Разработка автоматизированной информационной системы по начислению заработной платы по 18-разрядной тарифной сетке

• предотвращение утечки, хищения, искажения, подделки информации;
• предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;
• сохранение государственной тайны, конфиденциальности документированной информации.

     Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.

     Отдельный раздел законопроекта "О коммерческой тайне", посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите:

• установление особого режима конфиденциальности;
• ограничение доступа к конфиденциальной информации;
• использование организационных мер и технических средств защиты информации;
• осуществление контроля за соблюдением установленного режима конфиденциальности.

     Установление  особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации. Как правило, особый режим конфиденциальности подразумевает:

• организацию охраны помещений, в которых содержатся носители конфиденциальной информации;
• установление режима работы в помещениях, в которых содержатся носители конфиденциальной информации;
• установление пропускного режима в помещения, содержащие носители конфиденциальной информации;
• закрепление технических средств обработки конфиденциальной информации за сотрудниками, определение персональной ответственности за их сохранность;
• установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность);
• организацию ремонта технических средств обработки конфиденциальной информации;
• организацию контроля за установленным порядком.

     Ограничение доступа к конфиденциальной информации способствует созданию наиболее эффективных условий сохранности конфиденциальной информации. Необходимо четко определять круг сотрудников, допускаемых к конфиденциальной информации, к каким конкретно сведениям им разрешен доступ и полномочия сотрудников по доступу к конфиденциальной информации.

      Созданием органов защиты информации на предприятии  завершается построение системы защиты информации, под которой понимается совокупность органов защиты информации или отдельных исполнителей, используемые ими средства защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.[9]

2. Виды  угроз безопасности

     При рассмотрении проблем защиты данных в сети, прежде всего возникает вопрос о классификации сбоев и нарушений, прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных «угроз» можно выделить:

1. Сбои оборудования:

• сбои кабельной системы;
• перебои электропитания;
• сбои дисковых систем;
• сбои архивации данных;
• сбои работы серверов, рабочих станций, сетевых карт и т.д.

2. Потери информации из-за некоторой работы ПО:

• потеря или изменение данных при ошибках ПО;
• потеря при заражении системы компьютерными вирусами;

3. Потери, связанные с несанкционированным доступом:

• несанкционированное копирование, уничтожение или подделка информации;
• ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц;
• Потери информации, связанные с неправильным хранением архивных данных;

4. Ошибки обслуживающего персонала и пользователей:

• случайное уничтожение или изменение данных;
• некоторое использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.

      В зависимости от возможных видов  нарушений работы сети многочисленные виды защиты информации объединяются в три основных класса:

1. Средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т. д.
2. Программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.
3. Административные меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действия в чрезвычайных ситуациях и т. д.

     Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания програм-мных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д.

     Концентрация  информации в компьютерах - аналогично концентрации наличных денег в банках - заставляет все более усиливать  контроль в целях защиты информации. Юридические вопросы, частная тайна, национальная безопасность- все эти соображения требуют усиления внутреннего контроля в коммерческих организациях. Работы в этом направлении привели к появлению новой дисциплины: безопасность информации. Специалист в области безопасности информации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности, направленной на поддержание целостности, пригодности и конфиденциальности накопленной в организации информации. В его функции входит обеспечение физической (технические средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.

     Сложность создания системы защиты информации определяется тем, что данные могут  быть похищены из компьютера, и одновременно оставаться на месте; ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении.

     Обеспечение безопасности информации - дорогое  дело, и не столько из-за затрат на покупку или установку средств, сколько из-за того, что трудно квалифицированно определить границы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии.

     Если  сеть разрабатывалась в целях  совместного использования лицензионных программных средств, дорогих цветных принтеров или больших файлов общедоступной информации, то нет никакой потребности даже в минимальных системах шифрования/ дешифрования информации.

     Средства  защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности. Коммерческие организации все в большей степени переносят критическую корпоративную информацию с больших вычислительных систем в среду открытых систем и встречаются с новыми и сложными проблемами при реализации и эксплуатации системы безопасности. Сегодня все больше организаций разворачивают мощные распределенные базы данных и приложения клиент/сервер для управления коммерческими данными. При увеличении распределения возрастает также и риск неавторизованного доступа к данным и их искажения.

     Шифрование  данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации.[5,6]

3. Методы  и средства защиты информации в информационных системах

     Эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ).Важнейшим критерием выбора средств защиты информации является анализ практики применения этих средств.

     Под средством защиты информации понимается техническое, программное средство или материал, предназначенные или используемые для защиты информации. В настоящее время на рынке представлено большое разнообразие средств защиты информации, которые условно можно разделить на несколько групп:

• средства, обеспечивающие разграничение доступа к информации в автоматизированных системах;
• средства, обеспечивающие защиту информации при передаче ее по каналам связи;
• средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем;
• средства, обеспечивающие защиту от воздействия программ-вирусов;
• материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.

     Основное  назначение средств защиты первой группы - разграничение доступа к локальным и сетевым информационным ресурсам автоматизированных систем. СЗИ этой группы обеспечивают:

• идентификацию и аутентификацию пользователей автоматизированных систем;
• разграничение доступа зарегистрированных пользователей к информационным ресурсам;
• регистрацию действий пользователей;
• защиту загрузки операционной системы с гибких магнитных дисков и CD-ROM;
• контроль целостности СЗИ и информационных ресурсов.

     В качестве идентификаторов пользователей  применяются, как правило, условные обозначения в виде набора символов. Для аутентификации пользователей применяются пароли.

     Ввод  значений идентификатора пользователя и его пароля осуществляется по запросу СЗИ с клавиатуры. Многие современные СЗИ используют и другие типы идентификаторов - магнитные карточки, радиочастотные бесконтактные карточки, смарт-карточки, электронные таблетки Touch Memory и другие. Отдельно стоит сказать об использовании в качестве идентификатора индивидуальных биологических параметров (отпечаток пальца, радужная оболочка глаза), присущих каждому человеку. Использование в качестве идентификаторов индивидуальных биологических параметров характеризуется, с одной стороны, высшим уровнем конфиденциальности, а с другой - очень высокой стоимостью таких систем.

     Разграничение доступа зарегистрированных пользователей  к информационным ресурсам осуществляется СЗИ в соответствии с установленными для пользователей полномочиями. Как правило, СЗИ обеспечивают разграничение доступа к гибким и жестким дискам, логическим дискам, директориям, файлам, портам и устройствам. Полномочия пользователей устанавливаются с помощью специальных настроек СЗИ. По отношению к информационным ресурсам средствами защиты могут устанавливаться такие полномочия, как разрешение чтения, записи, создания, запуска исполняемых файлов и другие.

     Системы защиты информации предусматривают  ведение специального журнала, в котором регистрируются определенные события, связанные с действиями пользователей, например запись (модификация) файла, запуск программы, вывод на печать и другие, а также попытки несанкционированного доступа к защищаемым ресурсам и их результат.

     С развитием сетевых технологий появился новый тип СЗИ - межсетевые экраны (firewalls), которые обеспечивают решение  таких задач, как защита подключений к внешним сетям, разграничение доступа между сегментами корпоративной сети, защита корпоративных потоков данных, передаваемых по открытым сетям.

     Защита  информации при передаче ее по каналам  связи осуществляется средствами криптографической  защиты (СКЗИ). Характерной особенностью этих средств является то, что они  потенциально обеспечивают наивысшую  защиту передаваемой информации от несанкционированного доступа к ней. Помимо этого, СКЗИ обеспечивают защиту информации от модификации (использование цифровой подписи и имитовставки).

     Различают три пути предотвращения угрозы информационной безопасности:

• Правовые.
• Программно- технические.
• Организационно- экономические.