Учет расчетов с подотчетными лицами.

Важным  решением проблемы по обеспечению надежности информации подтверждается затратами на защитные мероприятия. Для построения надежной системы защиты требуются значительные материальные и финансовые затраты, необходимо перед построением системы защиты разрабатывать оптимизационную модель, позволяющую достичь максимального результата при заданном или минимальном расходовании ресурсов. Для расчета затрат, обеспечивающих требуемый уровень защищенности информации, необходимо знать: полный перечень угроз информации, потенциальную опасность для информации каждой из угроз, размеры затрат, необходимые для нейтрализации каждой из угроз.

Следует напомнить, что если в первые десятилетия активного использования ПК основную опасность представляли хакеры, которые подключались к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушений надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.

Существует  достаточно много способно несанкционированного доступа к информации:

- просмотр;

- копирование и подмена данных;

- ввод ложных программ и сообщений в результате подключения к каналам связи;

- чтение остатков информации на ее носителях;

- прием сигналов электромагнитного излучения и волнового характера;

- использование специальных программ. 
Необходима разработка, создание и внедрение многоступенчатой непрерывной и управляемой архитектуры безопасности информации. Защищать необходимо не только информацию конфиденциального содержания. На объект защиты обычно воздействует некоторая совокупность дестабилизирующих факторов. При этом характер и уровень воздействия одних факторов могут совершенно не зависеть от характера и уровня других.

Возможна  ситуация, когда характер и уровень  взаимодействия взаимозависимых факторов существенно зависят от влияния  других, явно или скрыто усиливающих такие воздействия. Средства защиты могут быть как независимыми с точки зрения эффективности защиты, так и взаимозависимыми. Для обеспечения достаточно высокой безопасности данных надо найти компромисс между стоимостью защитных мероприятии, неудобствами при использовании мер защиты и важностью защищаемой информации. На основе тщательного анализа много численных взаимодействующих факторов можно принять разумное и эффективное решение о сбалансированности меры защиты от конкретных источников опасности.

 

 

     ОБЪЕКТЫ И ЭЛЕМЕНТЫ ЗАЩИТЫ  В КОМПЬЮТЕРНЫХ СИСТЕМАХ ОБРАБОТКИ  ДАННЫХ

Под объектом защиты понимается такой компонент системы, в котором находится подлежащая защите информация, а под элементом защиты — совокупность данных, которая может содержать подлежащие защите сведения. При функционировании компьютерных систем могут быть:

- отказы и сбои аппаратуры;

- системные и системотехнические ошибки;

- программные ошибки;

- ошибки человека при работе с ПК. 
Несанкционированный доступ к информации может происходить во время технического обслуживания, компьютеров за счет прочтения информации на машинных и других носителях. Несанкционированное ознакомление с информацией подразделяется на пассивное и активное. В первом случае не происходит нарушения информационных ресурсов, и нарушитель лишь получает возможность раскрывать содержание сообщений. Во втором - случае нарушитель может выборочно изменить, уничтожить, переупорядочить и перенаправить сообщения, задержать и создать поддельные сообщения.

Для обеспечения безопасности проводятся различные мероприятия, объединяемые понятием «система защиты информации».

Под системой защиты информации понимают совокупность организационных (административных) и  технологических мер, программно-технических  средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Организационно-административные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам систем обработки данных. Цель организационно-административные средства защиты сводится к затруднению или исключению возможности реализации угроз безопасности. Наиболее типичные организационно-административные средства:

- допуск  к обработке и передача конфиденциальной информации только проверенных должностных лиц;

- хранение носителей информации, представляющих определенную тайну, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;

- организации учета использований и уничтожения документов (носителей) с конфиденциальной информацией;

- разграничение доступа к информационным и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.

Технические сродства защиты признаны создать некоторую физически замкнутую среду вокруг объекта и элементов защиты. В этом случае используются такие мероприятия как:

- ограничение электромагнитного излучения путем экранирования помещений, где происходит обработка информации

- осуществление  электропитания  оборудования, отрабатывающего ценную информацию, от автономного источника питания или от общей электросети через специальные сетевые фильтры;

Программные средства и методы защиты активнее других применяются для защиты информации в персональных компьютерах и компьютерных сетях. Они реализуй такие функции защиты как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, предотвращен ив возможных разрушительных воздействий на ресурсы; криптографическая защита информации.

