Obchodné informácie a ich ochrana. Informačná hrozba. Možnosti klasifikácie hrozieb

V septembri 2000 prezident Ruska podpísal „Doktrínu informačnej bezpečnosti Ruskej federácie“, na základe ktorej bol prijatý zákon o informáciách. Tento zákon rozlišuje tieto druhy informácií, ktoré patria pod ochranu štátu:

Kryptografické metódy:

Problém ochrany informácií ich transformáciou, s vylúčením ich čítania od cudzinca fascinuje ľudskú myseľ už od staroveku. História kryptografie je taká stará ako história ľudského jazyka. Navyše, pôvodne bolo samotné písanie kryptografickým systémom, keďže v starovekých spoločnostiach ho vlastnilo len pár vyvolených. Príkladom toho sú posvätné knihy starovekého Egypta a starovekej Indie.

S rozšíreným používaním písma sa kryptografia začala formovať ako samostatná veda. Prvé kryptosystémy sa nachádzajú už na začiatku nášho letopočtu. Caesar teda vo svojej korešpondencii už používal viac-menej systematickú šifru, ktorá dostala jeho meno.

Kryptografické systémy sa rýchlo rozvíjali v rokoch prvej a druhej svetovej vojny. Od povojnového obdobia až po súčasnosť nástup výpočtových nástrojov urýchlil vývoj a zdokonaľovanie kryptografických metód.

Prečo sa stal problém používania kryptografických metód v informačných systémoch (IS). v súčasnosti obzvlášť relevantné?

Na jednej strane sa zvýšilo najmä využívanie počítačových sietí globálnej siete Internet, cez ktorý sa prenáša veľké množstvo informácií štátneho, vojenského, obchodného a súkromného charakteru, ktorý neumožňuje prístup k nemu neoprávneným osobám.

Na druhej strane vznik nových výkonné počítače, sieťové a neurónové výpočtové technológie umožnili zdiskreditovať kryptografické systémy, ktoré boli donedávna považované za prakticky nezverejnené.

Problémom ochrany informácií ich transformáciou sa zaoberá kryptológia (kryptos – tajomstvo, logos – veda). Kryptológia sa delí na dve oblasti – kryptografiu a kryptoanalýzu. Ciele týchto smerov sú priamo opačné.

Kryptografia sa zaoberá vyhľadávaním a prieskumom matematické metódy transformácia informácií.

Sférou záujmu kryptoanalýzy je štúdium možnosti dešifrovania informácií bez znalosti kľúčov.

Moderná kryptografia zahŕňa štyri hlavné časti:

• 1. Symetrické kryptosystémy.
• 2. Kryptosystémy s verejným kľúčom.
• 3. Systémy elektronického podpisu.
• 4. Správa kľúčov.

Hlavnými smermi používania kryptografických metód sú prenos dôverných informácií cez komunikačné kanály (napríklad e-mail), autentifikácia prenášaných správ, ukladanie informácií (dokumenty, databázy) na šifrované médiá.

Systémy verejného kľúča:

Bez ohľadu na to, aké zložité a spoľahlivé sú kryptografické systémy, ich slabou stránkou pri praktickej implementácii je problém distribúcie kľúčov. Aby bolo možné vymeniť dôverné informácie medzi dvoma IP entitami, kľúč musí vygenerovať jedna z nich a potom ho nejakým spôsobom dôverne preniesť do druhej. Tie. vo všeobecnom prípade prenos kľúča opäť vyžaduje použitie nejakého kryptosystému.

Na vyriešenie tohto problému boli na základe výsledkov získaných klasickou a modernou algebrou navrhnuté systémy verejného kľúča.

Ich podstata spočíva v tom, že každý IP adresát generuje dva kľúče, ktoré spolu súvisia podľa určitého pravidla. Jeden kľúč je vyhlásený za verejný a druhý za súkromný. Verejný kľúč je zverejnený a dostupný každému, kto chce poslať správu príjemcovi. Tajný kľúč je udržiavaný v tajnosti.

Zdrojový text sa zašifruje verejným kľúčom príjemcu a odošle sa mu. Šifrovaný text v zásade nemožno dešifrovať rovnakým verejným kľúčom. Dešifrovanie správy je možné len pomocou súkromného kľúča, ktorý pozná iba adresát.

Kryptografické systémy s verejným kľúčom používajú takzvané ireverzibilné alebo jednosmerné funkcie, ktoré majú nasledujúcu vlastnosť: pre danú hodnotu X pomerne ľahko vypočítať f(x), ak však r=f(x), potom nie ľahká cesta na výpočet hodnoty X.

Sada tried ireverzibilných funkcií generuje celú škálu systémov verejného kľúča. Nie každá nevratná funkcia je však vhodná na použitie v skutočných integrovaných obvodoch.

V samotnej definícii nezvratnosti je neistota. Nevratnosť sa chápe nie ako teoretická nezvratnosť, ale ako praktická nemožnosť vypočítať recipročnú hodnotu pomocou moderných výpočtových nástrojov v predvídateľnom časovom intervale.

Preto, aby sa zaručilo spoľahlivú ochranu informácie, existujú dve dôležité a zrejmé požiadavky na systémy verejného kľúča (PKK):

• 1. Transformácia zdrojového textu musí byť nevratná a vylučovať jeho obnovenie na základe verejného kľúča.
• 2. Na súčasnej technologickej úrovni by tiež nemalo byť možné určiť súkromný kľúč na základe verejného. V tomto prípade je žiaduci presný nižší odhad zložitosti (počet operácií) rozlúštenia šifry.

Šifrovacie algoritmy s verejným kľúčom sú široko používané v moderných informačných systémoch. Algoritmus RSA sa tak stal de facto svetovým štandardom otvorené systémy a odporúčané CCITT.

Vo všeobecnosti sa všetky dnes ponúkané kryptosystémy s verejným kľúčom spoliehajú na jeden z nasledujúcich typov nevratných transformácií:

Rozklad veľkých čísel na prvočiniteľa.

Výpočet logaritmu v konečnom poli.

Výpočet koreňov algebraických rovníc.

Tu treba tiež poznamenať, že algoritmy kryptosystému verejného kľúča (PKC) možno použiť na tri účely.

• 1. Ako nezávislý prostriedok ochrany prenášaných a uchovávaných údajov.
• 2. Ako prostriedok distribúcie kľúčov. Algoritmy SOC sú náročnejšie na prácu ako tradičné kryptosystémy. Preto je v praxi často racionálne distribuovať kľúče pomocou RNS, ktorých objem ako informácie je zanedbateľný. A potom pomocou konvenčných algoritmov na výmenu veľkých informačných tokov.

Prostriedky autentifikácie užívateľa.

Elektronický podpis

V roku 1991 Národný inštitút pre štandardy a technológie (NIST) navrhol vtedy vznikajúci algoritmus digitálny podpis DSA (Digital Signature Algorithm) DSS (Digital Signature Standard) založený na algoritmoch ElGamal a RSA.

Aký je problém s autentifikáciou údajov?

Na koniec obyčajný list alebo listinu, podpisuje spravidla exekútor alebo zodpovedná osoba. Takáto akcia má zvyčajne dva účely. Po prvé, príjemca má možnosť overiť si pravdivosť listu porovnaním podpisu so vzorom, ktorý má. Po druhé, osobný podpis je zákonným garantom autorstva dokumentu. Posledné hľadisko je dôležité najmä pri uzatváraní rôznych druhov obchodných transakcií, vyhotovovaní splnomocnení, záväzkov atď.

Ak je veľmi ťažké sfalšovať podpis osoby na papieri a ide o technický detail zistiť autorstvo podpisu pomocou moderných forenzných metód, potom je situácia pri elektronickom podpise iná. Každý používateľ môže sfalšovať bitstring jednoduchým skopírovaním alebo v tichosti vykonať nezákonné opravy dokumentu.

Rozšírené v modernom svete elektronické formuláre dokumentov (vrátane dôverných) a prostriedkov ich spracovania, problém overenia pravosti a autorstva bezpapierovej dokumentácie sa stal obzvlášť aktuálnym.

V časti o kryptografických systémoch s verejným kľúčom sa to ukázalo so všetkými výhodami moderné systémyšifrovanie, neposkytujú autentifikáciu údajov. Preto by sa mali autentifikačné nástroje používať v kombinácii s kryptografickými algoritmami.

Niekedy nie je potrebné šifrovať prenesená správa, no treba ho zabezpečiť elektronickým podpisom. V tomto prípade je text zašifrovaný súkromným kľúčom odosielateľa a výsledný reťazec znakov je pripojený k dokumentu. Príjemca dešifruje podpis pomocou verejného kľúča odosielateľa a porovná ho s textom. V roku 1991 Národný inštitút pre štandardy a technológie (NIST) navrhol pre algoritmus digitálneho podpisu DSA (Digital Signature Algorithm), ktorý sa potom objavil ako štandard DSS (Digital Signature Standard), ktorý je založený na algoritmoch ElGamal a RSA.

Metódy ochrany informácií na internete:

V súčasnosti je najdôležitejšou témou internetu problém informačnej bezpečnosti. Sieť sa rýchlo rozvíja v celosvetovom meradle a čoraz viac sa rozširujú interné sieťové systémy (intranet, intranety). Vznik nového obrovského priestoru na trhu poslúžil ako podnet pre používateľov aj poskytovateľov sieťových služieb, aby hľadali spôsoby, ako zlepšiť bezpečnosť prenosu informácií cez internet.

Problém bezpečnosti internetu spadá do dvoch kategórií: všeobecná bezpečnosť a otázky spoľahlivosti finančných operácií. Úspešné vyriešenie finančných problémov by mohlo internetu otvoriť obrovské príležitosti na poskytovanie obchodných služieb. Do boja o vyriešenie tohto problému sa zapojili giganti v oblasti kreditných kariet MasterCard a Visa, ako aj lídri počítačového priemyslu Microsoft a Netscape. Toto všetko sa týka „peniaze“; náš článok je venovaný problému všeobecnej bezpečnosti.

Úlohou výskumu v tejto oblasti je vyriešiť problém dôvernosti. Vezmime si ako príklad prenos e-mailových správ z jedného SMTP servera na druhý. V niektorých prípadoch sú tieto správy jednoducho prepísané z jednej pevný disk na druhej strane ako obyčajné textové súbory, t.j. každý si ich môže prečítať. Obrazne povedané, mechanizmus doručovania e-mailov cez internet pripomína situáciu, keď vypranú bielizeň vešia na ulici namiesto vyžmýkania práčka. Nezáleží na tom, či správa nejaké obsahuje finančné informácie alebo nie; dôležité je nasledovné – akékoľvek informácie odoslané cez internet by mali byť neprístupné pre cudzincov.

Okrem súkromia používateľov sa to týka aj garancií, s ktorými sa teraz „rozprávajú“. Potrebujú si byť istí, že internetový server, s ktorým sú práve v relácii, je skutočne tým, za koho sa vydáva; nech je to server World Wide Web, FTP, IRC alebo čokoľvek iné. Nie je ťažké napodobniť (či už zo zábavy alebo s kriminálnym zámerom) nezabezpečený server a pokúsiť sa o vás zozbierať všetky informácie. A, samozrejme, poskytovatelia sieťových služieb sa chcú postarať aj o to, aby ľudia, ktorí ich kontaktujú kvôli určitým internetovým zdrojom, ako napr email a IRC služby, v skutočnosti tým, kým hovoria, že sú.

Metóda ochrana heslom:

Oprávnenosť požiadavky používateľa je určená heslom, ktorým je zvyčajne reťazec znakov. Metóda hesla sa považuje za dosť slabú, pretože heslo sa môže stať predmetom krádeže, odpočúvania, hrubej sily, hádania. Jednoduchosť metódy však podnecuje hľadanie možností na jej zlepšenie.

Na zlepšenie účinnosti ochrany heslom sa odporúča:

vyberte si heslo dlhšie ako 6 znakov, vyhýbajte sa bežným, ľahko uhádnuteľným slovám, menám, dátumom atď.;

• 1. používať špeciálne znaky;
• 2. heslá uložené na serveri, ktoré sa majú zašifrovať pomocou jednosmernej funkcie;
• 3. umiestnite súbor s heslami do špeciálne chránenej oblasti pamäte počítača, ktorá je uzavretá na čítanie používateľom;
• 4. hranice medzi susednými heslami sú maskované;
• 5. komentáre k súboru hesiel by sa mali uchovávať oddelene od súboru;
• 6. pravidelne meniť heslá;
• 7. zabezpečiť možnosť vynútenej zmeny hesiel systémom po určitom čase;
• 8. používať viaceré používateľské heslá: vlastné heslo, osobný identifikátor, heslo na uzamknutie/odomknutie zariadenia v prípade krátkodobej neprítomnosti atď.
• 9. Ako zložitejšie metódy hesiel sa používa náhodný výber znakov hesiel a jednorazové použitie hesiel. V prvom prípade je používateľovi (zariadeniu) pridelené dostatočne dlhé heslo a na identifikáciu sa vždy použije náhodne vybraná časť hesla. Pri jednorazovom použití hesla nie je používateľovi pridelené jedno, ale veľké množstvo heslá, z ktorých každé je použité podľa zoznamu alebo náhodne vybrané raz. V skutočne distribuovanom prostredí, kde majú používatelia prístup k viacerým serverom, databázam a dokonca aj právam vzdialeného prihlásenia, sa bezpečnosť stáva takou komplexnou, že ju administrátor môže vidieť iba v nočnej more.

Administratívne ochranné opatrenia:

Problém ochrany informácií sa rieši zavedením kontroly prístupu a diferenciáciou právomocí používateľov.

Bežným prostriedkom na obmedzenie prístupu (alebo obmedzenia oprávnenia) je systém hesiel. Je však nespoľahlivý. Skúsení hackeri môžu túto ochranu prelomiť, „nakuknúť“ cudzie heslo alebo vstúpiť do systému hrubou silou možné heslá, keďže veľmi často používajú mená, priezviská alebo dátumy narodenia používateľov. Spoľahlivejším riešením je organizovať riadenie prístupu do priestorov alebo ku konkrétnemu PC v LAN pomocou identifikačných plastových kariet rôznych typov.

Použitie plastových kariet s magnetickým prúžkom na tieto účely je sotva vhodné, pretože sa dajú ľahko sfalšovať. Vyšší stupeň spoľahlivosti poskytujú plastové karty s integrovaným mikroobvodom - takzvané mikroprocesorové karty (MP - cards, smart - card). Ich spoľahlivosť je spôsobená predovšetkým nemožnosťou kopírovania alebo falšovania remeselným spôsobom. Okrem toho sa pri výrobe kariet zadáva každý čip jedinečný kód, ktoré nie je možné duplikovať. Pri vydávaní karty používateľovi je na ňu aplikované jedno alebo viac hesiel, ktoré pozná iba jej vlastník. Pri niektorých typoch MP - kariet končí pokus o neoprávnené použitie ich automatickým "uzavretím". Ak chcete obnoviť výkon takejto karty, musíte ju predložiť príslušnému orgánu.

Inštalácia špeciálnej čítačky MP - kariet je možná nielen pri vstupe do priestorov, kde sa nachádzajú počítače, ale aj priamo na pracovných staniciach a sieťových serveroch.

Ochrana firemných informácií:

Pri riešení tohto problému sa však podniky často riadia dodávateľskými spoločnosťami, ktoré propagujú jeden alebo viacero produktov, ktoré spravidla riešia konkrétne problémy. Nižšie uvažujeme o najbežnejších prístupoch úplné riešenieúlohy informačnej bezpečnosti.

Väčšina typická chyba pri budovaní ochranného systému existuje túžba chrániť všetko a pred všetkým naraz. V skutočnosti ide o definíciu potrebných informácií (súbory, adresáre, disky) a ďalšie objekty informačnú štruktúru ktoré chcete chrániť – prvý krok pri budovaní systému informačnej bezpečnosti. Mali by ste začať s definíciou tohto zoznamu: mali by ste odhadnúť, aká veľká je strata (vymazanie alebo krádež) konkrétnej databázy alebo napríklad jednoduchej databázy. pracovná stanica počas dňa.

Druhým krokom je identifikácia zdrojov hrozieb. Spravidla je ich niekoľko. Identifikovať zdroj ohrozenia znamená vyhodnotiť jeho ciele (ak je zdroj úmyselný) alebo možný dopad (neúmyselný), pravdepodobnosť (alebo intenzitu) jeho výskytu. Ak hovoríme o zlomyseľnom konaní osoby (alebo skupiny osôb), potom je potrebné vyhodnotiť jej organizačné a technické možnosti pre prístup k informáciám (napokon, útočníkom môže byť aj zamestnanec firmy).

Po identifikácii zdroja hrozieb je možné formulovať hrozby pre informačnú bezpečnosť. Teda, čo sa môže stať s informáciami. Spravidla je zvykom rozlišovať nasledujúce skupiny vyhrážky:

• § nepovolený prístup k informáciám (čítanie, kopírovanie alebo zmena informácií, ich falšovanie a ukladanie);
• § nefunkčnosť počítačov a aplikačných programov
• § Zničenie informácií.

V každej z týchto troch skupín možno identifikovať desiatky konkrétnych hrozieb, no zastavme sa teraz pri tom. Poznamenávame len, že hrozby môžu byť úmyselné a náhodné, a náhodné, naopak, prírodné (napríklad prírodné katastrofy) a umelé (chybné činy personálu). Náhodné hrozby, ktoré neobsahujú nekalé úmysly, sú väčšinou nebezpečné len z hľadiska straty informácií a narušenia systému, proti čomu sa dá celkom jednoducho poistiť. Úmyselné hrozby sú z hľadiska straty pre podnikanie závažnejšie, pretože tu musíte bojovať nie so slepou (hoci nemilosrdnou svojou silou) šancou, ale s mysliacim nepriateľom.

Je užitočné vybudovať ochranný systém s princípmi ochrany, ktoré sú celkom univerzálne pre rôzne druhy tematické oblasti(ženijná podpora v armáde, fyzická bezpečnosť osôb a území a pod.)

• § Adekvátnosť (primeraná dostatočnosť). Celkové náklady na ochranu (čas, ľudské a finančné zdroje) musia byť nižšie ako náklady na chránené zdroje. Ak je obrat firmy 10 000 dolárov mesačne, sotva má zmysel nasadzovať systém za milión dolárov (a rovnako aj naopak).
• § Dôslednosť. Dôležitosť tohto princípu je evidentná najmä pri výstavbe veľkých ochranných systémov. Spočíva v tom, že systém ochrany by sa nemal budovať abstraktne (ochrana proti všetkému), ale na základe analýzy hrozieb, prostriedkov ochrany pred týmito hrozbami, hľadania optimálnej zostavy týchto nástrojov a konštrukcie systém.
• § Transparentnosť pre legitímnych používateľov. Zavedenie bezpečnostných mechanizmov (najmä autentifikácie používateľov) nevyhnutne vedie ku komplikáciám ich konania. Žiadny mechanizmus by však nemal vyžadovať nemožné akcie (napríklad prísť s 10-ciferným heslom každý týždeň a nikam si ho nezapisovať) alebo zdržiavať procedúru prístupu k informáciám.
• § Rovnosť odkazov. Väzby sú prvky obrany, pričom prekonať ktorýkoľvek z nich znamená prekonať celú obranu. Je jasné, že slabosť niektorých väzieb nemožno kompenzovať posilňovaním iných. V každom prípade sila obrany (resp. jej úroveň, pozri nižšie) je určená silou najslabšieho článku. A ak je nelojálny zamestnanec pripravený „hodiť cenné informácie na disketu“ za 100 dolárov, potom je nepravdepodobné, že by útočník vytvoril komplexný hackerský útok na dosiahnutie rovnakého cieľa.
• § Kontinuita. Vo všeobecnosti rovnaká stabilita, len v časovej oblasti. Ak sa rozhodneme, že niečo a nejako ochránime, tak to musíme takto chrániť v každom okamihu. Nemôžete sa napríklad rozhodnúť zálohovať informácie v piatok a dohodnúť si „čistenie“ na posledný piatok v mesiaci. Zákon podlosti je neúprosný: presne v momente, keď sa oslabia opatrenia na ochranu informácií, stane sa to, čomu sme sa bránili. Dočasné zlyhanie v obrane, ako aj slabý článok robí to bezvýznamným.
• § Viacúrovňové. Viacúrovňová ochrana sa nachádza všade, stačí sa túlať ruinami stredovekej pevnosti. Prečo je ochrana postavená na niekoľkých úrovniach, ktoré musí prekonať útočník aj legálny používateľ (čo je, samozrejme, jednoduchšie)? Žiaľ, vždy existuje možnosť, že niektorú úroveň možno prekonať buď v dôsledku nepredvídaných nehôd alebo s nenulovou pravdepodobnosťou. jednoduchá matematika navrhuje: ak jedna úroveň zaručuje 90% ochranu, potom tri úrovne (v žiadnom prípade sa navzájom neopakujú) vám poskytnú 99,9%. Toto je mimochodom rezerva úspor: oddelením lacných a relatívne nespoľahlivých prostriedkov ochrany možno dosiahnuť veľmi vysoký stupeň ochrany s malým krviprelievaním.

Zohľadnenie týchto zásad pomôže vyhnúť sa zbytočným výdavkom pri budovaní systému informačnej bezpečnosti a zároveň dosiahnuť skutočne vysokú úroveň bezpečnosti podnikových informácií.

Hodnotenie účinnosti ochranných systémov softvér

Systémy ochrany softvéru sú rozšírené a neustále sa vyvíjajú vďaka expanzii trhu so softvérom a telekomunikačnými technológiami. Potreba používať systémy ochrany softvéru (PS) je spôsobená množstvom problémov, medzi ktorými je potrebné zdôrazniť: nezákonné používanie algoritmov, ktoré sú duševným vlastníctvom autora pri písaní analógov produktov (priemyselná špionáž); neoprávnené používanie softvéru (krádež a kopírovanie); neoprávnené úpravy softvéru za účelom zavedenia zneužitia softvéru; nelegálne šírenie a predaj softvéru (pirátstvo).

Systémy ochrany softvéru podľa spôsobu inštalácie možno rozdeliť na systémy inštalované na zostavených softvérových moduloch; systémy vložené do zdrojového kódu softvéru pred kompiláciou; a kombinované.

Systémy prvého typu sú pre výrobcu softvéru najpohodlnejšie, pretože je ľahké chrániť už plne pripravený a otestovaný softvér (proces inštalácie ochrany je zvyčajne čo najviac automatizovaný a spočíva v zadaní názvu chráneného súboru a stlačením "Enter"), a preto je najobľúbenejší. Odolnosť týchto systémov je zároveň pomerne nízka (v závislosti od princípu činnosti SS), pretože na obídenie ochrany stačí určiť koncový bod ochrannej „obálky“ a preniesť riadenie na chránený program a potom ho násilne uložiť v nechránenej podobe.

Systémy druhého typu sú pre výrobcu softvéru nepohodlné, pretože je potrebné zaškoliť personál na prácu softvérové ​​rozhranie(API) ochranné systémy s výslednými nákladmi a časom. Okrem toho sa proces testovania softvéru stáva komplikovanejším a znižuje sa jeho spoľahlivosť, keďže okrem samotného softvéru môžu byť chyby obsiahnuté aj v API ochranného systému alebo postupoch, ktoré ho používajú. Takéto systémy sú ale odolnejšie voči útokom, pretože tu sa stráca jasná hranica medzi systémom ochrany a P.O.

Na ochranu softvéru sa používa množstvo metód, ako napríklad:

• § Obfuskačné algoritmy - používajú sa chaotické prechody do rôznych častí kódu, zavádzanie falošných procedúr - "figuríny", nečinné cykly, skreslenie počtu reálnych parametrov softvérových procedúr, rozptyl sekcií kódu v rôznych oblastiach RAM , atď.
• § Mutačné algoritmy - tabuľky zhody operandov - vytvárajú sa synonymá a navzájom sa nahrádzajú pri každom spustení programu podľa určitej schémy resp. náhodne, náhodné zmeny v štruktúre programu.
• § Algoritmy kompresie dát - program sa zbalí a rozbalí pri spustení.
• § Algoritmy šifrovania údajov - program je zašifrovaný a potom dešifrovaný počas jeho vykonávania.
• § Výpočet komplexu matematické výrazy v procese vypracúvania ochranného mechanizmu - prvky logiky ochrany závisia od výsledku výpočtu hodnoty akéhokoľvek vzorca alebo skupiny vzorcov.
• § Obtiažne techniky demontáže – používané rôzne triky, zameraný na zabránenie demontáže v dávkovom režime.
• § Techniky na sťaženie ladenia – na sťaženie ladenia programu sa používajú rôzne triky.
• § Emulácia procesorov a operačných systémov - vytvorí sa virtuálny procesor a/alebo operačný systém (nie nevyhnutne skutočný) a prekladateľský program z príkazového systému IBM do príkazového systému vytvoreného procesora alebo OS, po takomto preklade sa softvér je možné spustiť iba pomocou emulátora, ktorý je ostrý a sťažuje štúdium softvérového algoritmu.
• § Neštandardné metódy práce s hardvérom - moduly ochranného systému pristupujú k hardvéru počítača, obchádzajú postupy operačného systému a využívajú jeho málo známe alebo nezdokumentované možnosti.

Moderné metódy spracovania, prenosu a akumulácie informácií prispeli k vzniku hrozieb spojených s možnosťou straty, skreslenia a zverejnenia údajov adresovaných alebo patriacich koncovým používateľom. Preto je zaistenie informačnej bezpečnosti počítačových systémov a sietí jedným z popredných smerov rozvoja IT.

Uvažujme o základných pojmoch informačnej bezpečnosti a informačnej bezpečnosti počítačových systémov a sietí, berúc do úvahy definície GOST R 50922-96.

Ochrana dát - ide o činnosť, ktorá má zabrániť úniku chránených informácií, neoprávneným a neúmyselným zásahom do chránených informácií.

Predmet ochrany - informácie, nosič informácií resp informačný proces, vzhľadom na ktoré je potrebné poskytnúť ochranu v súlade s cieľom ochrany informácií.

Účelom informačnej bezpečnosti je toto je želaný výsledok informačnej bezpečnosti. Účelom ochrany informácií môže byť zabránenie poškodeniu vlastníka, vlastníka, používateľa informácií v dôsledku možného úniku informácií a/alebo neoprávneného a neúmyselného zásahu do informácií.

Účinnosť informačnej bezpečnosti - miera súladu výsledkov ochrany informácií s cieľom.

Ochrana informácií pred únikom -činnosti na zamedzenie nekontrolovaného šírenia chránených informácií od ich zverejnenia, neoprávneného prístupu (UAS) k chráneným informáciám a prijímania chránených informácií narušiteľmi.

Ochrana informácií pred zverejnením -činnosti na zamedzenie neoprávneného oznamovania chránených informácií nekontrolovanému počtu príjemcov informácií.

Ochrana informácií pred neoprávneným prístupom -činnosti na zamedzenie prijímania chránených informácií zainteresovaným subjektom v rozpore s právami ustanovenými právnymi dokumentmi alebo vlastníkom alebo vlastníkom informácií o právach alebo pravidlách prístupu k chráneným informáciám. Zainteresovaným subjektom vykonávajúcim UA k chráneným informáciám môže byť štát, právnická osoba, skupina fyzických osôb vrátane verejnej organizácie, fyzická osoba.

Systém informačnej bezpečnosti - súbor orgánov a/alebo výkonných osôb, nimi používané technológie informačnej bezpečnosti, ako aj predmety ochrany organizované a fungujúce podľa pravidiel ustanovených príslušnými právnymi, organizačnými a administratívnymi a normatívne dokumenty o ochrane informácií.

Pod informačná bezpečnosť rozumieť ochrane informácií pred nezákonným prístupom, transformáciou a zničením, ako aj bezpečnosťou informačné zdroje od vplyvov smerujúcich k narušeniu ich výkonu. Povaha týchto vplyvov môže byť veľmi rôznorodá.

Ide o pokusy o prienik votrelcov a personálne chyby, zlyhania hardvéru a softvéru a prírodné katastrofy (zemetrasenie, hurikán, požiar) atď.

Moderné automatizovaný systém(AC) spracovávanie informácií predstavuje komplexný systém, pozostávajúci z veľkého množstva komponentov rôzneho stupňa autonómie, ktoré sú vzájomne prepojené a vymieňajú si dáta. Prakticky každý komponent môže byť podrobený vonkajší vplyv alebo zlyhať. AC komponenty možno rozdeliť do nasledujúcich skupín:

• hardvér - počítače a ich komponenty (procesory, monitory, terminály, periférií- diskové jednotky, tlačiarne, radiče, káble, komunikačné linky atď.);
• softvér - zakúpené programy, zdroj, objekt, zavádzacie moduly; OS a systémové programy (kompilátory, linkery atď.), pomocné programy, diagnostické programy atď.;
• údaje - dočasne a trvalo uložené na magnetických nosičoch, tlačených, archívoch, systémové denníky atď.;
• personál - servisný personál a používatelia.

Jedným zo znakov zabezpečenia informačnej bezpečnosti v AS je, že také abstraktné pojmy ako informácie, objekty a subjekty systému zodpovedajú fyzickým reprezentáciám v počítačového prostredia:

• na prezentáciu informácií - strojové pamäťové médium ako externých zariadení počítačové systémy (terminály, tlačové zariadenia, rôzne mechaniky, komunikačné linky a kanály), RAM, súbory, záznamy atď.;
• systémové objekty - pasívne komponenty systému, ktoré uchovávajú, prijímajú alebo prenášajú informácie. Prístup k objektu znamená prístup k informáciám, ktoré obsahuje;
• subjekty systému - aktívne zložky systémy, ktoré môžu spôsobiť tok informácií od objektu k subjektu alebo zmenu stavu systému. Subjektmi môžu byť používatelia, aktívne programy a procesy.

Informačná bezpečnosť počítačových systémov sa dosahuje zabezpečením dôvernosti, integrity a spoľahlivosti spracúvaných údajov, ako aj dostupnosti a integrity informačných komponentov a systémových prostriedkov. Uvedených vyššie základné vlastnosti informácie potrebujú komplexnejší výklad.

Ochrana osobných údajov - je to stav udelený údajom a určuje stupeň požadovanej ochrany. Dôverné údaje môžu zahŕňať napríklad: osobné údaje používateľov; účty(mená a heslá); informácie o kreditných kartách; vývojové údaje a rôzne interné dokumenty; účtovné informácie. Dôverné informácie by mali poznať iba oprávnené a overené (oprávnené) subjekty systému (používatelia, procesy, programy). Pre ostatné subjekty systému by táto informácia mala byť neznáma.

Stanovenie stupňov dôležitosti ochrany chránených informácií (predmetu ochrany) je tzv kategorizácia chránených informácií.

Pod informačnú integritu sa vzťahuje na vlastnosť informácie zachovať si svoju štruktúru a/alebo obsah v procese prenosu a uchovávania. Integrita informácií je zabezpečená vtedy, ak sa údaje v systéme sémanticky nelíšia od údajov v zdrojových dokumentoch, teda ak neboli náhodne alebo zámerne skreslené alebo zničené. Zabezpečenie integrity údajov je jednou z komplexných úloh informačnej bezpečnosti.

Spoľahlivosť informácií - vlastnosť informácie, vyjadrená v prísnej príslušnosti k subjektu, ktorý je jeho zdrojom, alebo k subjektu, od ktorého sú tieto informácie prijímané.

Právny význam informácie znamená, že dokument, ktorý je nositeľom informácie, má právnu silu.

Dostupnosť údajov. Používateľ môže pracovať s dátami, len ak k nim má prístup.

Prístup k informáciám - získanie možnosti subjektu oboznámiť sa s informáciami, a to aj pomocou technických prostriedkov. Predmet prístupu k informáciám -účastníkom právnych vzťahov v informačných procesoch.

Efektívnosť prístupu k informáciám - je to schopnosť informácie alebo nejakého informačného zdroja byť dostupné konečnému užívateľovi v súlade s jeho prevádzkovými potrebami.

Vlastník informácií - subjekt plne uplatňujúci oprávnenia uchovávať, využívať, nakladať s informáciami v súlade s legislatívnymi predpismi.

Vlastník informácií - subjekt, ktorý vlastní a používa informácie a vykonáva oprávnenie nakladať v rámci práv ustanovených zákonom a/alebo vlastník informácií.

Používateľ (informácie pre spotrebiteľa - subjekt využívajúci informácie prijaté od jeho vlastníka, vlastníka alebo sprostredkovateľa v súlade s ustanovené práva a pravidiel prístupu k informáciám alebo s ich porušovaním.

Právo na prístup k informáciám - súbor pravidiel pre prístup k informáciám ustanovený právnymi dokumentmi alebo vlastníkom alebo držiteľom informácií.

Pravidlo prístupu k informáciám - súbor pravidiel upravujúcich postup a podmienky prístupu subjektu k informáciám a ich nosičom.

Rozlišujte medzi autorizovaným a neoprávneným prístupom k informáciám.

Autorizovaný prístup k informáciám je prístup k informáciám, ktorý neporušuje stanovené pravidlá kontroly prístupu. Pravidlá kontroly prístupu sa používajú na reguláciu práva na prístup ku komponentom systému.

Nepovolený prístup k informácii - porušenie zavedené pravidlá Riadenie prístupu. Osoba alebo proces, ktorý vykonáva neoprávnený prístup k informáciám, je porušovateľom pravidiel kontroly prístupu. NSD je najbežnejším typom počítačového porušenia.

Za ochranu počítačového systému pred neoprávneným prístupom k informáciám je zodpovedný bezpečnostného správcu.

Dostupnosť informácií tiež znamená dostupnosť komponentov alebo zdroj počítačový systém, t. j. vlastnosť komponentu alebo zdroja, aby bol dostupný legitímnym subjektom systému. Orientačný zoznam zdrojov, ktoré môžu byť k dispozícii, zahŕňa: tlačiarne, servery, pracovné stanice, používateľské údaje a všetky dôležité údaje potrebné na prevádzku.

Integrita zdrojov alebo komponent systému - je vlastnosťou zdroja alebo komponentu byť sémanticky nezmenený počas fungovania systému v podmienkach náhodného alebo zámerného skreslenia alebo deštruktívnych vplyvov.

S prístupom k informáciám a systémovým zdrojom je spojená skupina takých dôležitých pojmov ako identifikácia, autentifikácia, autorizácia. Každý subjekt systému (siete) je spojený s nejakými informáciami (číslo, reťazec znakov), ktoré subjekt identifikujú. Táto informácia je identifikátor subjekt systému (sieť). Subjekt s registrovaným IČO je legálne (právnická osoba. Identifikácia predmetu - ide o postup na rozpoznanie subjektu podľa jeho identifikátora. Identifikácia sa vykonáva, keď sa subjekt pokúša prihlásiť do systému (siete). ďalši krok interakcia systému so subjektom je autentifikácia subjektu. Autentifikácia predmetu - ide o autentifikáciu subjektu s daným id. Autentizačný postup určuje, či je subjekt presne tým, za koho sa vydáva. Po identifikácii a autentifikácii subjektu sa vykoná autorizačný proces. Autorizácia predmetu - ide o postup na udelenie právnickej osoby, ktorá úspešne prešla identifikáciou a autentifikáciou, príslušné oprávnenie a dostupné zdroje systému (siete).

Pod bezpečnostná hrozba AS sa chápe ako možné konanie, ktoré môže priamo alebo nepriamo poškodiť jeho bezpečnosť. Bezpečnostná škoda znamená porušenie stavu bezpečnosti informácií obsiahnutých a spracovávaných v systéme (sieti). Pojem zraniteľnosť počítačového systému (siete) úzko súvisí s pojmom bezpečnostná hrozba. Zraniteľnosť počítačového systému - je to inherentná nešťastná vlastnosť systému, ktorá môže viesť k realizácii hrozby. Útok na počítačovom systéme je vyhľadávanie a/alebo použitie jedného alebo druhého systémového zraniteľného miesta útočníkom. Inými slovami, útok je implementácia bezpečnostnej hrozby.

Boj proti bezpečnostným hrozbám je cieľom ochrany počítačových systémov a sietí.

Zabezpečený systém - je to systém s bezpečnostnými prvkami, ktorý úspešne a efektívne čelí bezpečnostným hrozbám.

Spôsob ochrany informácií - postup a pravidlá uplatňovania určitých zásad a prostriedkov ochrany informácií.

Nástroj informačnej bezpečnosti - technický, softvérový nástroj, látka a/alebo materiál určený alebo používaný na ochranu informácií

Komplex prostriedkov ochrany(KSZ) - súbor softvéru a hardvéru vytvorený a udržiavaný na zabezpečenie informačnej bezpečnosti systému (siete). SSC sa vytvára a udržiava v súlade s bezpečnostnou politikou prijatou organizáciou.

Technológia informačnej bezpečnosti - prostriedky ochrany informácií, prostriedky sledovania účinnosti ochrany informácií, prostriedky a kontrolné systémy určené na zabezpečenie ochrany informácií.

Firemné siete sú distribuované automatizované systémy (AS), ktoré spracúvajú informácie. Zaistenie bezpečnosti AÚ zahŕňa organizáciu boja proti akémukoľvek neoprávnenému zásahu do procesu fungovania AÚ, ako aj pokusy o úpravu, odcudzenie, znefunkčnenie alebo zničenie jej komponentov, teda ochranu všetkých komponentov AÚ – hardvér, softvér ( softvér), údaje a personál. Špecifický prístup k problému zaistenia bezpečnosti vychádza z bezpečnostnej politiky vypracovanej pre AÚ.

Bezpečnostná politika - ide o súbor noriem, pravidiel a praktických odporúčaní, ktoré upravujú fungovanie ochrany počítačového systému pred daným súborom hrozieb. Podrobnejšie informácie o typoch bezpečnostnej politiky a procese jej tvorby sú uvedené v kap. 3.

Obchodné tajomstvo. Oficiálne tajomstvo. profesionálne tajomstvá. Osobné údaje.

Základné pojmy a pojmy:

Obchodné (úradné) tajomstvo

Osobné údaje

Profesionálne tajomstvo

S rozvojom informačnej spoločnosti sa problémy spojené s ochranou dôverných informácií stávajú čoraz dôležitejšími. V súčasnosti nie sú tieto otázky v ruskej legislatíve úplne a systematicky vyriešené. Podrobná klasifikácia dôverných informácií, ako je uvedené vyššie, je uvedená v zozname dôverných informácií ustanovenom vyhláškou prezidenta Ruskej federácie zo 6. marca 1997 č. 188. Ďalej sa budeme podrobnejšie zaoberať niektorými typmi dôverných informácií. informácie.

obchodné tajomstvo

Obchodná činnosť organizácie úzko súvisí s prijímaním, zhromažďovaním, uchovávaním, spracovaním a využívaním rôznych informácií. Nie všetky informácie podliehajú ochrane, ale len tie, ktoré majú pre organizáciu hodnotu. Pri určovaní hodnoty komerčných informácií je potrebné vychádzať z ich vlastností ako sú užitočnosť, aktuálnosť a spoľahlivosť.

Užitočnosť informácií spočíva v tom, že vytvárajú priaznivé podmienky na to, aby sa subjekt mohol rýchlo rozhodnúť a dosiahnuť efektívny výsledok. Na druhej strane, užitočnosť informácií závisí od ich včasného prijatia a komunikácie s účinkujúcim. V dôsledku včasného prijatia informácií dôležitých v ich obsahu sa často stráca príležitosť uzavrieť výhodný obchod alebo iný obchod.

Kritériá užitočnosti a aktuálnosti sú úzko prepojené a vzájomne závislé s kritériom spoľahlivosti informácií. Dôvody pre vznik nepravdivých informácií sú rôzne: nesprávne vnímanie (v dôsledku klamu, nedostatku skúseností alebo odborných znalostí) skutočností alebo úmyselné, uskutočnené za konkrétnym účelom, ich skreslenie. Preto by informácie obchodného záujmu, ako aj zdroj ich prijatia, mali spravidla podliehať krížovej kontrole.

Vlastník obchodných informácií na základe kombinácie vyššie uvedených kritérií určí ich hodnotu pre svoju ekonomickú činnosť a urobí vhodné operatívne rozhodnutie.

V zahraničnej ekonomickej literatúre sa komerčné informácie nepovažujú za prostriedok dosahovania zisku, ale v prvom rade za podmienku, ktorá zisk podporuje alebo bráni. Osobitne sa zdôrazňuje prítomnosť nákladového faktora komerčných informácií, t.j. spôsobilosť vystupovať ako predmet predaja. V kontexte vývoja rôznych foriem vlastníctva je preto otázka určenia, či informácie patria konkrétnemu podnikateľskému subjektu na základe práv duševného vlastníctva, a v dôsledku toho, či má právo ich chrániť. veľký význam.

Vymedzenie a otázky občianskoprávnej ochrany úradného a obchodného tajomstva v ruskej legislatíve sa nelíšia a rozoberá ich čl. 139 prvej časti Občianskeho zákonníka Ruskej federácie s názvom „Úradné a obchodné tajomstvá“:

„Informácia predstavuje oficiálne alebo obchodné tajomstvo v prípade, ak má informácia skutočnú alebo potenciálnu komerčnú hodnotu z dôvodu jej neznámosti pre tretie strany, nie je k nej voľný prístup na právnom základe a vlastník informácií prijíma opatrenia na ochranu jeho dôvernosti. Informácie, ktoré nemôžu predstavovať služobné alebo obchodné tajomstvo, určí zákon a iné právne predpisy.

Informácie, ktoré predstavujú oficiálne alebo obchodné tajomstvo, budú chránené metódami ustanovenými v tomto kódexe a iných zákonoch.

Osoby, ktoré neoprávnene získali informácie, ktoré predstavujú služobné alebo obchodné tajomstvo, sú povinné nahradiť spôsobené škody. Rovnakú povinnosť majú zamestnanci, ktorí prezradili služobné alebo obchodné tajomstvo v rozpore s pracovnou zmluvou vrátane zmluvy, a dodávatelia, ktorí tak urobili v rozpore s občianskoprávnou zmluvou.

Zabezpečenie ochrany štátneho tajomstva priamo nesúvisí s ochranou obchodného tajomstva. Treba však poukázať na niektoré možné výnimky. Pod ochranu štátu možno vziať obchodné informácie, ktoré sú hodnotené ako mimoriadne dôležité nielen pre ich vlastníka, ale aj pre štát, ak je možné, že o ne prejaví záujem cudzia spravodajská služba. Otázka takejto ochrany by mala byť riešená na zmluvnom základe medzi podnikateľom a federálnou bezpečnostnou agentúrou s určením limitov a funkcií odborných činností tejto federálnej bezpečnostnej agentúry. Čo sa týka samotného obchodného tajomstva, to nemá osobitnú trestno-právnu a režimovú ochranu.

Skutočná alebo potenciálna komerčná hodnota informácií je do značnej miery subjektívna a umožňuje podnikateľovi obmedziť prístup prakticky ku všetkým informáciám používaným pri podnikateľskej činnosti, s výnimkou informácií určených právnymi a regulačnými aktmi.

Ktoré informácie nemôžu byť obchodným tajomstvom? V nariadení vlády RSFSR z 5. decembra 1991 č. 35 „O zozname informácií, ktoré nemôžu byť obchodným tajomstvom“ sa uvádza:

Zakladajúce dokumenty (rozhodnutie o založení podniku alebo dohoda zakladateľov) a zakladateľská listina;

Dokumenty oprávňujúce na podnikanie (činnosti (registračné osvedčenia, licencie, patenty);

Informácie o ustanovených formách vykazovania finančnej a hospodárskej činnosti a ďalšie informácie potrebné na overenie správnosti výpočtu a platenia daní a iných povinných platieb do systému štátneho rozpočtu RSFSR;

dokumenty o solventnosti;

Informácie o počte, zložení zamestnancov, ich mzdách a pracovných podmienkach, ako aj o dostupnosti voľných pracovných miest;

Doklady o zaplatení daní a povinných platieb;

Informácie o znečisťovaní životného prostredia, porušovaní protimonopolných zákonov, nedodržiavaní pravidiel bezpečné podmienky práce, predaj výrobkov škodlivých pre zdravie obyvateľstva, ako aj iné porušenia právnych predpisov RSFSR a výška škody spôsobenej v tomto prípade;

Informácie o účasti funkcionárov podniku v družstvách, malých podnikoch, spoločenstvách, akciových spoločnostiach, združeniach a iných organizáciách podnikajúcich.

Ten istý normatívny akt zakazuje štátnym a komunálnym podnikom pred a počas ich privatizácie klasifikovať tieto údaje ako obchodné tajomstvo:

O veľkosti majetku podniku a jeho hotovosti;

o investovaní do výnosových aktív (cenných papierov) iných podnikov, do úročených dlhopisov a pôžičiek, do schválených fondov spoločných podnikov;

o úverových, obchodných a iných záväzkoch podniku vyplývajúcich z právnych predpisov RSFSR a zmlúv ním uzatvorených;

O dohodách s družstvami, inými neštátnymi podnikmi, tvorivými kolektívmi a kolektívmi dočasnej práce, ako aj jednotlivými občanmi.

Je potrebné poznamenať, že obmedzenia uložené na používanie informácií tvoriacich obchodné tajomstvo sú zamerané na ochranu duševného, ​​materiálneho, finančného vlastníctva a iných záujmov, ktoré vznikajú pri vytváraní pracovnej činnosti organizácie, zamestnancov oddelení, ako aj pri ich spolupráci s pracovníkmi iných organizácií.

Účelom takýchto obmedzení je zabrániť zverejneniu, úniku alebo neoprávnenému prístupu k dôverným informáciám. Obmedzenia musia byť primerané a opodstatnené z hľadiska potreby zaistenia informačnej bezpečnosti. Obmedzeniami nie je dovolené zakrývať chyby a nekompetentnosť vedenia organizácie, márnotratnosť, nekalú súťaž a iné negatívne javy v činnosti organizácie, ako aj obchádzať zmluvné záväzky a platiť dane.

Oficiálne tajomstvo

Ak je hlavným cieľom zabezpečenia dôvernosti informácií tvoriacich obchodné tajomstvo zabezpečiť konkurenčnú výhodu, potom ochrana dôvernosti služobného tajomstva môže mať vplyv na obchodné záujmy organizácie, ale hlavnou úlohou je zabezpečiť záujmy zákazníkov alebo ich vlastných záujmov, ktoré priamo nesúvisia s komerčnými aktivitami. Informácie súvisiace s opatreniami na zaistenie bezpečnosti zamestnancov organizácie, ochrany skladových a iných priestorov a pod., ktoré priamo nesúvisia s vykonávaním predmetných činností, by teda mali byť klasifikované ako služobné, a nie obchodné tajomstvo.

V súčasnosti je inštitút služobného tajomstva vo vnútroštátnom práve najmenej rozvinutý. V tomto probléme možno rozlíšiť tri súbory otázok.

Po prvé, na legislatívnej úrovni je potrebné vyriešiť otázky „hraničných“ a „odvodených“ informácií. „Hraničné“ informácie sú také oficiálne informácie v akomkoľvek odvetví vedy, techniky, výroby a manažmentu, ktoré sa pri určitom zovšeobecnení a integrácii stávajú štátnym tajomstvom. "Odvodené" informácie - servisné informácie získané ako výsledok drvenia informácií, ktoré tvoria štátne tajomstvo, do samostatných komponentov, z ktorých každý mu nemožno pripísať.

Po druhé, osobitná právna úprava vyžaduje ochranu informácií vznikajúcich pri činnosti orgánov verejnej moci a správy. Na vytvorenie administratívno-právneho inštitútu služobného tajomstva by mal byť prijatý osobitný zákon, ktorého účinnosť by sa mala vzťahovať na všetky úrovne systému verejnej správy.

Po tretie, určitá kategória významných informácií subjektov občianskoprávnych vzťahov si vyžaduje ochranu. Ide o právnu ochranu informácií, ktoré v činnosti organizácií nemožno klasifikovať ako obchodné tajomstvo, napriek tomu, že v Občianskom zákonníku Ruskej federácie je pojem služobného tajomstva priamo spojený so skutočnou alebo potenciálnou obchodnou hodnotou. informácií.

Treba poznamenať, že v súčasnosti sa uplatňuje zjednodušený prístup: akékoľvek informácie o obchodných aktivitách organizácie, ku ktorým je obmedzený prístup, sú klasifikované ako obchodné tajomstvo. S týmto prístupom však môže byť ťažké určiť materiálne škody a ušlý zisk v prípade nezákonného šírenia dôverných informácií, napríklad informácií o bezpečnostnom režime organizácie alebo iných aspektoch jej fungovania, ktoré priamo nesúvisia s vykonávanie podstatných činností. Tieto informácie však musia byť chránené, pretože. komerčný úspech organizácie do značnej miery závisí od obmedzenia prístupu k nim.

Profesionálne tajomstvá

V súlade s platnou legislatívou sú služobným tajomstvom informácie súvisiace so služobnou činnosťou zdravotníckych pracovníkov, notárov, advokátov, súkromných detektívov, duchovných, zamestnancov bánk, matričných úradov a poisťovní. Subjektom služobného tajomstva môže byť právnická aj fyzická osoba.

Dôvernosť informácií získaných v súvislosti s výkonom profesijných funkcií vyplýva predovšetkým z noriem profesijnej etiky, a nie z vlastných obchodných záujmov podnikateľa alebo organizácie. Príslušný právny stav posudzovaných noriem je daný ich legislatívnou konsolidáciou.

1)bankové tajomstvo. Pojem bankové tajomstvo v súlade s čl. 857 Občianskeho zákonníka Ruskej federácie, zahŕňa informácie o bankovom účte, vklade, transakciách na účte, ako aj informácie o bankových klientoch.

Bankové tajomstvo chráni dôverné informácie klienta alebo obchodné informácie korešpondenta.

Federálny zákon „O bankách a bankovej činnosti“ definuje povinnosti subjektov, kategórie informácií a dôvody, na základe ktorých sa informácie poskytujú zainteresovaným vládnym orgánom, organizáciám a jednotlivcom. Banka Ruska, úverová inštitúcia, zaručuje utajenie operácií, účtov a vkladov svojich zákazníkov a korešpondentov. Všetci zamestnanci úverovej inštitúcie sú povinní zachovávať mlčanlivosť o operáciách, účtoch a vkladoch svojich zákazníkov a korešpondentov, ako aj o iných informáciách stanovených úverovou inštitúciou, pokiaľ to nie je v rozpore s federálnym zákonom.

Banka Ruska nie je oprávnená zverejňovať informácie o účtoch, vkladoch, ako aj informácie o konkrétnych transakciách a operáciách zo správ úverových inštitúcií, ktoré dostala v dôsledku výkonu licenčných, dozorných a kontrolných funkcií, s výnimkou prípadov, keď inak ustanovené federálnymi zákonmi.

Úverová inštitúcia má teda právo klasifikovať akúkoľvek informáciu ako bankové tajomstvo, s výnimkou tých, ktoré sú výslovne uvedené v zákone.

2)notárske tajomstvo. Špecifickým pravidlom notárskych úkonov je mlčanlivosť. V súlade s čl. 5 Základov právnych predpisov Ruskej federácie o notároch, notárom pri výkone úradných povinností, ako aj osobám pracujúcim v notárskej kancelárii sa zakazuje zverejňovať informácie a prezrádzať dokumenty, o ktorých sa dozvedeli v súvislosti s vykonávanie notárskych úkonov, a to aj po odstúpení alebo odvolaní, s výnimkou prípadov uvedených v Základoch. Povinnosť zachovávať služobné tajomstvo je obsiahnutá v texte notárskej prísahy.

3)procedurálne tajomstvá sa zvyčajne delí na dva typy: vyšetrovacie tajomstvo a tajomstvo stretnutia sudcov.

Investigatívna záhada spojené so záujmami zákonného vedenia predbežného vyšetrovania v trestných veciach (článok 310 Trestného zákona Ruskej federácie „Zverejňovanie údajov z predbežného vyšetrovania“). Informácie o priebehu predbežného vyšetrovania možno zverejniť len so súhlasom prokurátora, vyšetrovateľa alebo osoby, ktorá vyšetrovanie vedie. Takéto informácie sa môžu týkať povahy vykonávaných vyšetrovacích úkonov, ako aj dôkazovej základne, vyhliadok na vyšetrovanie a okruhu osôb, ktoré sa na vyšetrovaní zúčastňujú. Je dôležité poznamenať, že zoznam informácií, ktoré tvoria vyšetrovacie tajomstvo, nie je stanovený zákonom. To znamená, že prokurátor, vyšetrovateľ alebo osoba, ktorá vedie vyšetrovanie, môže podľa vlastného uváženia určiť, ktoré informácie o predbežnom vyšetrovaní možno osobitne chrániť a ktoré nie.

Tajomstvo stretnutia sudcov. Pre všetky štyri typy procesov existujúcich vo vnútroštátnych súdnych konaniach je stanovený určitý postup na zabezpečenie nezávislosti a objektivity rozhodovania vo veci. Jedným z účelov tohto postupu je zakázať zverejňovanie informácií o diskusiách, rozsudkoch, výsledkoch hlasovania, ktoré prebehli počas porady sudcov. Zabezpečenie tajnosti porady sudcov ustanovuje čl. 193 Občianskeho súdneho poriadku (CPC) Ruskej federácie, čl. 70 federálneho ústavného zákona „O Ústavnom súde Ruskej federácie“, čl. 124 Kódex rozhodcovského konania Ruskej federácie.

4)lekárske tajomstvo. Podľa čl. 61 Základov právnych predpisov Ruskej federácie o ochrane zdravia občanov, informácie o skutočnosti, že žiadate o zdravotná starostlivosť, zdravotný stav občana, diagnostika jeho choroby a ďalšie informácie získané pri jeho vyšetrení a liečbe tvoria lekárske tajomstvo. Občanovi musí byť potvrdená záruka dôvernosti ním prenášaných informácií.

5)privilégium advokát-klient. V súlade s federálnym zákonom „O advokácii a advokácii v Ruskej federácii“ nie sú advokát, asistent advokáta a advokátsky koncipient oprávnení zverejňovať informácie, ktoré mu v súvislosti s poskytovaním právnej pomoci poskytuje mandant. Okrem toho dôverné informácie, ktoré právnik dostane, môžu byť vo forme dokumentov aj ústne. Zákon stanovuje záruky nezávislosti advokáta. Advokát predovšetkým nemôže byť vypočúvaný ako svedok o okolnostiach, ktoré sa mu dozvedeli v súvislosti s výkonom jeho funkcie obhajcu alebo zástupcu (§ 15 zákona).

6)poistenie tajomstva. Inštitút poistného tajomstva je v mnohom podobný inštitútu bankového tajomstva. Poistné tajomstvo v súlade s čl. 946 Občianskeho zákonníka Ruskej federácie predstavujú informácie, ktoré poisťovateľ získa v dôsledku svojej profesionálnej činnosti o poistencovi, poistencovi a príjemcovi, o ich zdravotnom stave, ako aj o majetkovom stave týchto osôb. Za porušenie tajomstva poistenia zodpovedá poisťovateľ v závislosti od druhu porušených práv a povahy porušenia podľa pravidiel uvedených v čl. 139 alebo čl. 150 Občianskeho zákonníka Ruskej federácie.

Podľa čl. 8 zákona Ruskej federácie „O organizácii poisťovníctva v Ruskej federácii“, a to ako právne, tak aj jednotlivcov- poisťovací agenti a poisťovací makléri. Ďalej v súlade s čl. 33 tohto zákona úradníci federálneho výkonného orgánu pre dohľad nad poisťovacou činnosťou nie sú oprávnení používať v sebecké účely a v akejkoľvek forme zverejňovať informácie, ktoré predstavujú obchodné tajomstvo poisťovateľa.

7)komunikačné tajomstvo . Federálny zákon „o komunikácii“ z hľadiska ochrany informácií upravuje vzťahy s verejnosťou súvisiace so zabezpečením nemožnosti nezákonného oboznámenia sa so správami prenášanými akýmikoľvek subjektmi – fyzickými alebo právnickými osobami – prostredníctvom komunikačných prostriedkov. Takouto formuláciou otázky sa utajenie komunikácie stáva nástrojom na zaistenie bezpečnosti dôverných informácií.

Tajomstvo korešpondencie telefonické rozhovory, poštové zásielky, telegrafické a iné správy prenášané po sieťach elektrických a Poštová služba chránený ústavou Ruskej federácie. Povinnosť zabezpečiť dodržiavanie komunikačného tajomstva má prevádzkovateľ komunikácie, ktorým sa rozumie fyzická alebo právnická osoba, ktorá má právo poskytovať elektroenergetické alebo poštové služby. Telekomunikační operátori sú tiež povinní zachovávať mlčanlivosť o informáciách o účastníkoch a im poskytovaných komunikačných službách, s ktorými sa operátori dozvedeli pri plnení svojich pracovných povinností.

8)adopčné tajomstvo. Inštitút mlčanlivosti o osvojení je spojený so záujmami ochrany rodinného života a je vyjadrený v ustanovení občianskoprávnej a trestnoprávnej zodpovednosti za prezradenie tajomstva o osvojení (adopcii). Podľa čl. 155 Trestného zákona Ruskej federácie môže byť tajnosť adopcie dvoch odrôd. Prvú majú osoby, ktoré sú povinné utajovať skutočnosť osvojenia ako úradné alebo služobné tajomstvo (sudcovia, zamestnanci miestnych úradov, poručnícke a opatrovnícke orgány a iné osoby uvedené v časti 1 článku 139 RF IC). Druhá - všetky ostatné osoby, ak sa pri prezradení tajomstva osvojenia bez súhlasu oboch osvojiteľov preukážu ich žoldnierske alebo iné hanebné pohnútky.

9)spovedné tajomstvo. Zabezpečenie spovedného tajomstva je vnútornou záležitosťou kňaza; za jej zverejnenie právne nezodpovedá. Podľa časti 2 čl. 51 Ústavy Ruskej federácie a časť 7 čl. 3 spolkového zákona „O slobode svedomia a náboženských spoločnostiach“ duchovný nemôže byť braný na zodpovednosť za odmietnutie svedčiť pre okolnosti, ktoré sa dozvedel zo spovede.

administratívne ochrana dát

Administratívna ochrana informácia je súbor opatrení zameraných na vytvorenie systému ochrany, organizáciu všetkých jeho ostatných foriem a zvýšenie ich spoľahlivosti. Administratívne ochranné opatrenia možno prijať na rôznych úrovniach s určitým stupňom hierarchie: krajiny, republiky, regióny, priemyselné odvetvia atď.

Administratívna ochrana informácií zabezpečuje:

1. Definovanie stratégie, plánovanie, koordinácia a riadenie procesov prezentácie informácií, spracovania, uchovávania a komunikácie údajov;

2. Plánovanie a organizácia systému opatrení na zamedzenie neoprávneného prístupu k informáciám;

3. Plánovanie núdzových prác na záchranu informácií v núdzových situáciách;

Softvérová ochranaúdajov

Softvérová ochrana údajov je súbor opatrení na vývoj, implementáciu a organizáciu fungovania špecializovaného softvéru a informačnej podpory určených na ochranu údajov.

1. Ochrana operačného systému:

1.1. Obmedzenie prístupu k počítaču a operačnému systému,

1.2. Softvérová organizácia prístupu.

2. Ochrana informačných systémov:

2.1. Ochrana jeho obsahu a integrity,

2.2. Ochrana proti neoprávnenému prístupu a kopírovaniu.

3. Systém šifrovania údajov.

4. Ochrana programov pred neoprávneným použitím:

4.1. prísna ochrana informácií,

4.2. Ochrana proti kopírovaniu pre diskety

4.3. softvérová ochrana údajov počas prenosu údajov.

5. Softvérová ochrana duševného vlastníctva.

6. Ochrana integrity a presnosti údajov.

7. Vytvorenie distribuovaného diskového systému.

8. Softvérová obnova dát.

Fyzická a technická ochrana údajov

Fyzická a technická (fyzická) ochrana údajov je súbor takýchto priemyselných preventívnych opatrení na uchovávanie informácií a prostriedkov určených na uchovávanie a prenos údajov. Tieto činnosti priamo nesúvisia s procesmi programovania, počítačového spracovania a komunikácie, súvisia najmä s funkciami technickej a operátorskej údržby a prevencie, vykonávanej na úrovni užívateľov a špeciálnych skupín ľudí.

Spôsoby fyzickej a technickej ochrany informácií:

Ø Ochrana strojových dátových nosičov (pevné disky, diskety, papiere a pod.).

Ø Ochrana technickej podpory počítačových systémov (procesor, kancelárska technika. Práca na zariadení, ktoré nespĺňa potrebné bezpečnostné a kvalitatívne požiadavky, môže viesť k núdzový, nepredvídateľné následky, skreslenie alebo strata informácií.

Ø Voľba a ochrana komunikačných prostriedkov.

Ø Ďalšie technické prostriedky ochrany údajov.

Ø Preventívne práce na ochrane údajov.

Ø Archivácia dát.

Ø Antivirológia. Používa sa na boj proti vírusom nasledujúce prostriedky a opatrenia: hardvér (špeciálne dosky v procesore), softvér (polyfágy, audítori, vakcíny, strážcovia). Viac detailné informácie o vírusoch, ich povahe a klasifikácii, metódach a prostriedkoch boja proti nim možno získať na internete (stránky AVP Kaspersky, Doctor Web atď.).

Ø Antivírusová prevencia. Dodržiavanie pravidiel, ktoré je žiaduce dodržiavať na ochranu pred vírusmi a vandalizmom.

1. Nie je možné nahrať program do OP bez znalosti všetkých dôsledkov jeho práce. Je nebezpečné získať programy „pašovaním“.

2. Uistite sa, že program neobsahuje vírusy.

3. Mať núdzovú databázu.

4. Aktualizujte svoj antivírusový systém.

Záver

Takže princíp moderná ochrana informácií je hľadanie optimálnej rovnováhy medzi dostupnosťou a bezpečnosťou.

Žiaľ, absolútna ochrana nemôže existovať, ale stále ju môžeme poskytnúť.

Vyššie uvedené metódy a metódy ochrany informácií, preventívne opatrenia nám umožňujú dúfať v relatívnu bezpečnosť údajov v osobnom počítači. Je potrebné dodržiavať tieto pravidlá, nariadenia, používať potrebné ochrany, aby ste sa ochránili pred stratou, krádežou alebo zmenou potrebných informácií. Takýmito prostriedkami môžu byť antivírusy, zálohovanie, šifrovanie počítačových dát.

V súčasnosti často trpia prístupy a prostriedky používané v praxi významné nedostatky a nemajú deklarovanú spoľahlivosť. preto je potrebné orientovať sa v celom spektre problematiky informačnej bezpečnosti, chápať ich komplexný a vzájomne prepojený charakter.

Zoznam použitej literatúry

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Dobrá práca na stránku">

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Úvod

J. Historiografia

YY. Hlavná časť

2.1 Typy úmyselného ohrozenia informácií

2.2 Metódy informačnej bezpečnosti

Záver

Bibliografia

Úvod

Informácie zohrávajú osobitnú úlohu vo vývoji civilizácie. Vlastníctvo informačných zdrojov vytvára predpoklady pre progresívny rozvoj spoločnosti. Skresľovanie informácií, blokovanie procesu ich získavania alebo uvádzanie nepravdivých informácií prispieva k chybným rozhodnutiam.

Ešte pred 25 – 30 rokmi sa dala úloha ochrany informácií efektívne vyriešiť pomocou organizačných opatrení a samostatného softvéru a zariadení na kontrolu prístupu a šifrovanie. Vznik osobných počítačov, lokálnych a globálnych sietí, satelitných komunikačných kanálov, efektívnej technickej inteligencie a dôverných informácií výrazne zhoršil problém informačnej bezpečnosti.

Informácie sú zároveň veľmi špecifickým produktom, ktorý môže byť v hmotnej aj nemateriálnej (nefixnej) podobe. Preto bez jasných hraníc, ktoré definujú informáciu ako predmet práva, je aplikácia akýchkoľvek legislatívnych noriem vo vzťahu k nej veľmi problematická.

Až donedávna to bolo celkom dôležitý dôvod skomplikovanie úpravy právnych vzťahov v informačnej sfére.

Hlavné záruky informačných práv sú obsiahnuté v Ústave Ruskej federácie. Napriek tomu, že ústava je zákonom priamej žaloby, bez bližšej špecifikácie by bolo ťažké aplikovať jej ustanovenia na určité typy vzťahov.

Niektoré typy vzťahov upravujú osobitné zákony, ktoré tiež spravidla neobsahujú normy, ktoré priamo ustanovujú pravidlá interakcie informácií.

Pravidlá interakcie informácií vznikajúce pri realizácii konkrétnych vzťahov sú upravené na úrovni nariadení vlády alebo rezortných nariadení. Zároveň na danej úrovni spravidla vzniká normatívny akt, ktorý je pre účastníkov týchto vzťahov záväzný, a jeho pravidlá v ňom ustanovené sa oznamujú zamestnancom alebo štrukturálnym odborom príslušných vládna agentúra vydávaním pokynov alebo posielaním listov.

Rast kvantity a kvality hrozieb pre informačnú bezpečnosť v počítačové systémy nevedie vždy k adekvátnej reakcii v podobe spoľahlivého a bezpečného systému informačných technológií. Vo väčšine komerčných a vládnych organizácií, nehovoriac o bežných používateľoch, sa ako ochranné nástroje používajú iba antivírusové programy a rozlišovanie prístupových práv používateľov na základe hesiel.

Ohrozené informačná bezpečnosť označuje udalosti alebo akcie, ktoré môžu viesť k poškodeniu, neoprávnenému použitiu alebo dokonca zničeniu informačných zdrojov riadeného systému, ako aj softvéru a hardvéru.

Y. historiografia

Pojem „informácia“ pochádza z latinského slova „information“, teda „zoznámenie, objasnenie, prezentácia, koncept“ a pôvodne sa spájal výlučne s komunikačnými aktivitami ľudí. Zjavne sa objavil v Rusku v Petrinskej ére, ale nebol široko používaný. Až začiatkom dvadsiateho storočia sa začala používať v dokumentoch, knihách, novinách a časopisoch a používala sa v zmysle hlásenia, informovania, informovania o niečom.

Rýchly rozvoj komunikačných zariadení a systémov v 20. rokoch 20. storočia, vznik informatiky a kybernetiky si však naliehavo vyžadoval vedecké pochopenie pojmu informácie a vytvorenie vhodnej teoretickej základne. To viedlo k vytvoreniu a rozvoju celej „rodiny“ najrozmanitejších doktrín o informáciách, a teda aj prístupov k definícii samotného pojmu informácie.

História doktríny informácie sa začala úvahou o jej matematickom (syntaktickom) aspekte spojenom s kvantitatívnymi ukazovateľmi (charakteristikami) informačných systémov.

V roku 1928 R. Hartley vo svojej práci „Prenos informácií“ určil mieru množstva informácií pre jednotné udalosti av roku 1948 Claude Shannon navrhol vzorec na určenie množstva informácií pre súbor udalostí s rôznymi pravdepodobnosťami. A hoci ešte v roku 1933 práca nášho vynikajúceho vedca V.A. Kotelnikov o kvantovaní elektrické signály, obsahujúci slávnu „teóriu správ“, sa vo svetovej vedeckej literatúre verí, že práve rok 1948 bol rokom zrodu teórie informácie a kvantitatívneho prístupu k informačným procesom.

Významný vplyv mala štatistická teória informácie formulovaná K. Shannonom rôznych oblastiach vedomosti. Zistilo sa, že Shannonov vzorec je veľmi podobný Boltzmannovmu vzorcu používanému vo fyzike na štatistické určenie entropie, braný s opačným znamienkom. To umožnilo L. Brilluneovi charakterizovať informáciu ako negatívnu entropiu (negentropiu).

Význam štatistického prístupu k definícii pojmu informácie bol aj v tom, že v jeho rámci bola získaná prvá definícia informácie, ktorá bola vyhovujúca aj z filozofického hľadiska: informácia je eliminácia neistoty. Podľa A.D. Ursula "Ak sú v našich vedomostiach o akejkoľvek téme nejednoznačnosť, neistota a po získaní nových informácií o tejto téme to už vieme posúdiť určitejšie, znamená to, že správa obsahovala informácie."

Ukázalo sa však, že zvýraznenie iba jeho kvantitatívneho aspektu v informáciách zjavne nestačí. Ako V.A. Bokarev, v štatistickej teórii, "ktorý urobil túto teóriu na jednej strane predbežne širokou, ale na druhej strane bráni tomu, aby sa stala vedou, ktorá študuje informácie komplexne." To všetko nás nútilo hľadať iné, univerzálnejšie prístupy k definícii pojmu informácia.

Takýmto vlastne ďalším, doplnkovým prístupom bol kybernetický prístup, pokrývajúci štruktúry a prepojenia systémov. S príchodom kybernetiky ako vedy „o všeobecných zákonitostiach transformácie informácií v zložitých riadiacich systémoch“, metódach vnímania, uchovávania, spracovania a využívania informácií sa pojem „informácia“ stal vedeckým pojmom, akýmsi nástrojom. na štúdium riadiacich procesov.

YY.Hlavná časť

2.1 Typy úmyselného ohrozenia informácií

Pasívne Hrozby smerujú najmä k neoprávnenému využívaniu informačných zdrojov IS bez ovplyvnenia jeho prevádzky. Napríklad neoprávnený prístup k databázam, odpočúvanie komunikačných kanálov atď.

Aktívne hrozby sú zamerané na narušenie normálneho fungovania IS účelovým ovplyvňovaním jeho zložiek. Medzi aktívne hrozby patrí napríklad zlyhanie počítača alebo jeho operačného systému, skreslenie informácií v databáze, zničenie počítačového softvéru, narušenie komunikačných liniek atď. Aktívne hrozby môžu pochádzať od hackerov, malvéru atď.

Úmyselné hrozby sa tiež delia na vnútorné (vznikajúce v rámci riadenej organizácie) a externé.

Vnútorné hrozby sú najčastejšie determinované sociálnym napätím a ťažkou morálnou klímou.

Vonkajšie hrozby môžu byť určené zlomyseľným konaním konkurentov, ekonomickými podmienkami a inými príčinami (napríklad prírodnými katastrofami). Podľa zahraničných zdrojov sa rozmohla priemyselná špionáž. -- ide o nezákonné zhromažďovanie, privlastňovanie si a odovzdávanie informácií tvoriacich obchodné tajomstvo osobou, ktorá nie je oprávnená ich vlastníkom, na úkor vlastníka obchodného tajomstva.

Medzi hlavné hrozby pre bezpečnosť informácií a normálne fungovanie IS patria:

* únik dôverných informácií;

* kompromitácia informácií;

* neoprávnené používanie informačných zdrojov;

* chybné používanie informačných zdrojov;

* neoprávnená výmena informácií medzi účastníkmi;

* odmietnutie informácií;

* porušenie informačnej služby;

* nezákonné používanie privilégií.

Únik dôverných informácií -- ide o nekontrolované uvoľnenie dôverných informácií mimo IP alebo okruhu osôb, ktorým boli zverené do služby alebo sa o nich pri výkone práce dozvedeli. Tento únik môže byť spôsobený:

* zverejnenie dôverných informácií;

* starostlivosť o informácie prostredníctvom rôznych, najmä technických, kanálov;

* nepovolený prístup do dôverné informácie rôznymi spôsobmi.

Zverejnenie informácií jej vlastníka alebo vlastníka dochádza k úmyselnému alebo neopatrnému konaniu úradníkov a používateľov, ktorým sa príslušné informácie v v pravý čas boli poverené službou alebo prácou, vedúcou k oboznámenie sa s ním osobami, ku ktorým sa nepripustili táto informácia.

Nekontrolovaná starostlivosť o dôverné informácie je možná prostredníctvom vizuálno-optických, akustických, elektromagnetických a iných kanálov.

Nepovolený prístup -- je nezákonné úmyselné držanie dôverných informácií osobou, ktorá nemá právo na prístup chránené informácie.

Najbežnejšie spôsoby neoprávneného prístupu k informácie sú:

* zachytávanie elektronického žiarenia;

* používanie odpočúvacích zariadení (záložiek);

* fotografovanie na diaľku;

* zachytenie akustického žiarenia a obnovenie textu tlačiarne;

* čítanie zvyškových informácií v systémovej pamäti po vykonaní autorizovaných požiadaviek;

* kopírovanie médií s prekonanými ochrannými opatreniami

* prezliecť sa za registrovaného užívateľa;

* maskovanie pod systémovými požiadavkami;

* používanie softvérových pascí;

* používanie nedostatkov programovacích jazykov a operačných systémov;

* nelegálne pripojenie k zariadeniam a komunikačným linkám špeciálne navrhnutého hardvéru, ktorý poskytuje prístup k informáciám;

* Zlomyseľné znefunkčnenie ochranných mechanizmov;

* dešifrovanie pomocou špeciálnych programov zašifrované: informácie;

* informačné infekcie.

Uvedené spôsoby neoprávneného prístupu vyžadujú pomerne veľké technické znalosti a vhodný hardvér resp vývoj softvéru od zlodeja. Napríklad sa používajú technické kanályÚniky sú fyzické cesty od zdroja dôverných informácií k útočníkovi, prostredníctvom ktorých je možné získať chránené informácie. Príčinou vzniku únikových kanálov sú konštrukčné a technologické nedokonalosti obvodových riešení alebo prevádzkové opotrebovanie prvkov. To všetko umožňuje crackerom vytvárať prevádzkové na určitých fyzikálnych princípov konvertory, ktoré tvoria kanál prenosu informácií obsiahnutý v týchto princípoch - kanál úniku.

Existujú však celkom primitívne spôsoby neoprávneného prístupu:

* krádeže mediálneho a dokumentárneho odpadu; * iniciatívna spolupráca;

* sklon k spolupráci zo strany zlodeja; * inkvizícia;

* odpočúvanie;

* pozorovanie a iné spôsoby.

Akékoľvek spôsoby úniku dôverných informácií môžu viesť k významným materiálnym a morálna škoda ako pre organizáciu, kde IS pôsobí, tak aj pre jeho používateľov.

Manažéri by si mali uvedomiť, že veľká časť príčin a podmienok, ktoré vytvárajú predpoklady a možnosť sprenevery dôverných informácií, vyplýva z elementárnych nedostatkov vedúcich organizácií a ich zamestnancov. Dôvody a podmienky, ktoré vytvárajú predpoklady pre únik obchodného tajomstva, môžu napríklad zahŕňať:

* nedostatočné znalosti zamestnancov organizácie o pravidlách ochrany dôverných informácií a nepochopenie potreby ich starostlivého dodržiavania;

* používanie necertifikovaných technických prostriedkov spracovania dôverných informácií;

* slabá kontrola dodržiavania pravidiel ochrany informácií právnymi, organizačnými a inžinierskymi opatreniami;

* fluktuácia zamestnancov vrátane tých, ktorí vlastnia informácie predstavujúce obchodné tajomstvo;

* organizačné nedostatky, v dôsledku ktorých sú páchateľmi úniku informácií ľudia – zamestnanci IS a IT.

Väčšinu uvedených technických spôsobov neoprávneného prístupu je možné spoľahlivo zablokovať správne navrhnutým a implementovaným bezpečnostným systémom. Boj proti infekciám informácií však predstavuje značné ťažkosti, pretože existuje a neustále sa vyvíja veľké množstvo škodlivých programov, ktorých účelom je poškodiť informácie v databáze a počítačovom softvéri. Veľký počet odrôd týchto programov neumožňuje vývoj trvalých a spoľahlivých prostriedkov proti nim.

Škodlivý softvér je klasifikovaný takto: logické bomby, ako už názov napovedá, používajú sa na skreslenie alebo zničenie informácií, menej často sa používajú na páchanie krádeží alebo podvodov. Manipulácie s logickými bombami sú zvyčajne vykonávané nespokojnými zamestnancami, ktorí sa chystajú opustiť organizáciu, ale môžu to byť aj konzultanti, zamestnanci s určitým politickým presvedčením atď.

Skutočný príklad logickej bomby: programátor, ktorý očakáva svoje prepustenie, vykoná určité zmeny v mzdovom programe, ktoré sa prejavia, keď jeho meno zmizne zo súboru údajov o personál firmy.

trójsky kôň -- program, ktorý vykonáva okrem hlavných, t.j. navrhnutých a zdokumentovaných akcií, aj ďalšie akcie, ktoré nie sú popísané v dokumentácii. Prirovnanie so starogréckym trójskym koňom je opodstatnené – v oboch prípadoch hrozba číha v nenápadnej škrupine. Trójsky kôň je dodatočný blok príkazov, tak či onak vložený do pôvodného neškodného programu, ktorý sa potom prenáša (daruje, predáva, nahrádza) používateľom IP. Tento blok príkazov môže byť spustený, keď nastane určitá podmienka (dátum, čas, príkaz zvonku atď.). Každý, kto spustí takýto program, ohrozuje ako svoje súbory, tak aj celú IP ako celok. Trójsky kôň zvyčajne koná v rámci autority jedného používateľa, ale v záujme iného používateľa alebo vo všeobecnosti outsidera, ktorého identitu niekedy nie je možné zistiť.

Trójsky kôň môže vykonávať najnebezpečnejšie akcie, ak má používateľ, ktorý ho spustil, rozšírenú sadu privilégií. V tomto prípade môže útočník, ktorý skompiloval a implementoval trójskeho koňa a sám tieto privilégiá nemá, vykonávať neoprávnené privilegované funkcie prostredníctvom proxy.

Vírus -- program, ktorý môže infikovať iné programy tým, že do nich zahrnie upravenú kópiu schopnú ďalšej reprodukcie.

Predpokladá sa, že vírus sa vyznačuje dvoma hlavnými vlastnosťami:

1) schopnosť samostatne sa rozmnožovať;

2) schopnosť zasahovať výpočtový proces(t.j. získať kontrolu).

Červ -- program, ktorý sa šíri po sieti a nezanecháva svoju kópiu magnetické médiá. Červ používa sieťové podporné mechanizmy na určenie, ktorý hostiteľ môže byť infikovaný. Potom pomocou rovnakých mechanizmov prenesie svoje telo alebo jeho časť do tohto uzla a buď sa aktivuje, alebo čaká na vhodné podmienky. Najznámejším predstaviteľom tejto triedy je vírus Morris (červ Morris), ktorý infikuje internet v roku 1988. Vhodným médiom na šírenie červa je sieť, kde sú všetci používatelia považovaní za priateľských a navzájom si dôverujú a kde neexistujú žiadne obranné mechanizmy. Najlepšia cesta ochrana proti červom – prijatie opatrení proti neoprávnenému prístupu do siete.

Password Invader -- sú to programy špeciálne navrhnuté na kradnutie hesiel. Keď sa používateľ pokúsi o prístup k systémovému terminálu, na obrazovke sa zobrazia informácie potrebné na ukončenie relácie. Používateľ pri pokuse o prihlásenie zadá meno a heslo, ktoré sa odošlú majiteľovi invázneho programu, po ktorom sa zobrazí chybové hlásenie a vstup a ovládanie sa vrátia späť do operačného systému. Používateľ, ktorý si myslí, že urobil chybu pri zadávaní hesla, sa znova prihlási a získa prístup do systém. Jeho meno a heslo však už pozná majiteľ programu votrelca. Zachytenie hesla je možné aj inými spôsobmi. Aby ste predišli tejto hrozbe, pred prihlásením sa musíte uistiť, že zadávate meno a heslo vstupného programu systému a nie nejaké iné. Okrem toho musíte prísne dodržiavať pravidlá používania hesiel a práce so systémom. Väčšina porušení nie je spôsobená šikovnými útokmi, ale elementárnou nedbalosťou. Nevyhnutnou podmienkou spoľahlivej ochrany je dodržiavanie špeciálne vyvinutých pravidiel používania hesiel.

Kompromis informácií (jeden z typov informačných infekcií). Realizuje sa spravidla prostredníctvom neoprávnených zmien v databáze, v dôsledku čoho je jej spotrebiteľ nútený ju buď opustiť, alebo vyvinúť dodatočné úsilie na zistenie zmien a obnovenie pravdivých informácií. Pri používaní kompromitovaných informácií je spotrebiteľ vystavený riziku, že urobí nesprávne rozhodnutia.

Neoprávnené používanie informačných zdrojov , od na jednej strane sú následky jeho úniku a prostriedkom na jeho ohrozenie. Na druhej strane má nezávislú hodnotu, pretože môže spôsobiť veľké škody riadenému systému (až do úplného zlyhania IT) alebo jeho účastníkom.

Nesprávne používanie informačných zdrojov ak je to povolené, môže to viesť k zničeniu, úniku alebo ohrozeniu uvedených zdrojov. Táto hrozba je najčastejšie výsledkom chýb v IT softvéri.

Neoprávnená výmena informácií medzi predplatiteľmi môže spôsobiť získanie informácií jedným z nich, prístup k čo má zakázané. Následky sú rovnaké ako pri neoprávnenom prístupe.

Vylúčenie zodpovednosti spočíva v neuznaní zo strany príjemcu alebo odosielateľa tejto informácie o skutočnostiach jej prijatia alebo odoslania. To umožňuje jednej zo strán ukončiť uzatvorené finančné dohody technickými prostriedkami bez toho, aby sa ich formálne vzdala, čím by druhej strane vznikla značná škoda.

Prerušenie informačnej služby -- hrozbou, ktorú predstavuje samotné IT. Oneskorenie poskytovania informačných zdrojov účastníkovi môže mať pre neho vážne následky. Nedostatok včasných údajov potrebných na rozhodnutie používateľa môže viesť k iracionálnym krokom.

Nezákonné používanie privilégií . Každý zabezpečený systém obsahuje nástroje používané v núdzové situácie alebo nástroje, ktoré môžu fungovať v rozpore s existujúcimi bezpečnostnými politikami. Napríklad v prípade neočakávanej kontroly by mal mať používateľ prístup ku všetkým súpravám systému. Tieto nástroje zvyčajne používajú správcovia, operátori, systémoví programátori a iní používatelia, ktorí vykonávajú špeciálne funkcie.

Väčšina systémov ochrany v takýchto prípadoch používa sady privilégií, t.j určitú funkciu vyžaduje sa určité privilégium. Používatelia majú zvyčajne minimálny súbor oprávnení, správcovia - maximum.

Sady Privilege sú chránené bezpečnostným systémom. Neoprávnené (nezákonné) odobratie privilégií je možné, keď sa vyskytnú chyby v systéme ochrany, ale najčastejšie sa vyskytuje v procese riadenia systému ochrany, najmä pri neopatrnom používaní privilégií.

Prísne dodržiavanie pravidiel riadenia systému ochrany, dodržiavanie zásady minimálnych privilégií vám umožňuje vyhnúť sa takýmto porušeniam.

2.2 Metódy informačnej bezpečnosti

V septembri 2000 prezident Ruska podpísal „Doktrínu informačnej bezpečnosti Ruskej federácie“, na základe ktorej bol prijatý zákon o informáciách. Tento zákon rozlišuje tieto druhy informácií, ktoré patria pod ochranu štátu:

Kryptografické metódy:

Problém ochrany informácií ich transformáciou, s vylúčením ich čítania cudzincom, znepokojuje ľudskú myseľ už od staroveku. História kryptografie je taká stará ako história ľudského jazyka. Navyše, pôvodne bolo samotné písanie kryptografickým systémom, keďže v starovekých spoločnostiach ho vlastnilo len pár vyvolených. Príkladom toho sú posvätné knihy starovekého Egypta a starovekej Indie.

S rozšíreným používaním písma sa kryptografia začala formovať ako samostatná veda. Prvé kryptosystémy sa nachádzajú už na začiatku nášho letopočtu. Caesar teda vo svojej korešpondencii už používal viac-menej systematickú šifru, ktorá dostala jeho meno.

Kryptografické systémy sa rýchlo rozvíjali v rokoch prvej a druhej svetovej vojny. Od povojnového obdobia až po súčasnosť nástup výpočtových nástrojov urýchlil vývoj a zdokonaľovanie kryptografických metód.

Prečo je problém využívania kryptografických metód v informačných systémoch (IS) v súčasnosti obzvlášť aktuálny?

Na jednej strane sa rozšírilo využívanie počítačových sietí, najmä celosvetový internet, prostredníctvom ktorého sa prenáša veľké množstvo informácií štátneho, vojenského, obchodného a súkromného charakteru, ktoré neumožňujú prístup nepovolaným osobám.

Na druhej strane vznik nových výkonných počítačov, sieťových a neurónových výpočtových technológií umožnil zdiskreditovať kryptografické systémy, ktoré boli donedávna považované za prakticky neodhalené.

Problémom ochrany informácií ich transformáciou sa zaoberá kryptológia (kryptos – tajomstvo, logos – veda). Kryptológia sa delí na dve oblasti – kryptografiu a kryptoanalýzu. Ciele týchto smerov sú priamo opačné.

Kryptografia sa zaoberá hľadaním a štúdiom matematických metód na transformáciu informácií.

Sférou záujmu kryptoanalýzy je štúdium možnosti dešifrovania informácií bez znalosti kľúčov.

Moderná kryptografia zahŕňa štyri hlavné časti:

1. Symetrické kryptosystémy.

2.Kryptosystémy s verejným kľúčom.

3. Systémy elektronického podpisu.

4. Manažment kľúčov.

Hlavnými smermi používania kryptografických metód sú prenos dôverných informácií cez komunikačné kanály (napríklad e-mail), autentifikácia prenášaných správ, ukladanie informácií (dokumenty, databázy) na šifrované médiá.

Systémy verejného kľúča:

Bez ohľadu na to, aké zložité a spoľahlivé sú kryptografické systémy, ich slabou stránkou pri praktickej implementácii je problém distribúcie. kľúče. Na výmenu dôverných informácií medzi dvomi IP entitami musí jeden z nich vygenerovať kľúč a potom ho nejakým spôsobom dôverne preniesť na druhý. Tie. vo všeobecnom prípade prenos kľúča opäť vyžaduje použitie nejakého kryptosystému.

Na vyriešenie tohto problému na základe výsledkov získaných klasickou a modernou algebrou, systémy verejného kľúča.

Ich podstata spočíva v tom, že každý IP adresát generuje dva kľúče, ktoré spolu súvisia podľa určitého pravidla. Jeden kľúč je vyhlásený za verejný a druhý za súkromný. Verejný kľúč je zverejnený a dostupný každému, kto chce poslať správu príjemcovi. Tajný kľúč je udržiavaný v tajnosti.

