполномоченные государственные органы на основании Закона Российской Федерации «О государственной тайне» (от 21.07.93 г. N 5485-1) |
в отношении конфиденциальной документированной информации |
Собственник информационных ресурсов или уполномоченное лицо на основании Закона Российской Федерации «Об информации, информатизации и защите информации» (в ред. Федеральных законов от 27.07.2010 N 227-ФЗ, от 06.04.2011 N 65-ФЗ) |
в отношении персональных данных |
Отдельные федеральные законы |
2) лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;
3) аттестование автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);
4) сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в автоматизированных системах;
5) возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством Российской Федерации;
6) создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;
7) определение прав и обязанностей субъектов в области защиты информации.
Правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу, устанавливается на основании федерального законодательства РФ. Рассмотренные выше Федеральные законы и другие нормативные акты составляют правовые основы обеспечения информационной безопасности.
Активное развитие систем автоматизации и распространение компьютерных технологий, внедряемых непосредственно в работу коммерческих предприятий, влияют на значительное изменение и постепенное совершенствование юридических основ защиты информации.
3.2 Основные методы и средства защиты информации
При разработке информационных систем, зачастую, возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информационных систем.
Защита разрабатывается индивидуально для каждого типа системы, но в соответствии с общепринятыми правилами, которые предполагают реализацию следующих этапов:
- анализ риска, заканчивающийся разработкой проекта системы защиты;