2020-01-14
267
Существует четыре уровня защиты компьютерных и информационных ресурсов:
Предотвращение предполагает, что только авторизованный персонал имеет доступ к защищаемой информации и технологии.
Обнаружение предполагает раннее раскрытие преступлений и злоупотреблений, даже если механизмы защиты были обойдены.
Ограничение уменьшает размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению.
Восстановление обеспечивает эффективное воссоздание информации при наличии документированных и проверенных планов по восстановлению.
Меры защиты - это меры, вводимые руководством, для обеспечения безопасности информации. К мерам защиты относят разработку административных руководящих документов, установку аппаратных устройств или дополнительных программ, основной целью которых является предотвращение преступлений и злоупотреблений.
Формирование режима информационной безопасности можно разделить на четыре уровня:
- законодательный: законы, нормативные акты, стандарты и т. п.;
- административный: действия общего характера, предпринимаемые руководством организации;
- процедурный: конкретные меры безопасности, имеющие дело с людьми;
- программно-технический: конкретные технические меры.
В настоящее время наиболее подробным законодательным документом России в области информационной безопасности является Уголовный кодекс. В разделе "Преступления против общественной безопасности" имеется глава "Преступления в сфере компьютерной информации". Она содержит три статьи - "Неправомерный доступ к компьютерной информации", "Создание, использование и распространение вредоносных программ для ЭВМ" и "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети". Уголовный кодекс стоит на страже всех аспектов информационной безопасности - доступности, целостности, конфиденциальности, предусматривая наказания за "уничтожение, блокирование, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".
Некоторые меры защиты информационной безопасности компьютерных систем.
Аутентификация пользователей. Данная мера требует, чтобы пользователи выполняли процедуры входа в компьютер, используя это как средство для идентификации в начале работы. Для аутентификации личности каждого пользователя нужно использовать уникальные пароли, не являющиеся комбинациями личных данных пользователей, для пользователя.
Еще более надёжное решение состоит в организации контроля доступа в помещения или к конкретному компьютеру сети с помощью идентификационных пластиковых карточек с встроенной микросхемой - так называемых микропроцессорных карточек (smart - card). Их надёжность обусловлена в первую очередь невозможностью копирования или подделки кустарным способом. Установка специального считывающего устройства таких карточек возможна не только на входе в помещения, где расположены компьютеры, но и непосредственно на рабочих станциях и серверах сети.
Существуют также различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д.
Защита пароля.
Правила для защиты пароля:
· нельзя делится своим паролем ни с кем;
· пароль должен быть трудно угадываемым;
· для создания пароля нужно использовать строчные и прописные буквы, а еще лучше позволить компьютеру самому сгенерировать пароль;
· не рекомендуется использовать пароль, который является адресом, псевдонимом, именем родственника, телефонным номером или чем-либо очевидным;
· предпочтительно использовать длинные пароли, так как они более безопасны, лучше всего, чтобы пароль состоял из 6 и более символов;
· пароль не должен отображаться на экране компьютера при его вводе;
· пароли должны отсутствовать в распечатках;
· нельзя записывать пароли на столе, стене или терминале, его нужно держать в памяти;
· пароль нужно периодически менять и делать это не по графику;
· на должности администратора паролей должен быть самый надежный человек;
· не рекомендуется использовать один и тот же пароль для всех сотрудников в группе;
· когда сотрудник увольняется, необходимо сменить пароль;
· сотрудники должны расписываться за получение паролей.
Процедуры авторизации.
В организации, имеющей дело с критическими данными, должны быть разработаны и внедрены процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям.
В организации должен быть установлен такой порядок, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля требуется разрешение тех или иных начальников.
Если информация обрабатывается на большом вычислительном центре, то необходимо контролировать физический доступ к вычислительной технике. Могут оказаться уместными такие методы, как журналы, замки и пропуска, а также охрана. Ответственный за информационную безопасность должен знать, кто имеет право доступа в помещения с компьютерным оборудованием, и выгонять оттуда посторонних лиц.