Zdrojový text sa zašifruje verejným kľúčom príjemcu a odošle sa mu. Šifrovaný text v zásade nemožno dešifrovať rovnakým verejným kľúčom. Dešifrovanie správy je možné len pomocou súkromného kľúča, ktorý pozná iba adresát.

Kryptografické systémy s verejným kľúčom používajú takzvané ireverzibilné alebo jednosmerné funkcie, ktoré majú nasledujúcu vlastnosť: pre danú hodnotu X pomerne ľahko vypočítať f(x), ak však r=f(x), potom neexistuje jednoduchý spôsob, ako vypočítať hodnotu X.

Sada tried ireverzibilných funkcií generuje celú škálu systémov verejného kľúča. Nie každá nevratná funkcia je však vhodná na použitie v skutočných integrovaných obvodoch.

V samotnej definícii nezvratnosti je neistota. Nevratnosť sa chápe nie ako teoretická nezvratnosť, ale ako praktická nemožnosť vypočítať recipročnú hodnotu pomocou moderných výpočtových nástrojov v predvídateľnom časovom intervale.

Preto, aby sa zaručila spoľahlivá ochrana informácií, sú na systémy verejného kľúča (PKC) kladené dve dôležité a zrejmé požiadavky:

1. Transformácia zdrojového textu musí byť nevratná a vylučovať jeho obnovenie na základe verejného kľúča.

2. Na súčasnej technologickej úrovni by tiež nemalo byť možné určiť súkromný kľúč na základe verejného. V tomto prípade je žiaduci presný nižší odhad zložitosti (počet operácií) rozlúštenia šifry.

Šifrovacie algoritmy s verejným kľúčom sú široko používané v moderných informačných systémoch. Algoritmus RSA sa tak stal de facto svetovým štandardom pre otvorené systémy a odporúča ho CCITT.

Vo všeobecnosti sa všetky dnes ponúkané kryptosystémy s verejným kľúčom spoliehajú na jeden z nasledujúcich typov nevratných transformácií:

Rozklad veľkých čísel na prvočiniteľa.

Výpočet logaritmu v konečnom poli.

Výpočet koreňov algebraických rovníc.

Tu treba tiež poznamenať, že algoritmy kryptosystému verejného kľúča (PKC) možno použiť na tri účely.

1. Ako nezávislý prostriedok ochrany prenášané a uložené dáta.

2. Ako prostriedok distribúcie kľúčov. Algoritmy SOC sú náročnejšie na prácu ako tradičné kryptosystémy. Preto je v praxi často racionálne distribuovať kľúče pomocou RNS, ktorých objem ako informácie je zanedbateľný. A potom pomocou konvenčných algoritmov na výmenu veľkých informačných tokov.

Prostriedky autentifikácie užívateľa.

Elektronický podpis

V roku 1991 Národný inštitút pre štandardy a technológie (NIST) navrhol pre algoritmus digitálneho podpisu DSA (Digital Signature Algorithm), ktorý sa potom objavil ako štandard DSS (Digital Signature Standard), ktorý je založený na algoritmoch ElGamal a RSA.

Aký je problém s autentifikáciou údajov?

Na záver bežného listu alebo dokumentu sa zvyčajne podpisuje exekútor alebo zodpovedná osoba. Takáto akcia má zvyčajne dva účely. Po prvé, príjemca má možnosť overiť si pravdivosť listu porovnaním podpisu so vzorom, ktorý má. Po druhé, osobný podpis je zákonným garantom autorstva dokumentu. Posledné hľadisko je dôležité najmä pri uzatváraní rôznych druhov obchodných transakcií, vyhotovovaní splnomocnení, záväzkov atď.

Ak je veľmi ťažké sfalšovať podpis osoby na papieri a ide o technický detail zistiť autorstvo podpisu pomocou moderných forenzných metód, potom je situácia pri elektronickom podpise iná. Každý používateľ môže sfalšovať bitstring jednoduchým skopírovaním alebo v tichosti vykonať nezákonné opravy dokumentu.

So rozšíreným používaním elektronických foriem dokumentov (vrátane dôverných) a spôsobov ich spracovania v modernom svete sa problém overenia pravosti a autorstva dokumentácie bez papiera stal obzvlášť aktuálnym.

V časti o kryptografických systémoch s verejným kľúčom sa ukázalo, že so všetkými výhodami moderných šifrovacích systémov neumožňujú autentifikáciu údajov. Preto by sa mali autentifikačné nástroje používať v kombinácii s kryptografickými algoritmami.

Niekedy nie je potrebné prenášanú správu šifrovať, ale je potrebné zabezpečiť ju elektronickým podpisom. V tomto prípade je text zašifrovaný súkromným kľúčom odosielateľa a výsledný reťazec znakov je pripojený k dokumentu. Príjemca dešifruje podpis pomocou verejného kľúča odosielateľa a porovná ho s textom. V roku 1991 Národný inštitút pre štandardy a technológie (NIST) navrhol pre algoritmus digitálneho podpisu DSA (Digital Signature Algorithm), ktorý sa potom objavil ako štandard DSS (Digital Signature Standard), ktorý je založený na algoritmoch ElGamal a RSA.

Metódy informačnej bezpečnosti vinternet:

V súčasnosti je najdôležitejšou témou internetu problém informačnej bezpečnosti. Sieť sa rýchlo rozvíja v celosvetovom meradle a čoraz viac sa rozširujú interné sieťové systémy (intranet, intranety). Vznik nového obrovského priestoru na trhu poslúžil ako podnet pre používateľov aj poskytovateľov sieťových služieb, aby hľadali spôsoby, ako zlepšiť bezpečnosť prenosu informácií cez internet.

Problém bezpečnosti na internete je rozdelený do dvoch kategórií: všeobecná bezpečnosť a otázky spoľahlivosti finančných transakcií. Úspešné vyriešenie finančných problémov by mohlo internetu otvoriť obrovské príležitosti na poskytovanie obchodných služieb. Do boja o vyriešenie tohto problému sa zapojili giganti v oblasti kreditných kariet MasterCard a Visa, ako aj lídri počítačového priemyslu Microsoft a Netscape. Toto všetko sa týka „peniaze“; náš článok je venovaný problému všeobecnej bezpečnosti.

Úlohou výskumu v tejto oblasti je vyriešiť problém dôvernosti. Vezmime si ako príklad prenos e-mailových správ z jedného SMTP servera na druhý. V niektorých prípadoch sa tieto správy jednoducho skopírujú z jedného pevného disku na druhý ako obyčajné textové súbory, to znamená, že si ich môže prečítať každý. Obrazne povedané, mechanizmus doručovania e-mailov cez internet pripomína situáciu, keď vypranú bielizeň vešia na ulici namiesto vyžmýkania v práčke. Nezáleží na tom, či správa obsahuje nejaké finančné informácie alebo nie; dôležité je nasledovné – akékoľvek informácie odoslané cez internet by mali byť neprístupné pre cudzincov.

Okrem súkromia používateľov sa to týka aj garancií, s ktorými sa teraz „rozprávajú“. Potrebujú si byť istí, že internetový server, s ktorým sú práve v relácii, je skutočne tým, za koho sa vydáva; či už je to server World-Wide Web, FTP, IRC alebo čokoľvek iné. Nie je ťažké napodobniť (či už zo zábavy alebo s kriminálnym zámerom) nezabezpečený server a pokúsiť sa o vás zozbierať všetky informácie. A, samozrejme, poskytovatelia sieťových služieb si tiež chcú byť istí, že ľudia, ktorí ich kontaktujú kvôli určitým internetovým zdrojom, ako sú e-mail a IRC služby, sú skutočne tým, za koho sa vydávajú.

Spôsob ochrany heslom:

Oprávnenosť požiadavky používateľa je určená heslom, ktorým je zvyčajne reťazec znakov. Metóda hesla sa považuje za dosť slabú, pretože heslo sa môže stať predmetom krádeže, odpočúvania, hrubej sily, hádania. Jednoduchosť metódy však podnecuje hľadanie možností na jej zlepšenie.

Na zlepšenie účinnosti ochrany heslom sa odporúča:

vyberte si heslo dlhšie ako 6 znakov, vyhýbajte sa bežným, ľahko uhádnuteľným slovám, menám, dátumom atď.;

1.používať špeciálne znaky;

2. heslá uložené na serveri, ktoré sa majú zašifrovať pomocou jednosmernej funkcie;

3.umiestnite súbor s heslami do špeciálne chránenej oblasti pamäte počítača, uzavretej na čítanie používateľom;

4. hranice medzi susednými heslami sú maskované;

5.Komentáre súboru s heslami by mali byť uložené oddelene od súboru;

6. pravidelne meniť heslá;

7. Zabezpečiť možnosť vynútenej zmeny hesla systémom po určitom čase;

8.používajte niekoľko používateľských hesiel: skutočné heslo, osobný identifikátor, heslo na uzamknutie/odomknutie zariadenia v prípade krátkodobej neprítomnosti atď.

9. Náhodný výber znakov hesla a jednorazové použitie hesiel sa používajú ako komplexnejšie metódy hesiel. V prvom prípade je používateľovi (zariadeniu) pridelené dostatočne dlhé heslo a na identifikáciu sa vždy použije náhodne vybraná časť hesla. Pri jednorazovom použití hesla nie je používateľovi pridelené jedno, ale veľké množstvo hesiel, z ktorých každé je použité podľa zoznamu alebo náhodne vybrané raz. V skutočne distribuovanom prostredí, kde majú používatelia prístup k viacerým serverom, databázam a dokonca aj právam vzdialeného prihlásenia, sa bezpečnosť stáva takou komplexnou, že ju administrátor môže vidieť iba v nočnej more.

Administratívne ochranné opatrenia:

Problém ochrany informácií sa rieši zavedením kontroly prístupu a diferenciáciou právomocí používateľov.

Bežným prostriedkom na obmedzenie prístupu (alebo obmedzenia oprávnenia) je systém hesiel. Je však nespoľahlivý. Skúsení hackeri môžu túto ochranu prelomiť, „špehovať“ cudzie heslo alebo vstúpiť do systému vyčíslením možných hesiel, keďže sa pri nich veľmi často používajú krstné mená, priezviská či dátumy narodenia používateľov. Spoľahlivejším riešením je organizovať riadenie prístupu do priestorov alebo ku konkrétnemu PC v LAN pomocou identifikačných plastových kariet rôznych typov.

Použitie plastových kariet s magnetickým prúžkom na tieto účely je sotva vhodné, pretože sa dajú ľahko sfalšovať. Vyšší stupeň spoľahlivosti poskytujú plastové karty s integrovaným mikroobvodom - takzvané mikroprocesorové karty (MP - cards, smart - card). Ich spoľahlivosť je spôsobená predovšetkým nemožnosťou kopírovania alebo falšovania remeselným spôsobom. Pri výrobe kariet sa navyše do každého mikroobvodu zadáva jedinečný kód, ktorý nie je možné duplikovať. Pri vydávaní karty používateľovi je na ňu aplikované jedno alebo viac hesiel, ktoré pozná iba jej vlastník. Pri niektorých typoch MP - kariet končí pokus o neoprávnené použitie ich automatickým "uzavretím". Ak chcete obnoviť výkon takejto karty, musíte ju predložiť príslušnému orgánu.

Inštalácia špeciálnej čítačky MP - kariet je možná nielen pri vstupe do priestorov, kde sa nachádzajú počítače, ale aj priamo na pracovných staniciach a sieťových serveroch.

Ochrana firemných informácií:

Pri riešení tohto problému sa však podniky často riadia dodávateľskými spoločnosťami, ktoré propagujú jeden alebo viacero produktov, ktoré spravidla riešia konkrétne problémy. Nižšie uvažujeme o najbežnejších prístupoch ku komplexnému riešeniu problému zaistenia informačnej bezpečnosti.

Najtypickejšou chybou pri budovaní ochranného systému je túžba chrániť všetko a pred všetkým naraz. V skutočnosti je určenie potrebných informácií (súborov, adresárov, diskov) a iných objektov informačnej štruktúry, ktoré je potrebné chrániť, prvým krokom pri budovaní systému informačnej bezpečnosti. Mali by ste začať s definíciou tohto zoznamu: mali by ste odhadnúť, koľko môže stáť strata (vymazanie alebo krádež) konkrétnej databázy alebo napríklad výpadok jednej pracovnej stanice počas dňa.

Druhým krokom je identifikácia zdrojov hrozieb. Spravidla je ich niekoľko. Identifikovať zdroj ohrozenia znamená vyhodnotiť jeho ciele (ak je zdroj úmyselný) alebo možný dopad (neúmyselný), pravdepodobnosť (alebo intenzitu) jeho výskytu. Ak hovoríme o zlomyseľnom konaní osoby (alebo skupiny osôb), potom je potrebné vyhodnotiť jej organizačné a technické možnosti pre prístup k informáciám (napokon, útočníkom môže byť aj zamestnanec firmy).

Po identifikácii zdroja hrozieb je možné formulovať hrozby pre informačnú bezpečnosť. Teda, čo sa môže stať s informáciami. Spravidla je zvykom rozlišovať medzi týmito skupinami hrozieb:

§ neoprávnený prístup k informáciám (čítanie, kopírovanie alebo zmena informácií, ich falšovanie a ukladanie);

§ nefunkčnosť počítačov a aplikačných programov

§ Zničenie informácií.

V každej z týchto troch skupín možno identifikovať desiatky konkrétnych hrozieb, no zastavme sa teraz pri tom. Poznamenávame len, že hrozby môžu byť úmyselné a náhodné, a náhodné, naopak, prírodné (napríklad prírodné katastrofy) a umelé (chybné činy personálu). Náhodné hrozby, ktoré neobsahujú nekalé úmysly, sú väčšinou nebezpečné len z hľadiska straty informácií a narušenia systému, proti čomu sa dá celkom jednoducho poistiť. Úmyselné hrozby sú z hľadiska straty pre podnikanie závažnejšie, pretože tu musíte bojovať nie so slepou (hoci nemilosrdnou svojou silou) šancou, ale s mysliacim nepriateľom.

Je užitočné vybudovať systém ochrany s princípmi ochrany, ktoré sú celkom univerzálne pre rôzne tematické oblasti (ženijná podpora v armáde, fyzická bezpečnosť osôb a území atď.)

§ Adekvátnosť (primeraná dostatočnosť). Celkové náklady na ochranu (čas, ľudské a finančné zdroje) musia byť nižšie ako náklady na chránené zdroje. Ak je obrat firmy 10 000 dolárov mesačne, sotva má zmysel nasadzovať systém za milión dolárov (a rovnako aj naopak).

