Файл: Особенности работы с персоналом, владеющим конфиденциальной информацией (Угрозы конфиденциальной информации).pdf

Введение

С самого истока человеческой истории появилась необходимость передачи, а также сохранения данных.

Непосредственно в базе обладания данными о самых разных процессах и явлениях возможно результативно и приемлемо создавать различную работу.

В наше время период сформированного государства, общества (США, Япония, государства Западной Европы) по сути уже заступили в информативное сообщество. Другие же, в этом количестве также Российская Федерация, пребывают в близких подступах к нему.

Во свойстве критериев развитости информативного сообщества возможно отметить: присутствие ПК, степень формирования компьютерных сетей и число народонаселенья, занимающегося в информативной области, но кроме того использующего информативные и коммуникационные технологические процессы в собственной обыденной работы.

Предметом курсовой работы является информация. В настоящий период сведения стоит дорого и их следует защищать. Глобальное использование личных ПК, к огорчению, обнаружилось сопряженным с возникновением самовоспроизводящихся программ-вирусов, мешающих стандартной службе ПК, рушащих файловую структуру дисков, а также наносящих вред хранимой в ПК данных.

Данными обладают и применяют их все без исключения общества в отсутствии исключения. Любой индивид решает для себя, какое сведение ему следует приобрести, какое сведения не должна являться доступна остальным и т.д. Человеку несложно, сохранять сведение, которая у него во уме, а как быть, в случае если сведения занесена в «мозг машины», к каковой обладают допуск многочисленные общества.

Целью курсовой работы считается избежать утрату данных. Разрабатываются разнообразные механизмы ее охраны, какие применяются в абсолютно всех стадиях деятельности с ней. Охранять от повреждений и наружных влияний необходимо и приборы, в каковых находится засекреченная и существенные сведения, и каналы связи.

Повреждения имеют все шансы являться обусловлены неисправностью оснащения или канала взаимосвязи, имитацией либо разглашением конфиденциальной данных. Внешние действия появляются, равно как и в следствии естественных бедствий, таким образом и в следствии перебоев оснащения либо кражи.

С целью сбережения данных применяют разнообразные методы охраны:

- безопасность строений, в каком месте находится засекреченная информация;

- надзор допуска к конфиденциальным данным;

- разделение допуска;

- повторение каналов связи также подключение дополнительных устройств;

- шифровальные преобразования данных. ^[1]

Фактическая важность состоит в постановлении трудности информативной защищенности. Существенную роль захватывает создание результативной концепции организации деятельности с персоналом, владеющим секретными данными. Во предпринимательских структурах штат как правило содержит в себе абсолютно всех работников этой компании, в этом числе и управляющих.

Штат производит новые идеи, нововведения, раскрытия и изобретения, какие продвигают научно - технический рост, увеличивают материальное благополучие работников компании и считаются нужными не только лишь с целью компании в полном, однако и с целью любого отдельного работника. Любой работник справедливо заинтересован в сохранении в секрете этих нововведений, какие увеличивают доходы и авторитет компании. Невзирая на данное, штат, к огорчению, считается в таком случае период главным источником потери (разглашения, утечки) ценной и секретных сведениях (9, с. 47).

В курсовой работе были применены использованные материалы экспертов: В.К. Левина, А.В. Спесивцева, П.И. Семьянова, Д.П. Зегжда, Н.Н. Безрукова, Д.Ю. Мостовой. Даже наиболее идеальная в координационном проекте и превосходно снабженная технически концепция охраны данных никак не способна конкурировать с изобретательностью и хитростью лица, замыслившего похитить или ликвидировать ценные данные. Обыкновенный секретарь руководителя компании обладает вероятностью причинить компании такой существенный вред, что окажется под вопросом само ее существование.

Глава 1. Основные направления обеспечения безопасности информационных ресурсов

1.1 Угрозы конфиденциальной информации

Под конфиденциальной информацией будем понимать информацию, на которую распространяются правила разграничения доступа.

Под правилами разграничения доступа будем понимать совокупность положений, регламентирующих права доступа лиц и процессов к единицам информации.

Можно выделить два вида конфиденциальной информации: служебная и предметная. К служебной информации в частности относятся имена и пароли пользователей. Зная служебную информацию можно получить доступ к предметной информации.

Несанкционированный доступ к информации возможен:

- при отсутствии системы разграничения доступа;

- при ошибках в системе разграничения доступа;

- при сбое/отказе программного или аппаратного обеспечения;

- при ошибочных действиях пользователей или обслуживающего персонала;

- при фальсификации полномочий;

- при использовании специальной аппаратуры и ПО.

Полный перечень способов несанкционированного получения информации:

- использование подслушивающих устройств (закладок);

- использование дистанционного фотографирования;

- перехват электромагнитного излучения;

- принудительное электромагнитное излучение (подсветка);

- маскировка под запросы системы;

- перехват звуковых волн. Современные технические средства позволяют улавливать звук на большом расстоянии;

- восстановление текста напечатанного принтером;

- хищение носителей информации и производственных отходов (анализ бумажных отходов является одним из эффективных приемов добычи информации, которым всегда пользовались разведки всего мира);

- считывание данных с компьютеров пользователей. Доступ может быть и непосредственный, и путем подключения к устройствам внешней памяти, и посредством удаленной консоли;

- считывание остаточной информации из памяти (оперативной или внешней) системы;

- копирование носителей информации с преодолением средств защиты.^[2]

1.2 Идентификация и аутентификация

Важным средством защиты объектов безопасности является идентификация и аутентификация.

