Автор работы: Пользователь скрыл имя, 06 Апреля 2010 в 20:39, Не определен
Подотчетными лицами считаются работники организации, получившие авансом денежные средства из кассы. В подотчет выдаются деньги для предстоящих командировочных расходов, а также для оплаты хозяйственных расходов, расходов, связанных с приобретением материалов по мелкому опту в розничной торговле, и на другие хозяйственные нужды. Расчеты с
Важным решением проблемы по обеспечению надежности информации подтверждается затратами на защитные мероприятия. Для построения надежной системы защиты требуются значительные материальные и финансовые затраты, необходимо перед построением системы защиты разрабатывать оптимизационную модель, позволяющую достичь максимального результата при заданном или минимальном расходовании ресурсов. Для расчета затрат, обеспечивающих требуемый уровень защищенности информации, необходимо знать: полный перечень угроз информации, потенциальную опасность для информации каждой из угроз, размеры затрат, необходимые для нейтрализации каждой из угроз.
Следует напомнить, что если в первые десятилетия активного использования ПК основную опасность представляли хакеры, которые подключались к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушений надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.
Существует достаточно много способно несанкционированного доступа к информации:
- просмотр;
- копирование и подмена данных;
- ввод ложных программ и сообщений в результате подключения к каналам связи;
- чтение остатков информации на ее носителях;
- прием сигналов электромагнитного излучения и волнового характера;
- использование
специальных программ.
Необходима разработка, создание и внедрение
многоступенчатой непрерывной и управляемой
архитектуры безопасности информации.
Защищать необходимо не только информацию
конфиденциального содержания. На объект
защиты обычно воздействует некоторая
совокупность дестабилизирующих факторов.
При этом характер и уровень воздействия
одних факторов могут совершенно не зависеть
от характера и уровня других.
Возможна ситуация, когда характер и уровень взаимодействия взаимозависимых факторов существенно зависят от влияния других, явно или скрыто усиливающих такие воздействия. Средства защиты могут быть как независимыми с точки зрения эффективности защиты, так и взаимозависимыми. Для обеспечения достаточно высокой безопасности данных надо найти компромисс между стоимостью защитных мероприятии, неудобствами при использовании мер защиты и важностью защищаемой информации. На основе тщательного анализа много численных взаимодействующих факторов можно принять разумное и эффективное решение о сбалансированности меры защиты от конкретных источников опасности.
ОБЪЕКТЫ И ЭЛЕМЕНТЫ ЗАЩИТЫ
В КОМПЬЮТЕРНЫХ СИСТЕМАХ
Под объектом защиты понимается такой компонент системы, в котором находится подлежащая защите информация, а под элементом защиты — совокупность данных, которая может содержать подлежащие защите сведения. При функционировании компьютерных систем могут быть:
- отказы и сбои аппаратуры;
- системные и системотехнические ошибки;
- программные ошибки;
- ошибки
человека при работе с ПК.
Несанкционированный доступ к информации
может происходить во время технического
обслуживания, компьютеров за счет прочтения
информации на машинных и других носителях.
Несанкционированное ознакомление с информацией
подразделяется на пассивное и активное.
В первом случае не происходит нарушения
информационных ресурсов, и нарушитель
лишь получает возможность раскрывать
содержание сообщений. Во втором - случае
нарушитель может выборочно изменить,
уничтожить, переупорядочить и перенаправить
сообщения, задержать и создать поддельные
сообщения.
Для обеспечения безопасности проводятся различные мероприятия, объединяемые понятием «система защиты информации».
Под системой защиты информации понимают совокупность организационных (административных) и технологических мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.
Организационно-
- допуск к обработке и передача конфиденциальной информации только проверенных должностных лиц;
- хранение носителей информации, представляющих определенную тайну, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;
- организации учета использований и уничтожения документов (носителей) с конфиденциальной информацией;
- разграничение доступа к информационным и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.
