Klasifikácia metód informačnej bezpečnosti. Metódy informačnej bezpečnosti. Skratka. Základné pojmy

Úvod

1. Obchodné informácie a ich ochrana 3

1.1 Pojem komerčných informácií a ich typy 3

1.2 Druhy uzavreté dokumenty a informácie 6

1.3 Informácie o tovare 10

2. Komerčné informácie a ich ochrana v Mustang LLC 13

Literatúra 18

Úvod

Prechod na trhové hospodárstvo, vznik širokej škály organizačných - právne formy podnikov, rozšírená súkromná iniciatíva a podnikanie prispeli k rozvoju veľkoobchodu a maloobchod. V čase transformácií trhu sa v obchode vytvorilo skutočné konkurenčné prostredie.

Každý deň dostávajú veľkoobchodné podniky, obchody obrovské množstvo tovaru, kontajnerov a finančných prostriedkov. Rôznorodosť obchodných podnikov, ich vysoká nasýtenosť množstvom komodít prispela k vzniku veľkého počtu pracovných miest.

V moderných podmienkach trhových vzťahov môžu úspešne fungovať iba tie firmy, ktorých manažment a odborníci majú úplné, spoľahlivé a včasné informácie, čo je špeciálny druh produktu, ktorý má určitú hodnotu. Pre podnikateľa je často najcennejšia informácia, ktorú využíva na dosahovanie cieľov firmy a ktorej zverejnenie ho môže pripraviť o možnosť tieto ciele realizovať, čiže ohrozuje bezpečnosť podnikateľských aktivít. Samozrejme, nie všetky informácie, ak sú zverejnené, môžu vytvárať tieto hrozby, ale je ich určitá časť, ktorú je potrebné chrániť.

1. Obchodné informácie a ich ochrana

1.1. Pojem komerčných informácií a ich typy

Komerčné informácie sú informácie o aktuálnej situácii na trhu s rôznymi tovarmi a službami.

Všetky firmy a podniky vytvárajú informačnú základňu, ktorá uchováva a zohľadňuje údaje obsiahnuté vo vedeckých správach, vedecky - výskumných organizácií a vysokých škôl, v štatistických materiáloch rôznych katedier, vo výsledkoch prieskumov trhu a pod. Prieskum trhu sa chápe ako cielené štúdium jednotlivých prvkov trhu: systém plánovania sortimentu a objemu vyrábaných produktov; cenotvorba; distribúcia tovaru medzi vybrané trhy a podpora jeho predaja za účelom uspokojenia potrieb. V procese marketingového výskumu sa zisťuje problém trhu, vypracúva sa plán výskumu. Potom organizujte zber informácií, akými sú: experiment, pozorovanie, prieskum, výskum. Analyzujú zozbierané údaje a výsledky sumarizujú vo všeobecnej správe, ktorá sa používa v marketingových a obchodných aktivitách firiem.

Typy komerčných informácií

Informácie o potenciálnych príležitostiach obchodného podniku, jej konkurencieschopnosť.

Je potrebné posúdiť silné a slabé stránky podniku, správne definovať smery rozvoja. Cieľom je zabezpečiť udržateľnú ekonomickú situáciu. Analyzujú sa výsledky ekonomickej činnosti podniku a jeho ekonomický potenciál.

Pri hodnotení konkurencieschopnosti podniku sa berie do úvahy použitie vyspelých technológií a nových zariadení, finančná stabilita a dostupnosť konkurencieschopného produktu na trhu. To všetko a oveľa viac určuje konkurencieschopnosť podniku na trhu a plánuje posilniť svoju pozíciu.

informácie o podmienkach na trhu.

Zahŕňa informácie o ponuke a dopyte na trhu, jeho segmentoch, kapacite, povahe, cenovej úrovni, konkurencii na trhu atď. Pod trhovými podmienkami sa rozumie stav trhových vzťahov v určitom období, určitý stav ponuky a dopytu po tovare, t.j. ich skutočné maloobchodné ceny.

Pri štúdiu informácií o ponuke a dopyte treba brať do úvahy ich korešpondenciu. Keď dopyt prevýši ponuku, vzniká neuspokojený dopyt. Pri nedostatku dopytu sa hromadia prebytky tovaru. Zohľadňujú aj geografickú polohu a polohu trhu, jeho hranice a regionálne rozdiely, kapacitu a mieru otvorenosti, mieru nasýtenia tovarom a cenovú hladinu.

informácie o kupujúcich a motívoch nákupu.

Základ pre obchodné rozhodnutia. Zahŕňa: obyvateľstvo, zloženie, tradície a zvyky, úroveň príjmov, typy kupujúcich atď. Analýza znižuje riziko vydania alebo nákupu pomalyobrátkového tovaru, zabezpečuje zvýšenie objemu predaja tovaru a posilňuje finančnú stabilitu obchodného podniku.

informácie o konkurenčnom prostredí.

Obsahuje údaje o konkurentoch – dodávateľoch tovaru a konkurentoch – nákupcoch. Informácie o konkurenčnom prostredí umožňujú komerčným štruktúram objektívne posúdiť ich skutočné postavenie na trhu. Štúdiom konkurentov – dodávateľov zisťujú ich postavenie na trhu, vlastnosti tovaru, ktorý ponúkajú, finančnú situáciu, spoľahlivosť a garancie zmluvných záväzkov a pod.Štúdiom konkurentov – nákupcov zvýrazňujú ich silné a slabé stránky, hodnotia postavenie ich spoločnosti na trhu.

informácie o požiadavkách trhu na produkt.

Nevyhnutné pre správny výber tovaru a služieb. Obchodné služby musia dobre poznať spotrebiteľské vlastnosti a vlastnosti tovaru, jeho zloženie, výrobu a použitie. Zvážte tovar v dynamike, zohľadnite dopyt kupujúcich a objem predaja počas celého obdobia, keď sa tovar nakupuje na trhu.

Obchodníci musia brať do úvahy súlad medzi cenou produktu a jeho kvalitou, zohľadňujú aj prestíž produktu – mieru jeho uznania na trhu, pozitívnu verejnú mienku o produkte, resp. vysoká cena. V závislosti od príjmu kupujúceho získava tovar zodpovedajúci jeho spoločenskému postaveniu. Preto musí mať firma predstavu o hornej a dolnej hranici cien. Balenie produktu a reklamný dizajn by mali zdôrazniť výhody produktu a pomôcť urýchliť jeho predaj.

Na základe analýzy obchodných informácií prijímajú obchodné podniky obchodné rozhodnutia súvisiace s nákupom a predajom tovaru.

1.2. Typy uzavretých dokumentov a informácií

Existujú nasledujúce typy komerčných informácií:

1. Obchodné informácie:

• informácie o protistranách;
• informácie o konkurentoch;
• informácie o spotrebiteľoch;
• informácie o obchodných rokovaniach;
• obchodná korešpondencia;
• informácie o uzatvorených a plánovaných zmluvách.

2. Vedecké a technické informácie:

• obsah a plány výskumnej práce;
• obsah „know-how“, návrhy racionalizácie;
• plány na zavádzanie nových technológií a typov výrobkov;

3. Informácie o výrobe:

• technológie;
• výrobné plány;
• objem nedokončenej výroby a zásob;
• investičné plány.

4. Organizačné a manažérske informácie:

• informácie o štruktúre riadenia spoločnosti, ktoré nie sú uvedené v stanovách;
• pôvodné metódy organizácie riadenia;
• systém organizácie práce.

5. Marketingové informácie:

• trhová stratégia;
• reklamné plány;
• plány na poskytovanie konkurenčných výhod v porovnaní s produktmi iných firiem;
• metódy práce na trhoch;
• plány predaja produktov;
• analýza konkurencieschopnosti vyrábaných produktov.

6. Finančné informácie:

• plánovanie zisku a nákladov;
• cenotvorba – metódy kalkulácie, cenová štruktúra, zľavy;
• možné zdroje financovania;
• finančné prognózy.

7. Informácie o zamestnancoch firmy:

• osobné spisy zamestnancov;
• plány na zvýšenie (zníženie) počtu zamestnancov;
• obsah testov na kontrolu novoprijatých.

8. Softvér:

• programy;
• heslá, prístupové kódy k dôverným informáciám umiestneným na elektronických médiách.

Spravidla sú to vyššie uvedené informácie, ktoré najviac zaujímajú konkurentov, partnerov, banky a kriminálne štruktúry.

Proces zaistenia bezpečnosti dokumentov obsahujúcich obchodné informácie sa uskutočňuje v súlade s hlavnými fázami „životného“ cyklu dokumentu. Tieto štádiá sú:

1. Prijatie (odoslanie) dokumentu. Dokument, ktorý vstupuje do spoločnosti a obsahuje pečiatku (stupeň dôvernosti informácií), musí byť odovzdaný iba tajomníkovi-asistentovi alebo inšpektorovi správy uzavretých záznamov a zaregistrovaný. Ďalej sa prenesie na hlavu a tá určí priameho vykonávateľa podľa tento dokument, ktorý má prístup k tejto kategórii dokumentov, a dokument mu adresuje. Obdobným postupom pri odoslaní dokumentu je vyhotovenie dokumentu, podpis vedúceho, zápis do osobitného denníka asistentom tajomníka a odoslanie.

2. Ukladanie dokumentov. Všetky dokumenty obsahujúce dôverné informácie musia byť uložené v špeciálne určených, uzamknutých miestnostiach, v uzamknutých skrinkách, stoloch alebo zásuvkách. Dokumenty predstavujúce obchodné tajomstvo sa uchovávajú iba v kovových trezoroch vybavených alarmom. Všetky miestnosti musia byť utesnené. Treba mať na pamäti, že pri určovaní stupňa utajenia dokumentu sa určuje aj doba, počas ktorej je platný Po uplynutí lehoty sú možné rôzne úkony: 1) pečiatku možno predĺžiť, 2) pečiatku možno odstrániť a dokument sa otvorí, 3) dokument sa zničí.

3. Použitie dokumentu. Systém prístupu zamestnancov, ktorí nemajú príslušné práva podľa pozície k dôverným dokumentom, by mal byť povolený. Každé vystavenie takýchto dokladov sa eviduje (podpisujú obaja zamestnanci – ten, kto doklad preberá aj ten, kto ho vystavuje) a kontroluje sa postup pri práci s nimi (za priestupok sa považuje napríklad ponechanie týchto dokladov na stole počas obeda ich preniesť na iné osoby, vyniesť ich mimo kancelárskych priestorov).

