Тема 7. Защита компьютерной информации

date image 2015-06-05
views image 7088
Поделись с друзьями: 
78910111213

Закон об информации – Защита – любое активное или пассивное действие, направленное на достижение определенного состояния или уровня безопасности объекта.

Целями защиты ин­формации являются:

· предотвращение разглашения, утечки и несанк­ционированного доступа к охраняемым сведениям;

· предотвращение про­тивоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

· предотвращение других форм незаконного вмешательства в информационные ресурсы и информаци­онные системы;

· обеспечение правового режима документированной ин­формации как объекта собственности;

· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональ­ных данных, имеющихся в информационных системах;

· сохранение госу­дарственной тайны, конфиденциальности документированной информа­ции в соответствии с законодательством;

· обеспечение прав субъектов в информационных процессах и при разработке, производстве и примене­нии информационных систем, технологии и средств их обеспечения.

Правовая защита — это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе.

Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государ­ством в отношении определенных сфер жизни и деятельности го­сударственных органов, предприятий (организаций) и населения (отдельной личности).

Правовая защита информации как ресурса признана на международ­ном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном Уровне правовая защита регулируется государственными и ведомст­венными актами.

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-пра­вовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям.

Организационная защита обеспечивает:

— организацию охраны, режима, работу с кадрами, с документами;

— использование технических средств безопасности и информа­ционно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и ха­латностью пользователей или персонала защиты. Влияния этих ас­пектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-право­вых и организационно-технических мероприятий, которые исключа­ли бы (или по крайней мере сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

К основным организационным мероприятиям можно отнести:

— организацию режима и охраны. Их цель — исключение возмож­ности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными систе­мами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддер­жание надежного пропускного режима и контроля сотрудников и посетителей и др.;

— организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

— организацию работы с документами и документированной инфор­мацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, использование, возврат, хранение и уничтожение;

— организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

— организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению их защиты;

— организацию работы по проведению систематического контрою за работой персонала с конфиденциальной информацией, порядке учета, хранения и уничтожения документов и технических носителе.

— созда­ние специальных штатных служб защиты информации в закрытых информационных системах.

Техническая защита — это использование различных технических средств, препятствующих нанесению ущерба коммер­ческой деятельности.

Инженерно-техническая защита (ИТЗ) по определению — это сово­купность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной ин­формации.

По функциональному назначению средства инженерно-технической защиты классифицируются на следующие группы:

— физические средства, включающие различные средства и соору­жения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств и финансов и информации от противоправных воздействий;

— аппаратные средства. Сюда входят приборы, устройства, при­способления и другие технические решения, используемые в инте­ресах защиты информации. Основная задача аппаратных средств — обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной дея­тельности.

Технические средства защиты информации включают пароли и средства криптографической защиты.

Криптографические меры защиты позволяют шифровать информацию таким образом, чтобы ее содержание могло стать доступным только при предъявлении специфической информации (ключа).

Выделяются три основные группы мер предупреждения компьютерных преступлений, составляющих в своей совокупности целостную систему борьбы с этими преступлениями, а именно:

1) правовые;

2) организационно-технические;

3) криминалистические.

К правовым мерам предупреждения компьютерных престу­плений в первую очередь относятся нормы законодательства, устанавливающие уголовную ответственность за указанные выше противоправные деяния.

Первым из них по праву можно считать издание 22 октября 1992 г. двух Указов Президента Российской Федерации «О правовой охране про­грамм для электронно-вычислительных машин и баз данных» и «О правовой охране топологий интегральных микросхем», регла­ментирующих порядок установления и правовую защиту ав­торских прав на программные средства компьютерной техники и топологии интегральных микросхем с 1 января 1994 г.

Вторым прогрессивным шагом в этом направлении является принятие Государственной Думой и Федеральным Собранием Рос­сийской Федерации сразу двух Законов: 20 января — «О связи» и 25 января 1995 г. «Об информации, информатизации и защите информации».

Решающим законодательным аккордом по рассматриваемому кругу проблем можно считать принятие в июне 1996 г. Уголов­ного кодекса Российской Федерации, устанавливающего уже уголовную ответственность за компьютерные преступления в Российской Федерации и выделяющего информацию в качестве объекта уголовно-правовой охраны [92, гл. 28].

Между тем общеизвестно, что одними правовыми мерами сдерживания не всегда удается достичь желаемого результата в деле предупреждения преступлений. Тогда следующим эта­пом становится применение мер организационно-технического характера для зашиты средств компьютерной техники от про­тивоправных посягательств на них.

Рассмотрим отдельные положительные, на наш взгляд, ор­ганизационно-технические меры предупреждения компьютерных преступлений, применяемые в развитых зарубежных странах.

В настоящее время руководство профилактикой компьютер­ных преступлений в этих странах осуществляется по следую­щим направлениям:

1) соответствие управленческих процедур требованиям ком­пьютерной безопасности;

2) разработка вопросов технической защиты компьютерных залов и компьютерного оборудования;

3) разработка стандартов обработки данных и стандартов компьютерной безопасности;

4) осуществление кадровой политики с целью обеспечения компьютерной безопасности.