Технологические средства защиты информации подразумевают комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных. Среди них:

- создание архивных копий носителей;

- ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера;

- автоматическая регистрация доступа пользователей к тем или иным ресурсам;

- разработка специальных инструкций по выполнению всех технологических процедур и др.

К правовым и морально-этическим мирам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила, нормы поведения, соблюдение которых способствует защита информации. 
 

СРЕДСТВА ОПОЗНАНИЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА К ИНФОРМАЦИИ

Идентификация — это присвоение какому-либо объекту или субъекту уникального имени или образа.

Аутентификация—это  установление подлинности, т.е. проварка, является пи объект (субъект) действительно  тем, за кого он себя выдает.

Конечной целью процедур идентификации и аутентификации объекта (субъекта) является допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.

Объектами идентификации и аутентификации могут 6ыть: люди (пользователи, операторы); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки); магнитные носители информации; информация на экране монитора.

Наиболее распространенный метод аутентификации — присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Пароль — это совокупность символов, определяющая объект (субъект).

Пароль как  средство обеспечения безопасности может использоваться для идентификации  и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.

Учитывая важность пароля как средства повышения безопасности информации от несанкционированного использования, следует соблюдать некоторые меры предосторожности, а том числе:

- не хранить пароли в вычислительной системе в незашифрованном виде;

- не печатать и не отображать пароли в явном виде на терминале пользователя;

- не использовать в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения, 
номер домашнего или служебного телефона, название улицы);

- не использовать реальные слова из энциклопедии;

- выбирать длинные пароли;

- использовать смесь символов верхнего и нижнего регистров клавиатуры;

- использовать  комбинации из двух простых  слов, соединенных специальными символами (например, +,=,<);

- придумывать новые слова (абсурдные или даже бредового содержания);

- чаще менять пароль.

Для идентификации  пользователей могут применяться  сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя ни основе анализа его индивидуальных параметров; отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса. Наиболее широкое распространение нашли физические методы идентификации с использованием носителей кодов паролей. Такими носителями являются пропуска в контрольно-пропускных системах: пластиковые карты с именем владельца, его кодом, подписью; пластиковые карточки с магнитной полосой, которая считывается специальным считывающим устройством; пластиковые карты, содержащие встроенную микросхему; карты оптической памяти.

Одно из интенсивно разрабатываемых направлений по обеспечению безопасности информации, идентификация и установление подлинности документов на основе электронной цифровой подписи. При передаче документов по каналам связи применяется факсимильная аппаратура, но в этом случае к получателю приходит не подлинник, а лишь копия документа с копией подписи, которая в процессе передачи может быть подвергнута повторному копированию для использования ложного документа.

Электронная цифровая подпись это способ шифрования с помощью криптографического преобразования и является паролем, зависящим от отправителя, получателя и содержания передаваемого сообщения. Для предупреждения повторного использования подпись должна меняться от сообщения к сообщению.

 

  КРИПТОГРАФИЧЕСКИЙ  МЕТОД ЗАЩИТЫ ИНФОРМАЦИИ

Наиболее эффективным  методом повышения безопасности является криптографическое преобразование. Резко повышает безопасность:

- передачи данных в компьютерных сетях;

- данных, хранящихся  в удаленных устройствах памяти;

- информации при обмене между удаленными объектами.

Защита информации методом криптографического преобразования заключается в приседании ее к неявному виду путем преобразования составных частей информации (букв, цифр, слогов, слов) с помощью специальных алгоритмов либо аппаратных средств и кодов ключей. Ключ — это изменяемая часть криптографической системы, хранящаяся втайне и определяющая, какое шифрующее преобразование из возможных выполняется в данном случае.

Для преобразования (шифрования) используется некоторый  алгоритм или устройство, реализующее  заданный алгоритм, которые могут  быть известны широкому кругу лиц. Управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет относительно быстро, просто и надежно расшифровать текст. Без знания ключа эта процедура может оказаться практически невыполнимой даже при использовании компьютера.

К методам криптографического преобразования применимы следующие требования;

- должен быть достаточно устойчивым к попыткам раскрытия исходного текста на основе зашифрованного;

- обмен ключа не должен быть труден для запоминания;