4. Zničenie dokumentu. Dôverné dokumenty, ktoré stratili svoju praktickú hodnotu a nemajú žiadnu právnu, historickú alebo vedeckú hodnotu, ktorých lehota uloženia uplynula (alebo ešte neuplynula), podliehajú zničeniu. Na tento účel je vytvorená komisia (najmenej 3 osoby), v prítomnosti ktorej sa ničenie vykonáva. Potom členovia komisie podpisujú akt zničenia. Papierové dokumenty sa ničia spálením, drvením, premenou na beztvarú hmotu a magnetické a fotografické médiá sa ničia spálením, drvením, roztavením atď.

Zamestnanci spoločnosti, ktorí pracujú s tajnými dokumentmi a sú zodpovední za ich bezpečnosť, použitie a včasné zničenie, musia byť chránení pred pokušením jednoduchým, ale spoľahlivým spôsobom - vysokými mzdami.

Kontrola dodržiavania pravidiel uchovávania a používania dokumentov obsahujúcich dôverné informácie sa vykonáva pomocou kontrol. Môžu byť buď pravidelné (týždenné, mesačné, ročné) alebo nepravidelné (selektívne, náhodné). Ak sa zistia porušenia, vypracuje sa zákon a prijmú sa opatrenia, aby sa takýmto porušeniam v budúcnosti zabránilo.

Je potrebné kontrolovať nielen dokumenty obsahujúce dôverné informácie, ale aj papiere s pečaťami, pečiatky, hlavičkové papiere. Formulár - list papiera s odtlačkom rohovej alebo centrálnej pečiatky, prípadne s textom (alebo obrázkom) vytlačeným akýmkoľvek spôsobom, slúžiaci na vyhotovenie dokumentu. Osobitná pozornosť by sa mala poskytnúť ochrana takzvaným prísnym formulárom hlásenia obsahujúcim číslo (sériu), registrovaných podľa jednej zo zavedených metód a majúcich osobitný spôsob použitia.

1.3. informácie o tovare

Informácie o tovare sú informácie o produkte určené pre užívateľov - subjekty obchodnej činnosti.

Výrobcovia sú primárnymi zdrojmi informácií o produkte a predajca môže doplniť výrobné informácie.

Podľa účelu sú informácie o komoditách rozdelené do typov:

· Základné, má základné informácie o produkte, ktoré sú kľúčové pre identifikáciu a sú určené pre všetky subjekty trhových vzťahov. Základné informácie o komodite zahŕňajú: typ a názov produktu, netto hmotnosť, dátum vydania, triedu produktu, názov výrobcu, trvanlivosť alebo trvanlivosť.

· Obchodný, má informácie o produkte, ktoré dopĺňajú základné informácie o produkte. Určené pre výrobcov, dodávateľov a predajcov. Pre spotrebiteľa nie je ľahko dostupný. Obchodné informácie obsahujú údaje o sprostredkovateľských podnikoch, regulačných dokumentoch, kvalite produktov, čiarových kódoch.

· Spotrebiteľ, má informácie o produkte určené na vytváranie spotrebiteľských ponúk. Je určený priamo spotrebiteľom, obsahuje informácie o atraktívnych spotrebiteľských vlastnostiach, nutričných hodnotách, zložení, účele, spôsoboch použitia, zárukách a pod.

Nástroje informácií o produkte: označovanie, technické dokumenty, regulačné dokumenty, referenčná, vzdelávacia a vedecká literatúra, reklama a propaganda.

Označovanie- text, symboly alebo kresby použité na obale alebo produkte, ktoré majú informovať kupujúcich o kvalitatívnych vlastnostiach produktu. Označenie musí spĺňať požiadavky noriem a iných regulačných dokumentov.

Značenie sa delí na dva typy: výrobné a obchodné.

Výrobné značenie- text, symboly aplikované výrobcom na výrobok a obal. Priemyselné označovacie médiá: etikety, vložky, visačky, visačky, kontrolné pásky, pečiatky.

ochranné známky- text, symboly alebo kresby aplikované výrobcom nie na produkt, ale na médium.

Nositeľmi ochranných známok sú cenovky, tržby a pokladničné doklady.

Štruktúra značenia

Označenie môže obsahovať tri prvky:

· Text 50-100% (špecifická hmotnosť);

· Kreslenie 0-50%;

· Symboly - informačné značky 0-30%.

Informačné značky- symboly určené na identifikáciu jednotlivých alebo kumulatívnych vlastností tovaru. Informačné značky sa vyznačujú stručnosťou, výraznosťou, viditeľnosťou a rýchlym rozpoznaním.

Existujú 4 formy informácií o tovare:

1. Verbálne informácie sú umiestnené na obale alebo na samotnom produkte. Najviac dostupné informácie pre kupujúceho.

2. Digitálne informácie – obsahujú kvantitatívne informácie o produkte, ako je objem, dĺžka, netto a hrubá hmotnosť, dátum výroby a trvanlivosť. Dopĺňa verbálne informácie.

3. Grafické informácie sú umelecké alebo grafické obrázky samotného produktu alebo reprodukcia z iných obrázkov. Dopĺňa verbálne a digitálne informácie.

4. Symbolické informácie, obsahujú informácie o produkte, prenášané pomocou informačných značiek. Informačné značky sú symboly určené na identifikáciu jednotlivých alebo kumulatívnych charakteristík produktu, typické pre výrobné označovanie.

Existuje veľké množstvo spôsobov, ako získať informácie, vrátane tých, ktoré nie sú úplne legálne:

1. zhromažďovanie informácií obsiahnutých v médiách vrátane oficiálnych dokumentov, ako sú súdne správy;

2. využitie informácií distribuovaných zamestnancami konkurenčných firiem;

3. vymieňať si dokumenty a správy konzultantov; finančné správy a dokumenty, ktoré majú makléri k dispozícii; výstavné exponáty a prospekty, brožúry konkurenčných firiem; správy o cestujúcich predajcov jeho spoločnosti;

4. štúdium produktov konkurenčných firiem; využitie údajov získaných počas rozhovorov so zamestnancami konkurenčných firiem (bez porušenia zákonov);

5. skryté prieskumy a „vylovenie“ informácií od zamestnancov konkurenčných firiem na vedeckých a technických kongresoch (konferenciách, sympóziách);

6. priame pozorovanie vykonávané skryto;

7. pohovory o nábore so zamestnancami konkurenčných firiem (aj keď anketár vôbec nemieni prijať túto osobu do svojej firmy);

8. takzvané „falošné“ rokovania s konkurentom o získaní licencie;

9. prijatie zamestnanca konkurenčnej firmy na získanie požadovaných informácií;

10. podplácanie zamestnanca konkurenčnej firmy alebo osoby podieľajúcej sa na jej dodávke;

11. využitie agenta na získanie informácií na základe mzdovej agendy konkurenta;

12. odpočúvanie rokovaní prebiehajúcich v konkurenčných firmách;

13. zachytávanie telegrafných správ;

14. odpočúvanie telefonických rozhovorov;

15. krádež výkresov, vzoriek, dokumentácie;

16. vydieranie a vydieranie.

2. Obchodné informácie a ich ochrana v spoločnosti Mustang Jeans LLC

LLC "Mustang - Jeans" sa nachádza v meste Novosibirsk, v nákupnom centre "Siberian Mall", na adrese: st. Frunze 238.

LLC "Mustang - Jeans" je maloobchodný reťazec predávajúci džínsové oblečenie. Okrem oddelenia v "Siberian Mall" existuje aj oddelenie v nákupnom centre "Mega", v Kemerove av iných mestách Ruska. Mustang je koncepčný obchod pre džínsovinu, pletené veci a súvisiace doplnky. Asistenti predaja a pokladníci pracujú na obchodnom poschodí, aby pomohli zákazníkom s výberom tovaru, veľkosťou, kalkuláciou atď.

Budova nákupného centra "Siberian Mall", v ktorej sa táto predajňa nachádza, spĺňa všetky požiadavky na komerčné budovy:

· technologický: zabezpečenie racionálnej organizácie obchodu a technologického procesu;

architektonické a stavebné: budova obchodného centra má estetický vzhľad, pohodlný dizajn, je tu veľké parkovisko;

Sanitárne - technické: dodržiava sa systém požiarnej bezpečnosti, zásobovania vodou, osvetlenia atď.

Preberanie tovaru v Mustang Jeans LLC vykonáva finančne zodpovedná osoba, ktorá kontroluje kvalitu tovaru, jeho množstvo, vypĺňa doklady a preberá tovar na následný predaj.

Prepravným dokladom v LLC "Mustang - Jeans" je nákladný list. Sprievodnými dokumentmi sú: prepravný list (vydáva sa v 2 vyhotoveniach, slúži na príjem tovaru); faktúra - faktúra (za platbu za tovar).

Mustang Jeans LLC spĺňa pravidlá a techniky požiarnej bezpečnosti.

Prevádzkový postup spoločnosti Mustang Jeans LLC zodpovedá harmonogramu prác obchodného centra. Pokladnica sa odoberá na konci pracovného dňa. LLC "Mustang - Jeans" zodpovedá za kvalitu predávaného tovaru v súlade s Občianskym zákonníkom Ruskej federácie "O ochrane práv spotrebiteľov". V súlade s legislatívou Ruskej federácie sa hotovostné zúčtovanie so zákazníkmi uskutočňuje prostredníctvom registračnej pokladnice Minika.

Mustang Jeans LLC má nasledujúce typy komerčných informácií:

1. informácie o kupujúcich a motívoch nákupu- základ pre obchodné rozhodnutia, sem patrí počet obsluhovanej populácie, jej zloženie, úroveň príjmov a pod. Takéto informácie slúžia na účelnejšiu prácu so zákazníkmi, na zvýšenie predaja a získanie vysokých ziskov.

2. informácie o požiadavkách trhu na produkt potrebné pre správny výber tovaru, ktorý bude zákazníkom ponúkaný. Pri skúmaní etáp životného cyklu každého druhu produktu sa berú do úvahy zmeny v dopyte zákazníkov, sezónnosť a módnosť počas celého obdobia.

3. informácie o trhu sú informácie o ponuke a dopyte na trhu. To určuje ponuku produktov pomocou informácií o objemoch, štruktúre, dynamike výroby a skladových zásobách komodít.

4. informácie o konkurenčnom prostredí- ide o údaje o údajoch o konkurentoch – dodávateľoch tovaru. Takéto informácie nám umožňujú objektívne posúdiť aktuálnu situáciu na trhu.

5. informácie o potenciálnych príležitostiach živnostenského podniku a jeho konkurencieschopnosti. Je potrebné posúdiť silné a slabé stránky jej činnosti, správne definovať smery rozvoja.

Mustang Jeans LLC pri hodnotení konkurencieschopnosti zohľadňuje využitie vyspelých technológií, nového vybavenia, dostupnosť konkurencieschopného tovaru, finančnú stabilitu a svoj imidž. To umožňuje určiť potenciálne príležitosti spoločnosti Mustang Jeans LLC a naplánovať opatrenia na posilnenie jej konkurenčnej pozície na trhu.

Typy uzavretých dokumentov a informácií.

Obchodné informácie Mustang Jeans LLC:

1. súhrnné správy o finančnej činnosti (súvaha, výkaz ziskov a strát, daňové úľavy);

2. veľké zmluvy s bankami (na obsluhu bežného účtu);

3. kúpno-predajné zmluvy, zmluvy o dodaní tovaru;

4. údaje o cene (hodnote) tovaru;

5. podnikateľské plány a plány výroby nových produktov (podnikateľský plán, strategický plán);

6. zoznamy personálu, informácie o zamestnancoch.

Informácie o komoditách

Mustang Jeans LLC má nasledujúce typy informácií o produkte:

základné informácie o produkte, obsahujú základné informácie o produkte, určené pre všetky subjekty trhových vzťahov:

Názov produktu;

Názov výrobcu;

dátum vydania, záručná doba;

Maloobchodná cena.

· Obchodné informácie o produkte, obsahujú informácie o produkte, ktoré dopĺňajú základné informácie a sú určené pre výrobcov a predajcov.

· Informácie o spotrebiteľskom produkte, obsahujú informácie o produkte, určené na vytváranie spotrebiteľských ponúk. Ukazujú výhody vyplývajúce z nákupu konkrétneho produktu.

Formy informácií o komoditách v LLC "Mustang - Jeans"

1. slovné - umiestnené na cenovke alebo na etikete produktu. Pre verejnosť je najprístupnejšia.

2. digitálny - kvantitatívna charakteristika informácií o produkte (veľkosti, dátumy a termíny).

3. symbolický - obsahuje informácie o produkte, prenášané pomocou informačných značiek (informácie o starostlivosti o produkt).

Mustang Jeans LLC používa výrobné značenie (štítky na džínsoch a úpletoch, štítky, štítky) aj obchodné značenie ( cenovky komodít obsahujú informácie o produkte). Označenie obsahuje aj informačné tabule.

Pri vykonávaní obchodnej praxe v Mustang Jeans LLC som dospel k záveru, že na viac efektívnu prácu podniky musia urobiť nasledovné:

Rozšírte oblasť obchodnej podlahy;

Nainštalujte zariadenie bankovým prevodom;

Rozšíriť sortiment produktov v súlade s požiadavkami zákazníkov;

Bibliografia

· Kaplina SA: Organizácia obchodných aktivít. Návod. - Rostov - na - Don: Phoenix, 2002 - 416s.

Pambukhchiyants O.V. Organizácia a technológia obchodnej činnosti: Učebnica, 2. vyd., prepracovaná. a dodatočné - M .: Vydavateľská a obchodná spoločnosť "Dashkov and Co", 2006 - 648s.

Kazakevič O.Yu., Konev N.V., Maksimenko V.G. atď. Spôsoby ochrany obchodných informácií. Praktický sprievodca. - M.: Vydavateľstvo PRIOR, 1992 - 146.

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Dobrá práca na stránku">

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Úvod

J. Historiografia

YY. Hlavná časť

2.1 Typy úmyselného ohrozenia informácií

2.2 Metódy informačnej bezpečnosti

Záver

Bibliografia

Úvod

Informácie zohrávajú osobitnú úlohu vo vývoji civilizácie. Vlastníctvo informačných zdrojov vytvára predpoklady pre progresívny rozvoj spoločnosti. Skresľovanie informácií, blokovanie procesu ich získavania alebo uvádzanie nepravdivých informácií prispieva k chybným rozhodnutiam.

Ešte pred 25-30 rokmi bolo možné efektívne riešiť úlohu ochrany informácií pomocou organizačných opatrení a samostatného softvéru a zariadení na kontrolu prístupu a šifrovanie. Vznik osobných počítačov, lokálnych a globálnych sietí, satelitných komunikačných kanálov, efektívnej technickej inteligencie a dôverných informácií výrazne zhoršil problém informačnej bezpečnosti.

Informácie sú zároveň veľmi špecifickým produktom, ktorý môže byť v hmotnej aj nemateriálnej (nefixnej) podobe. Preto bez jasných hraníc, ktoré definujú informáciu ako predmet práva, je aplikácia akýchkoľvek legislatívnych noriem vo vzťahu k nej veľmi problematická.

Donedávna to bol dosť závažný dôvod komplikujúci úpravu právnych vzťahov v informačnej sfére.

Hlavné záruky informačných práv sú obsiahnuté v Ústave Ruskej federácie. Napriek tomu, že ústava je zákonom priamej žaloby, bez bližšej špecifikácie by bolo ťažké aplikovať jej ustanovenia na určité typy vzťahov.

Určité typy vzťahov upravujú osobitné zákony, ktoré tiež spravidla neobsahujú normy, ktoré priamo ustanovujú pravidlá interakcie informácií.

Pravidlá interakcie informácií vznikajúce pri realizácii konkrétnych vzťahov sú upravené na úrovni nariadení vlády alebo rezortných nariadení. Zároveň na tejto úrovni spravidla vzniká normatívny akt, ktorý je pre účastníkov týchto vzťahov záväzný a jeho pravidlá v ňom ustanovené sa oznamujú zamestnancom resp. štrukturálne členenia príslušný štátny orgán vydaním pokynu alebo zaslaním listu.

Rast kvantity a kvality hrozieb pre informačnú bezpečnosť v počítačové systémy nevedie vždy k adekvátnej reakcii v podobe spoľahlivého systému a bezpečných informačných technológií. Vo väčšine komerčných a vládnych organizácií, nehovoriac o bežných používateľoch, sa ako ochranné nástroje používajú iba antivírusové programy a rozlišovanie prístupových práv používateľov na základe hesiel.

Ohrozené informačná bezpečnosť označuje udalosti alebo akcie, ktoré môžu viesť k poškodeniu, neoprávnenému použitiu alebo dokonca zničeniu informačných zdrojov riadeného systému, ako aj softvéru a hardvéru.

Y. Historiografia

Pojem „informácia“ pochádza z latinského slova „information“, čo znamená „zoznámenie, objasnenie, prezentácia, koncept“ a pôvodne sa spájal výlučne s komunikačnými aktivitami ľudí. Zdá sa, že sa objavil v Rusku v Petrinskej ére, ale nebol široko používaný. Až začiatkom dvadsiateho storočia sa začala používať v dokumentoch, knihách, novinách a časopisoch a používala sa v zmysle hlásenia, informovania, informovania o niečom.

však rýchly rozvoj v 20. rokoch minulého storočia si prostriedky a systémy komunikácie, vznik informatiky a kybernetiky naliehavo vyžadovali vedecké pochopenie pojmu informácie a vytvorenie vhodnej teoretickej základne. To viedlo k vytvoreniu a rozvoju celej „rodiny“ najrozmanitejších doktrín o informáciách, a teda aj prístupov k definícii samotného pojmu informácie.

História doktríny informácie sa začala úvahou o jej matematickom (syntaktickom) aspekte spojenom s kvantitatívnymi ukazovateľmi (charakteristikami) informačných systémov.

V roku 1928 R. Hartley vo svojom diele „Prenos informácií“ určil mieru množstva informácií pre jednotné udalosti av roku 1948 Claude Shannon navrhol vzorec na určenie množstva informácií pre súbor udalostí s rôznymi pravdepodobnosťami. A hoci ešte v roku 1933 práca nášho vynikajúceho vedca V.A. Kotelnikova o kvantovaní elektrických signálov, ktoré obsahujú slávnu „teóriu správ“, vo svetovej vedeckej literatúre sa verí, že to bol rok 1948, kedy sa zrodila teória informácie a kvantitatívny prístup k informačným procesom.

Štatistická teória informácie formulovaná K. Shannonom mala významný vplyv na rôzne oblasti poznania. Zistilo sa, že Shannonov vzorec je veľmi podobný Boltzmannovmu vzorcu používanému vo fyzike na štatistické určenie entropie, braný s opačným znamienkom. To umožnilo L. Brilluneovi charakterizovať informáciu ako negatívnu entropiu (negentropiu).

Význam štatistického prístupu k definícii pojmu informácie bol aj v tom, že v jeho rámci bola získaná prvá definícia informácie, ktorá bola vyhovujúca aj z filozofického hľadiska: informácia je eliminácia neistoty. Podľa A.D. Ursula „Ak sú v našich vedomostiach o nejakej téme nejasnosti, neistota a po získaní nových informácií o tejto téme to už vieme posúdiť presnejšie, znamená to, že správa obsahovala informácie.

Ukázalo sa však, že zvýraznenie iba jeho kvantitatívneho aspektu v informáciách zjavne nestačí. Ako V.A. Bokarev, v štatistickej teórii, "ktorý urobil túto teóriu na jednej strane predbežne širokou, ale na druhej strane bráni tomu, aby sa stala vedou, ktorá študuje informácie komplexne." To všetko nás nútilo hľadať iné, univerzálnejšie prístupy k definícii pojmu informácia.

Takýmto vlastne ďalším, doplnkovým prístupom bol kybernetický prístup, pokrývajúci štruktúry a prepojenia systémov. S príchodom kybernetiky ako vedy „o všeobecných zákonitostiach transformácie informácií v zložitých riadiacich systémoch“, metódach vnímania, ukladania, spracovania a využívania informácií sa pojem „informácie“ stal vedeckým pojmom, akýmsi nástrojom. na štúdium riadiacich procesov.

YY.Hlavná časť

2.1 Typy úmyselného ohrozenia informácií

Pasívne Hrozby smerujú najmä k neoprávnenému využívaniu informačných zdrojov IS bez ovplyvnenia jeho prevádzky. Napríklad, nepovolený prístup do databáz, počúvanie komunikačných kanálov atď.

Aktívne hrozby sú zamerané na narušenie normálneho fungovania IS účelovým ovplyvňovaním jeho zložiek. Medzi aktívne hrozby patrí napríklad zlyhanie počítača alebo jeho operačného systému, skreslenie informácií v databáze, zničenie počítačového softvéru, narušenie komunikačných liniek atď. Aktívne hrozby môžu pochádzať od hackerov, malvéru atď.

Úmyselné hrozby sa tiež delia na vnútorné (vznikajúce v rámci riadenej organizácie) a externé.

Vnútorné hrozby sú najčastejšie determinované sociálnym napätím a ťažkou morálnou klímou.

Vonkajšie hrozby môžu byť určené zlomyseľným konaním konkurentov, ekonomické podmienky a iné dôvody (napríklad prírodné katastrofy). Podľa zahraničných zdrojov sa rozmohla priemyselná špionáž. -- ide o nezákonné zhromažďovanie, privlastňovanie si a odovzdávanie informácií tvoriacich obchodné tajomstvo osobou, ktorá nie je oprávnená ich vlastníkom, na úkor vlastníka obchodného tajomstva.

Medzi hlavné hrozby pre bezpečnosť informácií a normálne fungovanie IS patria:

* únik dôverných informácií;

* kompromitácia informácií;

* neoprávnené používanie informačných zdrojov;

* chybné používanie informačných zdrojov;

* neoprávnená výmena informácií medzi účastníkmi;

* odmietnutie informácií;

* porušenie informačnej služby;

* nezákonné používanie privilégií.

Únik dôverných informácií -- ide o nekontrolované uvoľnenie dôverných informácií mimo IP alebo okruhu osôb, ktorým boli zverené do služby alebo sa o nich pri výkone práce dozvedeli. Tento únik môže byť spôsobený:

* zverejnenie dôverných informácií;

* starostlivosť o informácie prostredníctvom rôznych, najmä technických, kanálov;

* nepovolený prístup do dôverné informácie rôznymi spôsobmi.

Zverejnenie informácií jej vlastníkom alebo vlastníkom je úmyselné alebo neopatrné konanie úradníkov a používateľov, ktorým bola príslušná informácia riadne zverená do služby alebo práce, čo viedlo k oboznámenie sa s ním osobami, ku ktorým sa nepripustili táto informácia.

Nekontrolovaná starostlivosť o dôverné informácie je možná prostredníctvom vizuálno-optických, akustických, elektromagnetických a iných kanálov.

Nepovolený prístup -- je nezákonné úmyselné držanie dôverných informácií osobou, ktorá nemá právo na prístup chránené informácie.

Najbežnejšie spôsoby neoprávneného prístupu k informácie sú:

* zachytávanie elektronického žiarenia;

* používanie odpočúvacích zariadení (záložiek);

* fotografovanie na diaľku;

* zachytenie akustického žiarenia a obnovenie textu tlačiarne;

* čítanie zvyškových informácií v systémovej pamäti po vykonaní autorizovaných požiadaviek;

* kopírovanie médií s prekonaním ochranných opatrení

* prezliecť sa za registrovaného užívateľa;

* maskovanie pod systémovými požiadavkami;

* používanie softvérových pascí;

* používanie nedostatkov programovacích jazykov a operačných systémov;

* nelegálne pripojenie k zariadeniam a komunikačným linkám špeciálne navrhnutého hardvéru, ktorý poskytuje prístup k informáciám;

* Zlomyseľné zneschopnenie ochranných mechanizmov;

* prepis špeciálne programy zašifrované: informácie;

* informačné infekcie.

Uvedené spôsoby neoprávneného prístupu vyžadujú od crackera pomerne veľa technických znalostí a vhodný vývoj hardvéru alebo softvéru. Napríklad sa používajú technické kanályÚniky sú fyzické cesty od zdroja dôverných informácií k útočníkovi, prostredníctvom ktorých je možné získať chránené informácie. Príčinou vzniku únikových kanálov sú konštrukčné a technologické nedokonalosti obvodových riešení alebo prevádzkové opotrebovanie prvkov. Toto všetko umožňuje crackerom vytvárať konvertory fungujúce na určitých fyzikálnych princípoch, ktoré tvoria prenosový kanál, ktorý je týmto princípom vlastný. informácie -- kanálúniky.

Existujú však celkom primitívne spôsoby neoprávneného prístupu:

* krádeže mediálneho a dokumentárneho odpadu; * iniciatívna spolupráca;

* sklon k spolupráci zo strany zlodeja; * inkvizícia;

* odpočúvanie;

* pozorovanie a iné spôsoby.

Akékoľvek spôsoby úniku dôverných informácií môžu viesť k značnému materiálnemu a morálna škoda ako pre organizáciu, kde IS pôsobí, tak aj pre jeho používateľov.

Manažéri by si mali uvedomiť, že veľká časť príčin a podmienok, ktoré vytvárajú predpoklady a možnosť sprenevery dôverných informácií, vyplýva z elementárnych nedostatkov vedúcich organizácií a ich zamestnancov. Dôvody a podmienky, ktoré vytvárajú predpoklady pre únik obchodného tajomstva, môžu napríklad zahŕňať:

* nedostatočné znalosti zamestnancov organizácie o pravidlách ochrany dôverných informácií a nepochopenie potreby ich starostlivého dodržiavania;

* použitie necertifikovaného technické prostriedky spracovanie dôverných informácií;

* slabá kontrola dodržiavania pravidiel ochrany informácií právnymi, organizačnými a inžinierskymi opatreniami;

* fluktuácia zamestnancov vrátane tých, ktorí vlastnia informácie predstavujúce obchodné tajomstvo;

* organizačné nedostatky, v dôsledku ktorých sú páchateľmi úniku informácií ľudia – zamestnanci IS a IT.

Väčšinu uvedených technických spôsobov neoprávneného prístupu je možné spoľahlivo zablokovať správne navrhnutým a implementovaným bezpečnostným systémom. Boj proti informačným infekciám však predstavuje značné ťažkosti, pretože existuje a neustále sa vyvíja veľké množstvo malvér, ktorej účelom je poškodiť informácie v databáze a počítačovom softvéri. Veľké číslo rozmanitosti týchto programov neumožňuje vývoj trvalých a spoľahlivých opravných prostriedkov proti nim.

Škodlivý softvér je klasifikovaný takto: logické bomby, ako už názov napovedá, používajú sa na skreslenie alebo zničenie informácií, menej často sa používajú na páchanie krádeží alebo podvodov. Manipulácie s logickými bombami zvyčajne vykonávajú nespokojní zamestnanci, ktorí sa chystajú opustiť organizáciu, ale môžu to byť aj konzultanti, zamestnanci s určitým politickým presvedčením atď.

Skutočný príklad logickej bomby: programátor, ktorý očakáva svoje prepustenie, vykoná určité zmeny v mzdovom programe, ktoré sa prejavia, keď jeho meno zmizne zo súboru údajov o personál firmy.

trójsky kôň -- program, ktorý vykonáva okrem hlavných, t.j. navrhnutých a zdokumentovaných akcií, aj ďalšie akcie, ktoré nie sú popísané v dokumentácii. Prirovnanie so starogréckym trójskym koňom je opodstatnené – v oboch prípadoch hrozba číha v nenápadnej škrupine. Trójsky kôň je dodatočný blok príkazov, tak či onak vložený do pôvodného neškodného programu, ktorý sa potom prenáša (daruje, predáva, nahrádza) používateľom IP. Tento blok príkazov môže byť spustený, keď nastane určitá podmienka (dátum, čas, príkaz zvonku atď.). Každý, kto spustí takýto program, ohrozuje ako svoje súbory, tak aj celú IP ako celok. Trójsky kôň zvyčajne koná v rámci právomoci jedného používateľa, ale v záujme iného používateľa alebo osoby zvonku vo všeobecnosti, ktorej identitu niekedy nie je možné zistiť.

Trójsky kôň môže vykonávať najnebezpečnejšie akcie, ak má používateľ, ktorý ho spustil, rozšírenú sadu privilégií. V tomto prípade útočník, ktorý zostavil a implementoval trójsky kôň, a on sám tieto privilégiá nemá, môže vykonávať neoprávnené privilegované funkcie prostredníctvom splnomocnenca.

Vírus -- program, ktorý môže infikovať iné programy tým, že do nich zahrnie upravenú kópiu schopnú ďalšej reprodukcie.

Predpokladá sa, že vírus sa vyznačuje dvoma hlavnými znakmi:

1) schopnosť samostatne sa rozmnožovať;

2) schopnosť zasahovať výpočtový proces(t.j. získať kontrolu).

Červ -- program, ktorý sa šíri po sieti a nezanecháva svoju kópiu magnetické médiá. Červ používa sieťové podporné mechanizmy na určenie, ktorý hostiteľ môže byť infikovaný. Potom pomocou rovnakých mechanizmov prenesie svoje telo alebo jeho časť do tohto uzla a buď sa aktivuje, alebo čaká na vhodné podmienky. Najznámejším predstaviteľom tejto triedy je Morris vírus (Morris worm), ktorý infikoval internet v roku 1988. Vhodným prostredím pre šírenie červa je sieť, kde sú všetci používatelia považovaní za priateľských a navzájom si dôverujú a neexistuje žiadna obrana mechanizmov. Najlepším spôsobom, ako sa chrániť pred červom, je prijať opatrenia proti neoprávnenému prístupu do siete.