Принятие нового уголовно-процессуального законодатель­ства, регламентирующего все возможные следственные дейст­вия и механизм их осуществления применительно к специфике нового вида преступлений. И, безусловно, потребует соответст­вующих криминалистических разработок в области кримина­листической техники, методики, тактики, судебной экспертизы, направленных на научную разработку проблем борьбы с компьютерными преступлениями.

Специальные способы защиты:

1) «Сверка кода». Компьютер защиты порта сверяет код санкционированных пользователей с кодом в запросе. Если пользователь не идентифицирован, компьютер автоматически разрывает связь с вызывающим абонентом, что предохраняет компьютерную систему от такого способа совершения компьютерного преступления, как «за хвост», используемого преступ­никами лично или с помощью специально созданной програм­мы, автоматически подбирающей код доступа к компьютерной системе.

2) «Камуфляж». Некоторые средства защиты портов ка­муфлируют существование портов на линии телефонной связи путем синтезирования человеческого голоса, отвечающего на вызов абонента. Поскольку большинство персональных компью­теров имеет встроенные модемы, то таким образом защищен­ные порты для них недоступны.

3) «Звонок навстречу». Данная защитная функция направ­лена против способа совершения компьютерного преступления методом «маскарад». Напомним, что этот способ заключается в том, что преступник каким-либо образом узнает код законного зарегистрированного пользователя и осуществляет с его помо­щью несанкционированный доступ к СКТ с помощью любого телефонного абонента, выдавая себя за законного пользователя. В ответ на это — средство защиты портов, в памяти которого хра­нятся не только коды доступа, но и идентификационные номера телефонов, разрывает связь и автоматически осуществляет ус­тановление связи с пользователем по второму реквизиту.

4) Ведение автоматического «электронного журнала» дос­тупа в компьютерную систему с фиксацией основных дейст­вий пользователя (стирание, изменение, запись информации). Некоторые средства зашиты портов обладают способностью со­бирать и распечатывать информацию о пользовании системой, в том числе и о неправомерных попытках доступа.

5) Антивирусные программы.

Компьютерный вирус – это специально написанная небольшая программа, которая может приписывать себя к другим программам, а также выполнять различные нежелательные действия на компьютере.

К общим средствам защиты от вирусов относятся: копирование информации, разграничение доступа, предотвращающее несанкционированное использование информации.

Применяются специальные средства:

- программы-детекторы, они обнаруживают зараженные файлы;

- программы-вакцины, модифицируют программы и диски;

- программы-доктора, лечат зараженные программы, «выкусывая» из них тело вируса;

- программы-ревизоры, сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным, о несоответствии сообщают пользователю;

- доктора-ревизоры, гибрид ревизоров и докторов;

- программы-фильтры, перехватывают те обращения к операционной системе, которые используются вирусами для размнож ения и нанесения вреда, и сообщают об этом пользователю.


Тема 8. Справочно-правовые системы, их свойства и параметры.

Задачи, решаемые с использованием СПС.

Справочная правовая система (СПС) – это программный комплекс, включающий в себя массив правовой информации и программные инструменты, позволяющие специалисту работать с этим массивом информации (производить поиск конкретных документов или их фрагментов, выводить информацию на печать, а также формировать свое собственное пространство в конкретной СПС).

СПС помогает решить проблемы, которые приходится решать при создании эффективных механизмов распространения правовой информации:

- проблема открытости правовой информации

- проблема эффективности и доступности для массового потребления каналов распространения правовой информации

- проблема создания эффективных инструментов для работы с огромным массивом правовой информации.

Границы возможностей СПС:

· ни одна СПС, даже будучи зарегистрированным средством массовой информации, не является официальным источником опубликования нормативных актов

СПС представляет возможность получить полную, достоверную информацию по правовым проблемам, но при использовании тех или иных правовых актов при обращении, например, в суд ссылаться необходимо не на СПС, а на официальный источник публикации.

· Нельзя также ожидать от СПС услуг, которые фактически могут быть оказаны лишь квалифицированными юристами.

СПС не может заменить профессионала и является лишь инструментом в работе эксперта.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

78910111213

double arrow
Сейчас читают про:
article image
Показатели движения численности работников. Пример 1,2
article image
Технология изготовления порошков
article image
Анализ финансового состояния предприятия
article image
ОСНОВЫ МЕТОДИКИ САМОСТОЯТЕЛЬНЫХ ЗАНЯТИЙ ФИЗИЧЕСКИМИ УПРАЖНЕНИЯМИ
article image
Органы внутренних дел РФ: понятие, задачи, система органов
article image
ИСТОЧНИКИ ГРАЖДАНСКОГО ПРАВА И ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Не верьте словам ни своим, ни чужим, верьте только делам своим и чужим. © Лев Толстой ==> читать все изречения...
like icon 5948
like icon 5793
Понравился сайт? Поделись им с друзьями: