Файл: Конспект лекций раздел Введение. Компьютерные информационные технологии в управлении Тема Информационные аспекты управления.pdf

43 и целостности на всех стадиях жизненного цикла; установление правовых норм и юридической ответственности за неправомерное использование средств вычислительной техники; заключаемые обладателем с пользователем информации договоры, в которых устанавливаются условия использования информации, а также ответственность сторон по договору за нарушение указанных условий.
Вопрос 3. Аудит информационной безопасности в АСДОУ. Аудит информационной безопасности играет одну из главных ролей в обеспечении информационной безопасности и является одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищенности. Проводя аудит, организация получает возможность прогнозировать устойчивость развития, моделировать различные ситуации в области информационной безопасности. Аудит ИБ проводится для любой системы ИБ на регулярной основе с целью определения соответствия защищенности информационной системы требованиям, на соответствие которым строилась система ИБ, а также с целью определения степени защиты информационной системы от актуальных угроз ИБ.
Проведение аудита ИБ АСДОУ представляет собой комплекс мероприятий, включающих в себя процесс сбора и анализа информации, необходимой для оценки существующего уровня защиты, оценку качества предпринимаемых организационных мер по обеспечению ИБ, а также качества проведения технических мероприятий, направленных на подтверждение правил и порядка соблюдения требований по ИБ, поиск уязвимостей и выработку рекомендаций по их устранению.
Аудит проводится либо с целью разработки технического задания на систему защиты, либо после внедрения такой системы для оценки ее эффективности. В процессе аудита ИБ определяются электронные документы и информационные ресурсы, подлежащие защите, идентифицируются и анализируются угрозы безопасности, уязвимости АСДОУ, строится модель потенциального нарушителя, проводится оценка рисков реализации угроз. На основе данных аудита определяется оптимальный набор методов и средств защиты информации, которые на этапе проектирования трансформируются в систему защиты. Система защиты рассматривается как совокупность механизмов обеспечения ИБ и механизмов управления ими для заданной
АСДОУ.
Вопрос 4. Угрозы безопасности: понятие и классификация.
Обеспечение ИБ должно носить комплексный характер и основываться на глубоком анализе и классификации всех возможных негативных последствий.
Выявление негативных последствий предполагает идентификацию возможных источников угроз, факторов, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации.

44
Угроза информационной безопасности АСДОУ – это потенциальная или реально существующая опасность реализации воздействия на информацию, обрабатываемую в автоматизированной системе, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты АСДОУ, приводящего к их утрате, уничтожению или сбою функционирования.
По природе возникновения выделяют естественные и искусственные угрозы. Естественные угрозы – угрозы, вызванные воздействиями на АСДОУ и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека. Искусственные – угрозы автоматизированной системе, вызванные деятельностью человека.
Искусственные угрозы делятся на непреднамеренные и преднамеренные.
По степени воздействия на АСДОУ угрозы можно подразделить на пассивные и активные. Пассивные угрозы при своей реализации не производят никаких изменений в составе и структуре системы. Реализация активных угроз нарушает структуру автоматизированной системы.
Исходя из базовых свойствах защищаемой информации угрозы делятся на угрозы нарушения конфиденциальности, целостности и доступности информации.
Наиболее распространенными и опасными угрозами информационной безопасности являются кража информации, халатность сотрудников организаций, вредоносные программы, саботаж, хакерские атаки, финансовое мошенничество, спам, аппаратно-программные сбои, кража оборудования.
Тема 5.2. Методы защиты информации
1. Характеристика методов защиты информации.
2. Понятие электронной цифровой подписи (ЭЦП).
3. Техническое, организационное и правовое обеспечение ЭЦП.
Вопрос 1. Характеристика методов защиты информации.
Для решения задачи противодействия угрозам безопасности необходим соответствующий набор методов защиты, определение и разработка которых является неотъемлемой частью работ по защите информации. К настоящему времени разработан весьма широкий набор методов, с помощью которых может быть обеспечен требуемый уровень защищенности информации в
АСДОУ.
М
етодами обеспечения защиты информации являются: препятствие, управление доступом, криптографические методы; регламентация; маскировка; принуждение; побуждение.
Управление доступом – метод защиты, регулирующий использование всех ресурсов АСДОУ. Включает такие функции защиты как идентификация
(с помощью паролей, индивидуальных параметров, физическим способом), пользователей, персонала и ресурсов системы; аутентификация
(установление подлинности) объекта или субъекта по предъявленному