Password Invader -- sú to programy špeciálne navrhnuté na kradnutie hesiel. Keď sa používateľ pokúsi o prístup k systémovému terminálu, na obrazovke sa zobrazia informácie potrebné na ukončenie relácie. Používateľ pri pokuse o prihlásenie zadá meno a heslo, ktoré sa odošlú majiteľovi invázneho programu, po ktorom sa zobrazí chybové hlásenie a vstup a ovládanie sa vrátia späť do operačného systému. Používateľ, ktorý si myslí, že urobil chybu pri zadávaní hesla, sa znova prihlási a získa prístup do systém. Jeho meno a heslo však už pozná majiteľ programu votrelca. Zachytenie hesla je možné aj inými spôsobmi. Aby ste predišli tejto hrozbe, pred prihlásením sa musíte uistiť, že ste zadali meno a heslo vstupného programu systému a nie nejaké iné. Okrem toho musíte prísne dodržiavať pravidlá používania hesiel a práce so systémom. Väčšina porušení nie je spôsobená šikovnými útokmi, ale elementárnou nedbalosťou. Nevyhnutnou podmienkou spoľahlivej ochrany je dodržiavanie špeciálne vyvinutých pravidiel používania hesiel.

Kompromis informácií (jeden z typov informačných infekcií). Realizuje sa spravidla prostredníctvom neoprávnených zmien v databáze, v dôsledku čoho je jej spotrebiteľ nútený ju buď opustiť, alebo vyvinúť dodatočné úsilie na zistenie zmien a obnovenie pravdivých informácií. Pri používaní kompromitovaných informácií je spotrebiteľ vystavený riziku, že urobí nesprávne rozhodnutia.

Neoprávnené používanie informačných zdrojov , S na jednej strane sú následky jeho úniku a prostriedkom na jeho ohrozenie. Na druhej strane má nezávislú hodnotu, pretože môže spôsobiť veľké škody riadenému systému (až do úplného zlyhania IT) alebo jeho účastníkom.

Nesprávne používanie informačných zdrojov ak je to povolené, môže to viesť k zničeniu, úniku alebo ohrozeniu uvedených zdrojov. Táto hrozba najčastejšie výsledkom chýb v IT softvéri.

Neoprávnená výmena informácií medzi predplatiteľmi môže viesť k získanie informácií jedným z nich, prístup k čo má zakázané. Následky sú rovnaké ako pri neoprávnenom prístupe.

Vylúčenie zodpovednosti spočíva v neuznaní zo strany príjemcu alebo odosielateľa tejto informácie o skutočnostiach jej prijatia alebo odoslania. To umožňuje jednej zo strán ukončiť uzatvorené finančné dohody technickými prostriedkami bez toho, aby sa ich formálne vzdala, čím by druhej strane vznikla značná škoda.

Prerušenie informačnej služby -- hrozbou, ktorú predstavuje samotné IT. Oneskorenie poskytovania informačných zdrojov účastníkovi môže mať pre neho vážne následky. Nedostatok včasných údajov potrebných na rozhodnutie používateľa môže viesť k iracionálnym krokom.

Nezákonné používanie privilégií . Každý zabezpečený systém obsahuje nástroje používané v núdzové situácie alebo nástroje, ktoré môžu fungovať v rozpore s existujúcimi bezpečnostnými politikami. Napríklad v prípade neočakávanej kontroly by mal mať používateľ prístup ku všetkým súpravám systému. Tieto nástroje zvyčajne používajú správcovia, operátori, systémoví programátori a iní používatelia, ktorí vykonávajú špeciálne funkcie.

Väčšina ochranných systémov v takýchto prípadoch používa sady privilégií, t.j určitú funkciu vyžaduje sa určité privilégium. Používatelia majú zvyčajne minimálny súbor oprávnení, správcovia - maximum.

Sady Privilege sú chránené bezpečnostným systémom. Neoprávnené (nezákonné) odobratie privilégií je možné, keď sa vyskytnú chyby v systéme ochrany, ale najčastejšie sa vyskytuje v procese riadenia systému ochrany, najmä keď sa privilégiá používajú neopatrne.

Prísne dodržiavanie pravidiel riadenia systému ochrany, dodržiavanie zásady minimálnych privilégií vám umožňuje vyhnúť sa takýmto porušeniam.

2.2 Metódy informačnej bezpečnosti

V septembri 2000 prezident Ruska podpísal: „Doktrína informačná bezpečnosť RF“, na základe ktorej bol prijatý zákon o informáciách. Tento zákon rozlišuje tieto druhy informácií, ktoré patria pod ochranu štátu:

Kryptografické metódy:

Problém ochrany informácií ich transformáciou, s vylúčením ich čítania cudzincom, znepokojuje ľudskú myseľ už od staroveku. História kryptografie je rovnaká ako história ľudský jazyk. Navyše, pôvodne bolo samotné písanie kryptografickým systémom, keďže v starovekých spoločnostiach ho vlastnilo len pár vyvolených. Príkladom toho sú posvätné knihy starovekého Egypta, starovekej Indie.

S rozšíreným používaním písma sa kryptografia začala formovať ako samostatná veda. Prvé kryptosystémy sa nachádzajú už na začiatku nášho letopočtu. Caesar teda vo svojej korešpondencii už používal viac-menej systematickú šifru, ktorá dostala jeho meno.

Kryptografické systémy sa rýchlo rozvíjali v rokoch prvej a druhej svetovej vojny. Od povojnového obdobia až po súčasnosť nástup výpočtových nástrojov urýchlil vývoj a zdokonaľovanie kryptografických metód.

Prečo sa stal problém používania kryptografických metód v informačných systémoch (IS). tento moment obzvlášť relevantné?

Na jednej strane sa zvýšilo najmä využívanie počítačových sietí globálnej siete Internet, prostredníctvom ktorého sa prenáša veľké množstvo informácií štátneho, vojenského, obchodného a súkromného charakteru, ktoré neumožňuje prístup k nim neoprávneným osobám.

Na druhej strane vznik nových výkonné počítače, sieťové a neurónové výpočtové technológie umožnili zdiskreditovať kryptografické systémy, ktoré boli donedávna považované za prakticky nezverejnené.

Problémom ochrany informácií ich transformáciou sa zaoberá kryptológia (kryptos – tajomstvo, logos – veda). Kryptológia sa delí na dve oblasti – kryptografiu a kryptoanalýzu. Ciele týchto smerov sú priamo opačné.

Kryptografia sa zaoberá hľadaním a štúdiom matematických metód na transformáciu informácií.

Sférou záujmu kryptoanalýzy je štúdium možnosti dešifrovania informácií bez znalosti kľúčov.

Moderná kryptografia zahŕňa štyri hlavné časti:

1. Symetrické kryptosystémy.

2.Kryptosystémy s verejný kľúč.

3. Systémy elektronického podpisu.

4. Manažment kľúčov.

Hlavnými smermi používania kryptografických metód sú prenos dôverných informácií prostredníctvom komunikačných kanálov (napríklad e-mail), autentifikácia prenášaných správ, ukladanie informácií (dokumenty, databázy) na šifrované médiá.

Systémy verejného kľúča:

Bez ohľadu na to, aké zložité a spoľahlivé sú kryptografické systémy, ich slabé stránky pri praktickú realizáciu- distribučný problém kľúče. Na výmenu dôverných informácií medzi dvomi IP entitami musí byť kľúč vygenerovaný jedným z nich a potom nejakým spôsobom dôverne prenesený do druhého. Tie. vo všeobecnom prípade prenos kľúča opäť vyžaduje použitie nejakého kryptosystému.

Na vyriešenie tohto problému na základe výsledkov získaných klasickou a modernou algebrou, systémy verejného kľúča.

Ich podstata spočíva v tom, že každý IP adresát generuje dva kľúče, ktoré spolu súvisia podľa určitého pravidla. Jeden kľúč je vyhlásený za verejný a druhý za súkromný. Verejný kľúč je zverejnený a dostupný každému, kto chce poslať správu príjemcovi. Tajný kľúč je udržiavaný v tajnosti.

Zdrojový text sa zašifruje verejným kľúčom príjemcu a odošle sa mu. Šifrovaný text v zásade nemožno dešifrovať rovnakým verejným kľúčom. Dešifrovanie správy je možné len pomocou súkromného kľúča, ktorý pozná iba adresát.

Kryptografické systémy s verejným kľúčom používajú takzvané ireverzibilné alebo jednosmerné funkcie, ktoré majú nasledujúcu vlastnosť: pre danú hodnotu X pomerne ľahko vypočítať f(x), ak však r=f(x), potom nie ľahká cesta na výpočet hodnoty X.

Sada tried ireverzibilných funkcií generuje celú škálu systémov verejného kľúča. Nie každá nevratná funkcia je však vhodná na použitie v skutočných integrovaných obvodoch.

V samotnej definícii nezvratnosti je neistota. Nevratnosť sa chápe nie ako teoretická nezvratnosť, ale ako praktická nemožnosť vypočítať recipročnú hodnotu pomocou moderných výpočtových nástrojov v predvídateľnom časovom intervale.

Preto, aby sa zaručila spoľahlivá ochrana informácií, sú na systémy verejného kľúča (PKC) kladené dve dôležité a zrejmé požiadavky:

1. Transformácia zdrojového textu musí byť nevratná a vylučovať jeho obnovenie na základe verejného kľúča.

2. Na súčasnej technologickej úrovni by tiež nemalo byť možné určiť súkromný kľúč na základe verejného. V tomto prípade je žiaduci presný nižší odhad zložitosti (počet operácií) rozlúštenia šifry.

Šifrovacie algoritmy s verejným kľúčom sú široko používané v moderných informačných systémoch. takže, Algoritmus RSA sa stal de facto globálnym štandardom pre otvorené systémy a odporúča ho CCITT.

Vo všeobecnosti sa všetky dnes ponúkané kryptosystémy s verejným kľúčom spoliehajú na jeden z nasledujúcich typov nevratných transformácií:

Rozklad veľkých čísel na prvočiniteľa.

Výpočet logaritmu v konečnom poli.

Výpočet koreňov algebraických rovníc.

Tu treba tiež poznamenať, že algoritmy kryptosystému verejného kľúča (PKC) možno použiť na tri účely.

1. Ako nezávislý prostriedok ochrany prenášané a uložené dáta.

2. Ako prostriedok distribúcie kľúčov. Algoritmy SOC sú náročnejšie na prácu ako tradičné kryptosystémy. Preto je v praxi často racionálne distribuovať kľúče pomocou RNS, ktorých objem ako informácie je bezvýznamný. A potom pomocou konvenčných algoritmov na výmenu veľkých informačných tokov.

Prostriedky autentifikácie užívateľa.

Elektronický podpis

V roku 1991 Národný inštitút pre štandardy a technológie (NIST) navrhol pre algoritmus digitálneho podpisu DSA (Digital Signature Algorithm), ktorý sa potom objavil ako štandard DSS (Digital Signature Standard), ktorý je založený na algoritmoch ElGamal a RSA.

Aký je problém s autentifikáciou údajov?

Na koniec obyčajný list alebo dokument, podpisuje spravidla exekútor alebo zodpovedná osoba. Podobná akcia zvyčajne slúži na dva účely. Po prvé, príjemca má možnosť overiť si pravdivosť listu porovnaním podpisu so vzorom, ktorý má. Po druhé, osobný podpis je právnym garantom autorstva dokumentu. Posledné hľadisko je dôležité najmä pri uzatváraní rôznych druhov obchodných transakcií, vyhotovovaní splnomocnení, záväzkov atď.

Ak je veľmi ťažké sfalšovať podpis osoby na papieri a určiť autorstvo podpisu pomocou moderných forenzných metód - technický detail, potom je situácia pri elektronickom podpise iná. Každý používateľ môže sfalšovať bitstring jednoduchým skopírovaním alebo v tichosti vykonať nezákonné opravy dokumentu.

Rozšírené v modernom svete elektronické formuláre dokumentov (vrátane dôverných) a prostriedkov ich spracovania, problém overenia pravosti a autorstva bezpapierovej dokumentácie sa stal obzvlášť aktuálnym.

V časti o kryptografických systémoch s verejným kľúčom sa ukázalo, že so všetkými výhodami moderných šifrovacích systémov neumožňujú autentifikáciu údajov. Preto by sa mali autentifikačné nástroje používať v kombinácii s kryptografickými algoritmami.

Niekedy nie je potrebné šifrovať prenesená správa ale treba to opraviť elektronický podpis. V tomto prípade je text zašifrovaný súkromným kľúčom odosielateľa a výsledný reťazec znakov je pripojený k dokumentu. Príjemca dešifruje podpis pomocou verejného kľúča odosielateľa a porovná ho s textom. V roku 1991 Národný inštitút pre štandardy a technológie (NIST) navrhol pre algoritmus digitálneho podpisu DSA (Digital Signature Algorithm), ktorý sa potom objavil ako štandard DSS (Digital Signature Standard), ktorý je založený na algoritmoch ElGamal a RSA.

Metódy informačnej bezpečnosti vInternet:

Dnes je najrelevantnejšou témou internetu problém informačnej bezpečnosti. Sieť sa v celosvetovom meradle rýchlo rozvíja a interné sieťové systémy (intranet, intranety) sú čoraz rozšírenejšie. Vznik nového obrovského priestoru na trhu poslúžil ako podnet pre používateľov aj poskytovateľov sieťových služieb, aby hľadali spôsoby, ako zlepšiť bezpečnosť prenosu informácií cez internet.

Problém bezpečnosti internetu spadá do dvoch kategórií: všeobecná bezpečnosť a problémy so spoľahlivosťou finančné transakcie. Úspešné vyriešenie finančných problémov by mohlo internetu otvoriť obrovské príležitosti na poskytovanie obchodných služieb. Do boja za vyriešenie tohto problému sa zapojili giganti v oblasti kreditných kariet MasterCard a Visa, ako aj lídri počítačového priemyslu Microsoft a Netscape. Toto všetko sa týka „peniaze“; náš článok je venovaný problému všeobecnej bezpečnosti.

Úlohou výskumu v tejto oblasti je vyriešiť problém dôvernosti. Vezmime si ako príklad prenos e-mailových správ z jedného SMTP servera na druhý. V niektorých prípadoch sa tieto správy jednoducho skopírujú z jedného pevného disku na druhý ako obyčajné textové súbory, to znamená, že si ich môže prečítať každý. Obrazne povedané, mechanizmus doručovania e-mailov cez internet pripomína situáciu, keď vypranú bielizeň vešia na ulici, namiesto vyžmýkania práčka. Nezáleží na tom, či správa obsahuje nejaké finančné informácie alebo nie; dôležité je nasledovné – akékoľvek informácie odosielané cez internet by mali byť neprístupné pre cudzincov.

Okrem súkromia používateľov sa to týka aj garancií, s ktorými sa teraz „rozprávajú“. Potrebujú si byť istí, že internetový server, s ktorým sú momentálne v spojení, je skutočne tým, za koho sa vydáva; či už je to server World-Wide Web, FTP, IRC alebo čokoľvek iné. Nie je ťažké napodobniť (či už zo zábavy alebo s kriminálnym zámerom) nezabezpečený server a pokúsiť sa o vás zozbierať všetky informácie. A, samozrejme, poskytovatelia sieťových služieb sa chcú postarať aj o to, aby ľudia, ktorí ich kontaktujú kvôli určitým internetovým zdrojom, ako napr email a IRC služby, naozaj tým, kým hovoria, že sú.

Spôsob ochrany heslom:

Oprávnenosť požiadavky používateľa je určená heslom, ktoré je zvyčajne reťazec znakov. Metóda hesla sa považuje za dosť slabú, pretože heslo sa môže stať predmetom krádeže, odpočúvania, hrubej sily, hádania. Jednoduchosť metódy však podnecuje hľadanie možností na jej zlepšenie.

Na zlepšenie účinnosti ochrany heslom sa odporúča:

vyberte si heslo dlhšie ako 6 znakov, vyhýbajte sa bežným, ľahko uhádnuteľným slovám, menám, dátumom atď.;

1.používať špeciálne znaky;

2. heslá uložené na serveri, ktoré sa majú zašifrovať pomocou jednosmernej funkcie;

3.umiestnite súbor s heslami do špeciálne chránenej oblasti pamäte počítača, uzavretej na čítanie používateľom;

4. hranice medzi susednými heslami sú maskované;

5.komentáre súboru s heslami by mali byť uložené oddelene od súboru;

6. pravidelne meniť heslá;

7. Zabezpečiť možnosť vynútenej zmeny hesla systémom po určitom čase;

8.použiť niekoľko používateľských hesiel: skutočné heslo, osobný identifikátor, heslo na uzamknutie/odomknutie zariadenia v prípade krátkodobej neprítomnosti atď.

9. Náhodný výber znakov hesla a jednorazové použitie hesiel sa používajú ako komplexnejšie metódy hesiel. V prvom prípade je používateľ (zariadenie) pridelený dostatočne dlhé heslo a zakaždým, keď sa náhodne vybraná časť hesla použije na identifikáciu. Pri jednorazovom použití hesla nie je používateľovi pridelené jedno, ale veľké množstvo hesiel, z ktorých každé je použité podľa zoznamu alebo náhodne vybrané raz. V skutočne distribuovanom prostredí, kde majú používatelia prístup k viacerým serverom, databázam a dokonca aj právam vzdialeného prihlásenia, sa bezpečnosť stáva tak komplikovanou, že ju administrátor vidí len v nočnej more.

Administratívne ochranné opatrenia:

Problém ochrany informácií sa rieši zavedením kontroly prístupu a diferenciáciou právomocí používateľov.

Bežným prostriedkom na obmedzenie prístupu (alebo obmedzenia oprávnenia) je systém hesiel. Je však nespoľahlivý. Skúsení hackeri môžu túto ochranu prelomiť, „odkuknúť“ cudzie heslo alebo vstúpiť do systému hrubou silou možné heslá, keďže veľmi často používajú mená, priezviská alebo dátumy narodenia používateľov. Spoľahlivejším riešením je organizovať riadenie prístupu do priestorov alebo ku konkrétnemu PC v LAN pomocou identifikačných plastových kariet rôznych typov.

Použitie plastových kariet s magnetickým prúžkom na tieto účely je sotva vhodné, pretože sa dajú ľahko sfalšovať. Vyššiu mieru spoľahlivosti poskytujú plastové karty s integrovaným mikroobvodom - takzvané mikroprocesorové karty (MP - cards, smart - card). Ich spoľahlivosť je spôsobená predovšetkým nemožnosťou kopírovania alebo falšovania remeselným spôsobom. Pri výrobe kariet sa navyše do každého mikroobvodu zadáva jedinečný kód, ktorý nie je možné duplikovať. Pri vydávaní karty používateľovi je na ňu aplikované jedno alebo viac hesiel, ktoré pozná iba jej vlastník. Pri niektorých typoch MP - kariet končí pokus o neoprávnené použitie ich automatickým "uzavretím". Ak chcete obnoviť výkon takejto karty, musíte ju predložiť príslušnému orgánu.

Inštalácia špeciálnej čítačky MP - kariet je možná nielen pri vstupe do priestorov, kde sa nachádzajú počítače, ale aj priamo na pracovných staniciach a sieťových serveroch.

Ochrana firemných informácií:

Pri riešení tohto problému sa však podniky často riadia dodávateľskými spoločnosťami, ktoré propagujú jeden alebo viac produktov, ktoré spravidla riešia konkrétne problémy. Nižšie uvažujeme o najbežnejších prístupoch ku komplexnému riešeniu problému zaistenia informačnej bezpečnosti.

Najtypickejšou chybou pri budovaní ochranného systému je túžba ochrániť všetko a pred všetkým naraz. Vlastne definícia potrebné informácie(súbory, adresáre, disky) a iné objekty informačnú štruktúru ktoré chcete chrániť – prvý krok pri budovaní systému informačnej bezpečnosti. Mali by ste začať s definíciou tohto zoznamu: mali by ste odhadnúť, aká veľká je strata (vymazanie alebo krádež) konkrétnej databázy alebo napríklad jednoduchej databázy. pracovná stanica počas dňa.

Druhým krokom je identifikácia zdrojov hrozieb. Spravidla je ich niekoľko. Identifikovať zdroj ohrozenia znamená vyhodnotiť jeho ciele (ak je zdroj úmyselný) alebo možný dopad (neúmyselný), pravdepodobnosť (alebo intenzitu) jeho výskytu. Ak hovoríme o zlomyseľnom konaní osoby (alebo skupiny osôb), potom je potrebné vyhodnotiť jej organizačné a technické možnosti pre prístup k informáciám (napokon, útočníkom môže byť aj zamestnanec firmy).