Идентификация - это передача субъекта (пользователя или процесса) системе своего имени (идентификатора). На этапе аутентификации происходит проверка подлинности переданного имени. Подтвердить свою подлинность субъект может следующими двумя способами:

- посредством некоторого устройства аутентификации, например, электронной карточки;

- посредством некоторого неотъемлемого от субъекта признака (отпечаток пальцев, рисунок сетчатки глаза, последовательность байтов, однозначно идентифицирующих процесс).

При парольной аутентификации важным является защита пароля от попадания в руки злоумышленников. Получить пароль можно из различных источников:

У владельца пароля; иногда для хранения паролей используется обычная записная книжка или файл, откуда случайно или намеренно пароль может попасть злоумышленнику; иногда пароль сообщают сослуживцу; пароль можно подсмотреть. Пароль можно получить посредством программ - шпионов, которые перехватывают функции ввода и передают пароль злоумышленникам, поэтому должен быть строгий контроль над программным обеспечением, работающим в системе. Пароль можно просто подобрать, ориентируясь на трафаретное мышление большинства людей (год рождения, фамилии и имена близких и т.п.). Существуют даже программы, которые подбирают пароль на основе некоторых трафаретных шаблонов. Пароль может быть перехвачен при передаче по сети.

Для защиты парольного входа используются следующие методы:

- установка минимальной длины паролей;

- пароль должен быть составлен из символов разного регистра, знаков препинания, цифр;

- для каждого пароля должен быть установлен промежуток, по истечению которого пароль должен быть сменен;

- защита файлов, где хранятся пароли;

- использование программ-генераторов паролей;

- использование одноразовых паролей;

Пользователю известен только ключ, при вводе которого каждый раз генерируется новый пароль, который и передается системе.

Таким образом, по сети каждый раз передается разный пароль. Разумеется, зная ключ и алгоритм генерации можно сгенерировать нужный пароль.

Наиболее известным сервером аутентификации является Kerberos.^[3]

Несколько слов следует сказать о биометрических способах аутентификации. Эти методы основываются на физиологических и поведенческих признаках человека. Физиологический подход может основываться на таких параметрах как отпечатки пальцев, геометрия рук или сетчатки глаз и т.д. К поведенческим признакам относится, например, динамика работы с клавиатурой, подпись и др. Принцип использования биометрических показателей заключается в следующем: в начале создается база данных с биометрическими данными. При аутентификации (и одновременно идентификации) программа сканирует базу данных шаблонов в поисках соответствующего шаблона. Обычно биометрический способ аутентификации является лишь одним из этапов полной аутентификации и комбинируется также с парольным подходом. ^[4]

Разграничение доступа является одним из основных способов сохранения конфиденциальности информации и является дополнением таких процедур как идентификация и аутентификация.

Но разграничение доступа не только позволяет сохранять конфиденциальность информации, но и защищает ее от угроз доступности и целостности. Правильное распределение ролей в системе может уберечь объекты безопасности от случайных или некомпетентных действий, которые могут вызвать потерю или искажение информации.

В общем случае постановка задачи следующая. Имеется множество субъектов безопасности (пользователи или процессы), доступ которых к информации предполагается регулировать. С другой стороны, имеется множество объектов данных, доступ к которым субъектов безопасности может регулироваться. В качестве объектов могут выступать самые разные элементы. персонал конфиденциальный информация увольнение

Для реляционных баз данных это могут базы данных, таблицы, столбцы, строки и т.д. Для каждой пары «субъект-объект» должно быть определено множество операций, которые субъект может выполнять над объектом.

Операции могут быть простыми, такими как добавление данных, удаление данных, обновление данных, а могут представлять собой хранимые процедуры, содержащие множество различных действия.

Кроме ограничений на действия с данными для субъектов безопасности, субъекту могут даваться разрешения на операции выдачи прав или введение ограничений на действия с данными других субъектов. Это особо тонкая работа, требующая вдумчивого подхода. Достаточно случайно дать дополнительные права какому-либо пользователю, и он сам сможет расширить свои права для работы с данными или создать нового пользователя с расширенными правами.

Использование ролей не только помогает управлять доступом целой группы пользователей, но и вносит дополнительные сложности для администратора.

Таким образом, перед тем как разрешить, или запретить какие-либо действия над данными необходимо проанализировать все роли, в которые данный пользователь прямо или косвенно (через вложенные роли) входит. При этом может оказаться, что в одной роли данное действие разрешено, а в другой запрещено. Обычно придерживаются следующего правила: запрет всегда сильнее разрешения. Поэтому, если пользователь является членом множества ролей и только в одной роли указан запрет на определенное действие, то для пользователя это действие будет запрещено. В некоторых системах (например, в MS SQLServer) объекты безопасности также могут объединяться в группы (в MS SQLServer -они называются схемами). В этом случае, можно разрешить или запретить какие-либо действия для целой группы объектов. ^[5]

Одним из наиболее мощных средств обеспечения конфиденциальности является шифрование.

Используют два способа шифрования: симметричное и ассиметричное. В первом случае один и тот же ключ используется и для шифрования и для расшифровки. В России разработан и существует стандарт для такого шифрования ГОСТ 28147-89. При передаче шифрованного сообщения между отправителем и получателем и тот и другой должны иметь в своем распоряжении один и тот же ключ. При этом, разумеется, ключ следует содержать в тайне. Когда два человека имеют в своем распоряжении один и тот же ключ, то возрастает вероятность, что ключ попадет и в третьи руки. Кроме этого, получатель не может доказать третьему лицу, что полученное зашифрованное сообщение написано отправителем, так как и сам получатель при желании мог сгенерировать такое сообщение. ^[6]