45 идентификатору; проверка полномочий на работу с документом или в системе; разрешение и создание условий работы в пределах установленного регламента; протоколирование обращений к защищаемым ресурсам; реагирование при попытках несанкционированных действий.
Кpиптогpафические методы – методы шифpования, кодиpования или иного пpеобpазования инфоpмации, в pезультате котоpого ее содеpжание становится недоступным без пpедъявления ключа кpиптогpаммы и обpатного пpеобpазования. К данным методам относится ЭЦП.
Маскировка представляет собой преобразование информации, вследствие которого она становится недоступной и непонятной для нарушителей.
Регламентация как метод защиты заключается в разработке и реализации в процессе функционирования системы комплексов мероприятий, создающих условия обработки информации, затрудняющих проявление и воздействие угроз безопасности.
Принуждение — метод защиты, при котором субъекты системы вынуждены соблюдать правила создания, обработки, передачи, использования защищаемой информации под угрозой материальной, административной, уголовной ответственности.
Побуждение есть метод защиты, при котором субъекты системы внутренне (материальными, моральными, этическими, психологическими мотивами) побуждаются к соблюдению всех правил работы с информацией.
Вопрос 2. Понятие электронной цифровой подписи. Электронная цифровая подпись – последовательность символов, являющаяся реквизитом электронного документа и предназначенная для подтверждения его целостности и подлинности. Применятся при разработке защищенных систем электронного документооборота.
ЭЦП представляет собой последовательность символов, полученную в результате криптографического преобразования электронных данных. ЭЦП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭЦП подразделяется на: ЭЦП текста документа и ЭЦП операции, которая заверяет действия, при которых подписывается документ
ЭЦП используется физическими и юридическими лицами в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица и скрепленного печатью.
Для работы используют личный и открытый ключи. Личный ключ используется для создания ЭЦП в электронных документах, а открытый ключ – для проверки подлинности ЭЦП и работает только в паре с личным ключом.

46
С помощью средства ЭЦП можно подписать любой электронный файл, после чего он становится полноценным электронным документом.
Вопрос 3. Техническое, организационное и правовое обеспечение
ЭЦП. Технология ЭЦП представляет собой совокупность процедур, методов, программных, программно-технических и технических средств, относящихся к практическому применению электронной цифровой подписи. Требования к технологии ЭЦП устанавливаются техническими нормативными правовыми актами.
Для обеспечения доступа любого пользователя к подлинному открытому ключу любого другого пользователя, защиты эти ключей от подмены злоумышленником и организация отзыва ключей в случае их компрометации необходимо управление открытыми ключами. Управление ключами осуществляется Удостоверяющим Центром. Удостоверяющий Центр выпускает, распространяет и отзывает сертификаты открытых ключей.
Сертификат открытого ключа позволяет удостоверить заключенные в нем данные о владельце и его открытый ключ ЭЦП Удостоверяющего Центра и защитить ключи от подмены.
Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения полностью зависит от защищенности компьютера. В настоящее время существуют следующие устройства хранения закрытого ключа: дискеты, смарт-карты, USB-брелоки, таблетки Touch-Memory.
Правовые условия использования ЭЦП в ЭД, при соблюдении которых электронная цифровая подпись в электронном документе является равнозначной собственноручной подписи в документе на бумажном носителе, прописаны в законе Республики Беларусь от 28.12.2009 г. «Об электронном документе и электронной цифровой подписи».