Po identifikácii zdroja hrozieb je možné formulovať hrozby pre informačnú bezpečnosť. Teda čo sa môže stať s informáciami. Spravidla je zvykom rozlišovať medzi týmito skupinami hrozieb:

§ neoprávnený prístup k informáciám (čítanie, kopírovanie alebo zmena informácií, ich falšovanie a ukladanie);

§ nefunkčnosť počítačov a aplikačných programov

§ Zničenie informácií.

V každej z týchto troch skupín možno identifikovať desiatky konkrétnych hrozieb, no zastavme sa teraz pri tom. Poznamenávame len, že hrozby môžu byť zámerné a náhodné a náhodné, naopak, prírodné (napríklad prírodné katastrofy) a umelé (chybné činy personálu). Náhodné hrozby, ktoré neobsahujú nekalé úmysly, sú väčšinou nebezpečné len z hľadiska straty informácií a narušenia systému, proti čomu sa dá celkom jednoducho poistiť. Úmyselné hrozby sú z hľadiska straty pre podnikanie závažnejšie, pretože tu musíte bojovať nie so slepou (hoci nemilosrdnou svojou silou) šancou, ale s mysliacim nepriateľom.

Je užitočné vybudovať systém ochrany s princípmi ochrany, ktoré sú celkom univerzálne pre rôzne tematické oblasti (ženijná podpora v armáde, fyzická bezpečnosť osôb a území a pod.)

§ Adekvátnosť (primeraná dostatočnosť). Celkové náklady na ochranu (čas, ľudské a finančné zdroje) musia byť nižšie ako náklady na chránené zdroje. Ak je obrat firmy 10 000 dolárov za mesiac, sotva má zmysel nasadzovať systém za milión dolárov (ako aj naopak).

§ Dôslednosť. Dôležitosť tohto princípu je evidentná najmä pri konštrukcii veľké systémy ochranu. Spočíva v tom, že systém ochrany by sa nemal budovať abstraktne (ochrana proti všetkému), ale na základe analýzy hrozieb, prostriedkov ochrany proti týmto hrozbám, hľadania optimálnej zostavy týchto nástrojov a konštrukcie systém.

§ Transparentnosť pre legitímnych používateľov. Zavedenie bezpečnostných mechanizmov (najmä autentifikácie používateľov) nevyhnutne vedie ku komplikáciám ich konania. Žiadny mechanizmus by však nemal vyžadovať nemožné akcie (napríklad prísť s 10-ciferným heslom každý týždeň a nikam si ho nezapisovať) alebo zdržiavať procedúru prístupu k informáciám.

§ Rovnosť odkazov. Väzby sú prvky obrany, pričom prekonať ktorýkoľvek z nich znamená prekonať celú obranu. Je jasné, že slabosť niektorých väzieb nemôže byť kompenzovaná posilnením iných. V každom prípade je sila obrany (resp. jej úroveň, viď nižšie) určená silou najslabšieho článku. A ak je nelojálny zamestnanec pripravený „hodiť cenné informácie na disketu“ za 100 dolárov, potom je nepravdepodobné, že by útočník vytvoril komplexný hackerský útok na dosiahnutie rovnakého cieľa.

§ Kontinuita. Vo všeobecnosti rovnaká stabilita, len v časovej oblasti. Ak sa rozhodneme, že niečo a nejako ochránime, tak to musíme takto chrániť v každom okamihu. Nemožno sa napríklad rozhodnúť v piatok robiť zálohovanie informácie a na posledný piatok v mesiaci si dohodnúť „sanitárny deň“. Zákon podlosti je neúprosný: presne v momente, keď sa oslabia opatrenia na ochranu informácií, stane sa to, čomu sme sa bránili. Dočasné zlyhanie v obrane, ako aj slabý článok robí to bezvýznamným.

§ Viacúrovňové. Viacúrovňová ochrana sa nachádza všade, stačí sa túlať ruinami stredovekej pevnosti. Prečo je ochrana postavená na niekoľkých úrovniach, ktoré musí prekonať útočník aj legálny používateľ (čo je, samozrejme, jednoduchšie)? Žiaľ, vždy existuje možnosť, že niektorú úroveň možno prekonať buď v dôsledku nepredvídaných nehôd alebo s nenulovou pravdepodobnosťou. Jednoduchá matematika vám hovorí: ak jedna úroveň zaručuje 90% ochranu, potom tri úrovne (v žiadnom prípade sa navzájom neopakujú) vám poskytnú 99,9%. Toto je mimochodom rezerva úspor: oddelením lacných a relatívne nespoľahlivých prostriedkov ochrany možno dosiahnuť veľmi vysoký stupeň ochrany s malým krviprelievaním.

Zohľadnenie týchto zásad pomôže vyhnúť sa zbytočným nákladom pri budovaní systému informačnej bezpečnosti a zároveň dosiahnuť reálne vysoký stupeň bezpečnosť obchodných informácií.

Hodnotenie účinnosti systémov ochrany softvéru

Systémy ochrany softvéru sú rozšírené a neustále sa vyvíjajú vďaka expanzii trhu so softvérom a telekomunikačnými technológiami. Potreba používať systémy ochrany softvéru (PS) je spôsobená množstvom problémov, medzi ktorými je potrebné zdôrazniť: nezákonné používanie algoritmov, ktoré sú duševným vlastníctvom autora pri písaní analógov produktov (priemyselná špionáž); neoprávnené používanie softvéru (krádež a kopírovanie); neoprávnené úpravy softvéru za účelom zavedenia zneužitia softvéru; nelegálna distribúcia a predaj softvéru (pirátstvo).

Systémy ochrany softvéru podľa spôsobu inštalácie možno rozdeliť na systémy inštalované na zostavených softvérových moduloch; systémy vložené do zdrojového kódu softvéru pred kompiláciou; a kombinované.

Systémy prvého typu sú pre výrobcu softvéru najpohodlnejšie, pretože je ľahké chrániť už plne pripravený a otestovaný softvér (proces inštalácie ochrany je zvyčajne čo najviac automatizovaný a obmedzuje sa na špecifikáciu názvu chráneného súboru a stlačením tlačidla "Enter"), a preto je najobľúbenejší. Stabilita týchto systémov je zároveň dosť nízka (v závislosti od princípu činnosti SS), keďže na obídenie ochrany stačí určiť koncový bod ochrannej „obálky“ a preniesť riadenie na chránený program a potom ho násilne uložiť v nechránenej forme.

Systémy druhého typu sú pre výrobcu softvéru nepohodlné, pretože je potrebné zaškoliť personál na prácu softvérové ​​rozhranie(API) ochranné systémy s výslednými nákladmi a časom. Okrem toho sa proces testovania softvéru stáva komplikovanejším a jeho spoľahlivosť sa znižuje, keďže okrem samotného softvéru môžu chyby obsahovať Systémové API ochrany alebo postupov, ktoré ho používajú. Takéto systémy sú ale odolnejšie voči útokom, pretože tu sa stráca jasná hranica medzi systémom ochrany a P.O.

Na ochranu softvéru sa používa množstvo metód, ako napríklad:

§ Obfuskačné algoritmy - používajú sa chaotické prechody do rôznych častí kódu, zavádzanie falošných procedúr - "figuríny", nečinné cykly, skreslenie počtu reálnych parametrov softvérových procedúr, rozptyl sekcií kódu pozdĺž rôznych oblastiach RAM atď.

§ Mutačné algoritmy - tabuľky zhody operandov - vytvárajú sa synonymá a navzájom sa nahrádzajú pri každom spustení programu podľa určitého vzoru alebo náhodných, náhodných zmenách v štruktúre programu.

§ Algoritmy kompresie dát - program je zabalený a potom rozbalený pri spustení.

§ Algoritmy šifrovania údajov - program je zašifrovaný a potom dešifrovaný počas jeho vykonávania.

§ Výpočet zložitých matematických výrazov v procese vypracovania ochranný mechanizmus - prvky logiky ochrany závisia od výsledku výpočtu hodnoty akéhokoľvek vzorca alebo skupiny vzorcov.

§ Obtiažne techniky demontáže – používané rôzne triky, zameraný na zabránenie demontáže v dávkovom režime.

§ Techniky na sťaženie ladenia – na sťaženie ladenia programu sa používajú rôzne triky.

§ Emulácia procesorov a operačných systémov - vytvorí sa virtuálny procesor a/alebo operačný systém (nie nevyhnutne skutočný) a prekladateľský program z príkazového systému IBM do príkazového systému vytvoreného procesora alebo OS, po takomto preklade sa softvér je možné spustiť iba pomocou emulátora, ktorý je ostrý a sťažuje štúdium softvérového algoritmu.

§ Neštandardné metódy práce s hardvérom - moduly ochranného systému pristupujú k hardvéru počítača, obchádzajú postupy operačného systému a využívajú jeho málo známe alebo nezdokumentované možnosti.

Záver

Môžeme povedať, že neexistuje jeden absolútne spoľahlivý spôsob ochrany. Najúplnejšie zabezpečenie možno dosiahnuť iba pomocou integrovaný prístup na túto otázku. V tejto oblasti je potrebné neustále sledovať nové riešenia.

Suma sumárum, treba spomenúť, že je veľa prípadov, keď firmy (nielen zahraničné) medzi sebou vedú skutočné „špionážne vojny“ a verbujú zamestnancov konkurencie, aby sa cez ne dostali k informáciám tvoriacim obchodné tajomstvo. Regulácia otázok súvisiacich s obchodným tajomstvom sa v Rusku zatiaľ dostatočne nerozvinula. Súčasná legislatíva však neupravuje úpravu niektorých otázok, vrátane obchodného tajomstva, zodpovedajúcej modernej realite. Zároveň si treba uvedomiť, že škoda spôsobená prezradením obchodného tajomstva je často veľmi značná (ak sa vôbec dá odhadnúť). Prítomnosť pravidiel o zodpovednosti vrátane trestnej zodpovednosti môže slúžiť ako varovanie zamestnancov pred porušovaním v tejto oblasti, preto je vhodné podrobne informovať všetkých zamestnancov o dôsledkoch porušenia. Chcel by som dúfať, že vytvorený systém ochrany informácií v krajine a vytvorenie súboru opatrení na jeho implementáciu nepovedie k nezvratným dôsledkom na ceste informačnej a intelektuálnej integrácie s celým svetom, ktorá sa v Rusku objavuje. .