§ Dôslednosť. Dôležitosť tohto princípu je evidentná najmä pri výstavbe veľkých ochranných systémov. Spočíva v tom, že systém ochrany by sa nemal budovať abstraktne (ochrana proti všetkému), ale na základe analýzy hrozieb, prostriedkov ochrany pred týmito hrozbami, hľadania optimálnej zostavy týchto nástrojov a konštrukcie systém.

§ Transparentnosť pre legitímnych používateľov. Zavedenie bezpečnostných mechanizmov (najmä autentifikácie používateľov) nevyhnutne vedie ku komplikáciám ich konania. Žiadny mechanizmus by však nemal vyžadovať nemožné akcie (napríklad prísť s 10-ciferným heslom každý týždeň a nikam si ho nezapisovať) alebo zdržiavať procedúru prístupu k informáciám.

§ Rovnosť odkazov. Väzby sú prvky obrany, pričom prekonať ktorýkoľvek z nich znamená prekonať celú obranu. Je jasné, že slabosť niektorých väzieb nemožno kompenzovať posilňovaním iných. V každom prípade sila obrany (resp. jej úroveň, pozri nižšie) je určená silou najslabšieho článku. A ak je nelojálny zamestnanec pripravený „hodiť cenné informácie na disketu“ za 100 dolárov, potom je nepravdepodobné, že by útočník vytvoril komplexný hackerský útok na dosiahnutie rovnakého cieľa.

§ Kontinuita. Vo všeobecnosti rovnaká stabilita, len v časovej oblasti. Ak sa rozhodneme, že niečo a nejako ochránime, tak to musíme takto chrániť v každom okamihu. Nemôžete sa napríklad rozhodnúť zálohovať informácie v piatok a dohodnúť si „čistenie“ na posledný piatok v mesiaci. Zákon podlosti je neúprosný: presne v momente, keď sa oslabia opatrenia na ochranu informácií, stane sa to, čomu sme sa bránili. Dočasné zlyhanie ochrany, rovnako ako slabý článok, ju robí bezvýznamnou.

§ Viacúrovňové. Viacúrovňová ochrana sa nachádza všade, stačí sa túlať ruinami stredovekej pevnosti. Prečo je ochrana postavená na niekoľkých úrovniach, ktoré musí prekonať útočník aj legálny používateľ (čo je, samozrejme, jednoduchšie)? Žiaľ, vždy existuje možnosť, že niektorú úroveň možno prekonať buď v dôsledku nepredvídaných nehôd alebo s nenulovou pravdepodobnosťou. Jednoduchá matematika vám hovorí: ak jedna úroveň zaručuje 90% ochranu, potom tri úrovne (v žiadnom prípade sa neopakujú) vám poskytnú 99,9%. Toto je mimochodom rezerva úspor: oddelením lacných a relatívne nespoľahlivých prostriedkov ochrany možno dosiahnuť veľmi vysoký stupeň ochrany s malým krviprelievaním.

Zohľadnenie týchto zásad pomôže vyhnúť sa zbytočným výdavkom pri budovaní systému informačnej bezpečnosti a zároveň dosiahnuť skutočne vysokú úroveň bezpečnosti podnikových informácií.

Hodnotenie účinnosti systémov ochrany softvéru

Systémy ochrany softvéru sú rozšírené a neustále sa vyvíjajú vďaka expanzii trhu so softvérom a telekomunikačnými technológiami. Potreba používať systémy ochrany softvéru (PS) je spôsobená množstvom problémov, medzi ktorými je potrebné zdôrazniť: nezákonné používanie algoritmov, ktoré sú duševným vlastníctvom autora pri písaní analógov produktov (priemyselná špionáž); neoprávnené používanie softvéru (krádež a kopírovanie); neoprávnené úpravy softvéru za účelom zavedenia zneužitia softvéru; nelegálne šírenie a predaj softvéru (pirátstvo).

Systémy ochrany softvéru podľa spôsobu inštalácie možno rozdeliť na systémy inštalované na zostavených softvérových moduloch; systémy vložené do zdrojového kódu softvéru pred kompiláciou; a kombinované.

Systémy prvého typu sú pre výrobcu softvéru najpohodlnejšie, pretože je ľahké chrániť už plne pripravený a otestovaný softvér (proces inštalácie ochrany je zvyčajne čo najviac automatizovaný a spočíva v zadaní názvu chráneného súboru a stlačením "Enter"), a preto je najobľúbenejší. Odolnosť týchto systémov je zároveň pomerne nízka (v závislosti od princípu činnosti SS), pretože na obídenie ochrany stačí určiť koncový bod ochrannej „obálky“ a preniesť riadenie na chránený program a potom ho násilne uložiť v nechránenej podobe.

Systémy druhého typu sú pre výrobcu softvéru nepohodlné, pretože je potrebné zaškoliť personál na prácu s programovým rozhraním (API) ochranného systému s následnými finančnými a časovými nákladmi. Okrem toho sa proces testovania softvéru stáva komplikovanejším a znižuje sa jeho spoľahlivosť, keďže okrem samotného softvéru môžu byť chyby obsiahnuté aj v API ochranného systému alebo postupoch, ktoré ho používajú. Takéto systémy sú ale odolnejšie voči útokom, pretože tu sa stráca jasná hranica medzi systémom ochrany a P.O.

Na ochranu softvéru sa používa množstvo metód, ako napríklad:

§ Obfuskačné algoritmy - používajú sa chaotické prechody do rôznych častí kódu, zavádzanie falošných procedúr - "figuríny", nečinné cykly, skreslenie počtu reálnych parametrov softvérových procedúr, rozptyl sekcií kódu v rôznych oblastiach RAM , atď.

§ Mutačné algoritmy - tabuľky zhody operandov - vytvárajú sa synonymá a navzájom sa nahrádzajú pri každom spustení programu podľa určitého vzoru alebo náhodných, náhodných zmenách v štruktúre programu.

§ Algoritmy kompresie dát - program sa zbalí a rozbalí pri spustení.

§ Algoritmy šifrovania údajov - program je zašifrovaný a potom dešifrovaný počas jeho vykonávania.

§ Výpočet zložitých matematických výrazov v procese vypracovania ochranný mechanizmus - prvky logiky ochrany závisia od výsledku výpočtu hodnoty akéhokoľvek vzorca alebo skupiny vzorcov.

§ Metódy blokujúcej demontáže - na zabránenie demontáže v dávkovom režime sa používajú rôzne techniky.

§ Techniky na sťaženie ladenia – na sťaženie ladenia programu sa používajú rôzne triky.

§ Emulácia procesorov a operačných systémov - vytvorí sa virtuálny procesor a/alebo operačný systém (nie nevyhnutne skutočný) a prekladateľský program z príkazového systému IBM do príkazového systému vytvoreného procesora alebo OS, po takomto preklade sa softvér je možné spustiť iba pomocou emulátora, ktorý je ostrý a sťažuje štúdium softvérového algoritmu.

§ Neštandardné metódy práce s hardvérom - moduly ochranného systému pristupujú k hardvéru počítača, obchádzajú postupy operačného systému a využívajú jeho málo známe alebo nezdokumentované možnosti.

Záver

Môžeme povedať, že neexistuje jeden absolútne spoľahlivý spôsob ochrany. Najúplnejšie zabezpečenie je možné dosiahnuť iba s integrovaný prístup na túto otázku. V tejto oblasti je potrebné neustále sledovať nové riešenia.

Suma sumárum, treba spomenúť, že je veľa prípadov, keď firmy (nielen zahraničné) medzi sebou vedú skutočné „špionážne vojny“ a verbujú zamestnancov konkurencie, aby sa cez ne dostali k informáciám tvoriacim obchodné tajomstvo. Regulácia otázok týkajúcich sa obchodného tajomstva sa v Rusku zatiaľ dostatočne nerozvinula. Súčasná právna úprava však neupravuje úpravu niektorých otázok, vrátane obchodného tajomstva, zodpovedajúcej modernej realite. Zároveň si treba uvedomiť, že škoda spôsobená prezradením obchodného tajomstva je často veľmi značná (ak sa vôbec dá odhadnúť). Prítomnosť pravidiel o zodpovednosti vrátane trestnej zodpovednosti môže slúžiť ako varovanie zamestnancov pred porušovaním v tejto oblasti, preto je vhodné podrobne informovať všetkých zamestnancov o dôsledkoch porušenia. Chcel by som dúfať, že vytvorený systém ochrany informácií v krajine a vytvorenie súboru opatrení na jeho implementáciu nepovedie k nezvratným dôsledkom na ceste informačnej a intelektuálnej integrácie s celým svetom, ktorá sa v Rusku objavuje. .

Hlavné závery o spôsoboch použitia vyššie uvedených prostriedkov, metód a opatrení ochrany sú nasledovné:

Najväčší efekt sa dosiahne, keď sa všetky použité prostriedky, metódy a opatrenia skombinujú do jediného, ​​integrálneho mechanizmu ochrany informácií.

Mechanizmus ochrany by sa mal navrhovať súbežne s vytváraním systémov na spracovanie údajov, počnúc od okamihu, keď sa vypracuje celková koncepcia budovania systému.

Fungovanie ochranného mechanizmu by sa malo plánovať a zabezpečovať spolu s plánovaním a zabezpečovaním hlavných procesov automatizovaného spracovania informácií.

Je potrebné neustále monitorovať fungovanie ochranného mechanizmu.

Štatistiky ukazujú, že vo všetkých krajinách straty zo zlomyseľných činov neustále rastú. Navyše, hlavné príčiny strát nesúvisia ani tak s nedostatkom bezpečnostných nástrojov ako takých, ale s nedostatočným prepojením medzi nimi, t. s nedostatočnou implementáciou systematického prístupu. Preto je potrebné zdokonaľovať komplexné prostriedky ochrany rýchlejším tempom.

Bibliografia

1. Federálny zákon „o informáciách, informatizácii a ochrane informácií“ z 20. februára 1995 N 24-FZ;

2. Zákon „O právnej ochrane topológií integrované obvody» zo dňa 23.09.92 N 3526-I

3. Zákon „O účasti na medzinárodnej výmene informácií“ zo dňa 5. júna 1996 N 85-FZ

4. Zákon Ruskej federácie „O právnej ochrane programov pre elektronické počítačov a databázy" z 23. septembra 1992 č. 3523-1;

6. Zákon „O masmédiách“ z 27. decembra 1991 N 2124-I

7. Zákon „O federálnych orgánoch vládnej komunikácie a informácií“ z 19. februára 1992 N 4524-1

10. Zákon "O štátnom automatizovanom systéme Ruskej federácie" Voľby "z 10. januára 2003 N 20-FZ

11. Krylov V.V. Informačné počítačové zločiny. M.: InfraM-Norma, 1997.

12. Vedeev D.V. Ochrana údajov v počítačových sieťach. - M., 1995;

13. Kopylov V.A. Informačný zákon. - M.: Právnik, 1997;

14. Gaikovich V.Yu "Základy bezpečnosti informačných technológií", Moskva, "Info-M", 1998

15. "Ako zastaviť softvérové ​​pirátstvo?" (Simkin L., "Ruská spravodlivosť", 1996, N 10)

16. "Informácie ako prvok trestnej činnosti" (Krylov V.V., "Bulletin Moskovskej univerzity", séria 11, zákon, 1998, N 4)

17. Fomenkov G.V. „O bezpečnosti na internete“, „Ochrana informácií. Sebavedomý, č. 6, 1998.

18. „Právna ochrana počítačových programov a databáz“ (GV Vitaliev http://www.relcom.ru).

19. „Právna ochrana topológií integrovaných obvodov“ (Sergeev A.P. Jurisprudence 1993 č. 3).

Podobné dokumenty

Typy úmyselných hrozieb pre informačnú bezpečnosť. Metódy a prostriedky ochrany informácií. Metódy a prostriedky zabezpečenia informačnej bezpečnosti. Kryptografické metódy ochrany informácií. Komplexné ochranné prostriedky.

abstrakt, pridaný 17.01.2004


Koncepcia ochrany úmyselného ohrozenia integrity informácií v počítačových sieťach. Charakteristika hrozieb informačnej bezpečnosti: kompromitácia, narušenie služby. Charakteristika OOO NPO "Mekhinstrument", hlavné spôsoby a metódy ochrany informácií.

práca, pridané 16.06.2012


Rozvoj nových informačných technológií a všeobecná informatizácia. Informačná bezpečnosť. Klasifikácia úmyselných hrozieb informačnej bezpečnosti. Metódy a prostriedky ochrany informácií. Kryptografické metódy ochrany informácií.

ročníková práca, pridaná 17.03.2004


Základné vlastnosti informácie. Operácie s údajmi. Dáta sú dialektická zložka informácií. Typy úmyselných hrozieb pre informačnú bezpečnosť. Klasifikácia škodlivého softvéru. Základné metódy a prostriedky ochrany informácií v počítačových sieťach.

ročníková práca, pridaná 17.02.2010


Typy vnútorných a vonkajších úmyselných hrozieb informačnej bezpečnosti. Všeobecná koncepcia ochranu a bezpečnosť informácií. Hlavné ciele a ciele ochrany informácií. Koncepcia ekonomickej realizovateľnosti zaistenia bezpečnosti podnikových informácií.

test, pridané 26.05.2010


Problémy ochrany informácií v informačných a telekomunikačných sieťach. Štúdium ohrozenia informácií a spôsobov ich vplyvu na objekty ochrany informácií. Koncepcie informačnej bezpečnosti podniku. Kryptografické metódy ochrany informácií.

práca, doplnené 03.08.2013


História vzniku a vývoja šifrovania od staroveku až po súčasnosť. Analýza súčasných problémov zabezpečenie utajenia a integrity prenášaných alebo uchovávaných údajov, najčastejšie používané kryptografické metódy ochrany informácií.

test, pridané 23.04.2013


Klasifikácia informácií podľa významnosti. Kategórie dôvernosti a integrity chránených informácií. Pojem informačnej bezpečnosti, zdroje informačné hrozby. Smernice ochrany informácií. Softvérové ​​kryptografické metódy ochrany.

ročníková práca, pridaná 21.04.2015


Organizácia systému informačnej bezpečnosti vo všetkých jeho oblastiach. Vývoj, výroba, predaj, obsluha ochranných prostriedkov, školenie príslušného personálu. Kryptografické nástroje ochranu. Základné princípy inžinierskej a technickej ochrany informácií.

ročníková práca, pridaná 15.02.2011


Druhy ochrany informácie o počítači. Vlastnosti algoritmov a fontov používaných v kryptografii. Špecifiká používania kryptosystémov s verejným kľúčom. Štruktúra škodlivého softvéru. Zabezpečenie bezpečnosti databázy.