Технические сродства защиты признаны создать некоторую физически замкнутую среду вокруг объекта и элементов защиты. В этом случае используются такие мероприятия как:
- ограничение электромагнитного излучения путем экранирования помещений, где происходит обработка информации
- осуществление электропитания оборудования, отрабатывающего ценную информацию, от автономного источника питания или от общей электросети через специальные сетевые фильтры;
Программные средства и методы защиты активнее других применяются для защиты информации в персональных компьютерах и компьютерных сетях. Они реализуй такие функции защиты как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, предотвращен ив возможных разрушительных воздействий на ресурсы; криптографическая защита информации.
Технологические средства защиты информации подразумевают комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных. Среди них:
- создание архивных копий носителей;
- ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера;
- автоматическая регистрация доступа пользователей к тем или иным ресурсам;
- разработка специальных инструкций по выполнению всех технологических процедур и др.
К правовым
и морально-этическим мирам и средствам
защиты относятся действующие в стране
законы, нормативные акты, регламентирующие
правила, нормы поведения, соблюдение
которых способствует защита информации.
СРЕДСТВА ОПОЗНАНИЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА К ИНФОРМАЦИИ
Идентификация — это присвоение какому-либо объекту или субъекту уникального имени или образа.
Аутентификация—это установление подлинности, т.е. проварка, является пи объект (субъект) действительно тем, за кого он себя выдает.
Конечной целью процедур идентификации и аутентификации объекта (субъекта) является допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.
Объектами идентификации и аутентификации могут 6ыть: люди (пользователи, операторы); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки); магнитные носители информации; информация на экране монитора.
Наиболее распространенный метод аутентификации — присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Пароль — это совокупность символов, определяющая объект (субъект).
Пароль как средство обеспечения безопасности может использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.
Учитывая важность пароля как средства повышения безопасности информации от несанкционированного использования, следует соблюдать некоторые меры предосторожности, а том числе:
- не хранить пароли в вычислительной системе в незашифрованном виде;
- не печатать и не отображать пароли в явном виде на терминале пользователя;
- не использовать
в качестве пароля свое имя или имена родственников,
а также личную информацию (дата рождения,
номер домашнего или служебного телефона,
название улицы);
- не использовать реальные слова из энциклопедии;
- выбирать длинные пароли;
- использовать смесь символов верхнего и нижнего регистров клавиатуры;
- использовать комбинации из двух простых слов, соединенных специальными символами (например, +,=,<);
- придумывать новые слова (абсурдные или даже бредового содержания);
- чаще менять пароль.
Для идентификации
пользователей могут
Одно из интенсивно разрабатываемых направлений по обеспечению безопасности информации, идентификация и установление подлинности документов на основе электронной цифровой подписи. При передаче документов по каналам связи применяется факсимильная аппаратура, но в этом случае к получателю приходит не подлинник, а лишь копия документа с копией подписи, которая в процессе передачи может быть подвергнута повторному копированию для использования ложного документа.
Электронная цифровая подпись это способ шифрования с помощью криптографического преобразования и является паролем, зависящим от отправителя, получателя и содержания передаваемого сообщения. Для предупреждения повторного использования подпись должна меняться от сообщения к сообщению.
КРИПТОГРАФИЧЕСКИЙ МЕТОД ЗАЩИТЫ ИНФОРМАЦИИ
Наиболее эффективным методом повышения безопасности является криптографическое преобразование. Резко повышает безопасность:
- передачи данных в компьютерных сетях;
- данных, хранящихся в удаленных устройствах памяти;
- информации при обмене между удаленными объектами.
Защита информации методом криптографического преобразования заключается в приседании ее к неявному виду путем преобразования составных частей информации (букв, цифр, слогов, слов) с помощью специальных алгоритмов либо аппаратных средств и кодов ключей. Ключ — это изменяемая часть криптографической системы, хранящаяся втайне и определяющая, какое шифрующее преобразование из возможных выполняется в данном случае.
Для преобразования (шифрования) используется некоторый алгоритм или устройство, реализующее заданный алгоритм, которые могут быть известны широкому кругу лиц. Управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет относительно быстро, просто и надежно расшифровать текст. Без знания ключа эта процедура может оказаться практически невыполнимой даже при использовании компьютера.
К методам криптографического преобразования применимы следующие требования;
- должен быть достаточно устойчивым к попыткам раскрытия исходного текста на основе зашифрованного;
- обмен ключа не должен быть труден для запоминания;