Hlavné závery o spôsoboch použitia vyššie uvedených prostriedkov, metód a opatrení ochrany sú nasledovné:

Najväčší efekt sa dosiahne, keď sa všetky použité prostriedky, metódy a opatrenia skombinujú do jediného, ​​integrálneho mechanizmu ochrany informácií.

Ochranný mechanizmus by sa mal navrhovať súbežne s vytváraním systémov na spracovanie údajov, počnúc od okamihu, keď sa vypracuje celková koncepcia budovania systému.

Fungovanie ochranného mechanizmu by sa malo plánovať a zabezpečovať spolu s plánovaním a zabezpečovaním hlavných procesov automatizovaného spracovania informácií.

Je potrebné neustále monitorovať fungovanie ochranného mechanizmu.

Štatistiky ukazujú, že vo všetkých krajinách straty zo zlomyseľných činov neustále rastú. Navyše, hlavné príčiny strát nesúvisia ani tak s nedostatkom bezpečnostných nástrojov ako takých, ale s nedostatočným prepojením medzi nimi, t. s nedostatočnou implementáciou systematického prístupu. Preto je potrebné zdokonaľovať komplexné prostriedky ochrany rýchlejším tempom.

Bibliografia

1. federálny zákon„O informáciách, informatizácii a ochrane informácií“ zo dňa 20.02.1995 N 24-FZ;

2. Zákon „O právnej ochrane topológií integrované obvody» zo dňa 23.09.92 N 3526-I

3. Zákon „O účasti na medzinárodných výmena informácií"zo dňa 5.06.1996 N 85-FZ

4. Zákon Ruskej federácie „O právnej ochrane programov pre elektronické počítače a databázy“ z 23. septembra 1992 č. 3523-1;

6. Zákon „O masmédiách“ zo dňa 27. decembra 1991 N 2124-I

7. Zákon „O federálnych orgánoch vládnej komunikácie a informácií“ z 19. februára 1992 N 4524-1

10. Zákon „O štáte automatizovaný systém Ruská federácia "Voľby" zo dňa 10. januára 2003 N 20-FZ

11. Krylov V.V. Informačné počítačové zločiny. M.: InfraM-Norma, 1997.

12. Vedeev D.V. Ochrana údajov v počítačové siete. - M., 1995;

13. Kopylov V.A. Informačný zákon. - M.: Právnik, 1997;

14. Gaikovich V.Yu "Základy bezpečnosti informačných technológií", Moskva, "Info-M", 1998

15. "Ako zastaviť softvérové ​​pirátstvo?" (Simkin L., "Ruská spravodlivosť", 1996, N 10)

16. "Informácie ako prvok trestnej činnosti" (Krylov V.V., "Bulletin Moskovskej univerzity", séria 11, zákon, 1998, N 4)

17. Fomenkov G.V. „O bezpečnosti na internete“, „Ochrana informácií. Sebavedomý, č. 6, 1998.

18. „Právna ochrana počítačových programov a databáz“ (GV Vitaliev http://www.relcom.ru).

19. "Právna ochrana topológií integrovaných obvodov" (Sergeev A.P. Jurisprudence 1993 č. 3).

Podobné dokumenty

Typy úmyselných hrozieb pre informačnú bezpečnosť. Metódy a prostriedky ochrany informácií. Metódy a prostriedky zabezpečenia informačnej bezpečnosti. Kryptografické metódy ochrany informácií. Komplexné ochranné prostriedky.

abstrakt, pridaný 17.01.2004


Koncepcia ochrany úmyselného ohrozenia integrity informácií v počítačových sieťach. Charakteristika hrozieb informačnej bezpečnosti: kompromitácia, narušenie služby. Charakteristika OOO NPO "Mekhinstrument", hlavné spôsoby a metódy ochrany informácií.

práca, pridané 16.06.2012


Rozvoj nových informačných technológií a všeobecná informatizácia. Informačná bezpečnosť. Klasifikácia zámerných hrozieb informačnej bezpečnosti. Metódy a prostriedky ochrany informácií. Kryptografické metódy ochrany informácií.

ročníková práca, pridaná 17.03.2004


Základné vlastnosti informácie. Operácie s údajmi. Dáta sú dialektická zložka informácií. Typy úmyselných hrozieb pre informačnú bezpečnosť. Klasifikácia škodlivého softvéru. Základné metódy a prostriedky ochrany informácií v počítačových sieťach.

ročníková práca, pridaná 17.02.2010


Typy vnútorných a vonkajších úmyselných hrozieb informačnej bezpečnosti. Všeobecná koncepcia ochrany a bezpečnosti informácií. Hlavné ciele a ciele ochranu informácií. Koncepcia ekonomickej realizovateľnosti zaistenia bezpečnosti podnikových informácií.

test, pridané 26.05.2010


Problémy ochrany informácií v informačných a telekomunikačných sieťach. Štúdium ohrozenia informácií a spôsobov ich vplyvu na objekty ochrany informácií. Koncepcie informačnej bezpečnosti podniku. Kryptografické metódy ochrany informácií.

práca, doplnené 03.08.2013


História vzniku a vývoja šifrovania od staroveku až po súčasnosť. Analýza moderných problémov zabezpečenia tajnosti a integrity prenášaných alebo uchovávaných údajov, najčastejšie používaných kryptografických metód ochrany informácií.

test, pridané 23.04.2013


Klasifikácia informácií podľa významnosti. Kategórie dôvernosti a integrity chránených informácií. Pojem informačnej bezpečnosti, zdroje informačných hrozieb. Smernice ochrany informácií. Softvérové ​​kryptografické metódy ochrany.

semestrálna práca, pridaná 21.04.2015


Organizácia systému informačnej bezpečnosti vo všetkých jeho oblastiach. Vývoj, výroba, predaj, obsluha ochranných prostriedkov, školenie príslušného personálu. Kryptografické nástroje ochranu. Základné princípy inžinierskej a technickej ochrany informácií.

ročníková práca, pridaná 15.02.2011


Druhy ochrany počítačových informácií. Vlastnosti algoritmov a fontov používaných v kryptografii. Špecifiká používania kryptosystémov s verejným kľúčom. Štruktúra škodlivého softvér. Zabezpečenie bezpečnosti databázy.

1. reklamný spot tajomný koncept a ochranu

   Abstrakt >> Marketing

   Bezpečnosť, ochrana jej majetok, život a zdravie jej zamestnancov. Informácie o ... o ochrane komerčné informácie. Rôzne krajiny majú rôzne priority ochranu komerčné informácie (komerčné tajomstvá). Takže...

2. reklamný spot tajomstvo a marketing

   Abstrakt >> Marketing

   Právny rámec poskytujúci záruku ochranu práva podnikateľov na komerčné informácie, - to je v prvom rade ... hlavné aspekty, ktoré si môžete okamžite všimnúť jej význam a kontinuitu s marketingovými aktivitami. V prvom...

3. Právne ochranu informácie

   Abstrakt >> Štát a právo

   ... informácie, zobrazené cez obsah informácie. 2. informácie nepodliehajú fyzickému starnutiu. 3. oddeliteľnosť informácií od jej... Ruská federácia nezávisle určuje spôsoby ochranu informácie, tvoriaci komerčné tajomstvo, ktoré mu odovzdal...

4. Ochrana informácie v podniku (1)

   Abstrakt >> Informatika

   oblasti (administratívne, vedecké a technické, komerčné atď.). Preto otázky ochranu informácie(ZI) získavajú čoraz viac ... a papierových médií informácie. Aby sa zablokovala možnosť úniku informácie cez jej kopírovanie na externé...

Obchodné tajomstvo. Oficiálne tajomstvo. profesionálne tajomstvá. Osobné údaje.

Základné pojmy a pojmy:

Obchodné (úradné) tajomstvo

Osobné údaje

Profesionálne tajomstvo

S rozvojom informačnej spoločnosti sa problémy spojené s ochranou dôverných informácií stávajú čoraz dôležitejšími. V súčasnosti nie sú tieto otázky v ruskej legislatíve úplne a systematicky vyriešené. Podrobná klasifikácia dôverných informácií, ako je uvedené vyššie, je uvedená v zozname dôverných informácií ustanovenom vyhláškou prezidenta Ruskej federácie zo 6. marca 1997 č. 188. Ďalej sa budeme podrobnejšie zaoberať niektorými typmi dôverných informácií. informácie.

obchodné tajomstvo

Obchodná činnosť organizácie úzko súvisí s prijímaním, zhromažďovaním, uchovávaním, spracovaním a využívaním rôznych informácií. Nie všetky informácie podliehajú ochrane, ale len tie, ktoré majú pre organizáciu hodnotu. Pri určovaní hodnoty komerčných informácií je potrebné vychádzať z ich vlastností ako sú užitočnosť, aktuálnosť a spoľahlivosť.

Užitočnosť informácií spočíva v tom, že vytvárajú priaznivé podmienky na to, aby sa subjekt mohol rýchlo rozhodnúť a dosiahnuť efektívny výsledok. Na druhej strane, užitočnosť informácií závisí od ich včasného prijatia a komunikácie s účinkujúcim. V dôsledku včasného prijatia informácií dôležitých v ich obsahu sa často stráca príležitosť uzavrieť výhodný obchod alebo iný obchod.

Kritériá užitočnosti a aktuálnosti sú úzko prepojené a vzájomne závislé s kritériom spoľahlivosti informácií. Dôvody pre vznik nepravdivých informácií sú rôzne: nesprávne vnímanie (v dôsledku klamu, nedostatku skúseností alebo odborných znalostí) skutočností alebo úmyselné, uskutočnené za konkrétnym účelom, ich skreslenie. Informácie obchodného záujmu, ako aj zdroj ich prijatia by preto spravidla mali podliehať krížovej kontrole.

Vlastník obchodných informácií na základe kombinácie vyššie uvedených kritérií určí ich hodnotu pre svoje obchodné aktivity a urobí vhodné operatívne rozhodnutie.

V zahraničnej ekonomickej literatúre sa komerčné informácie nepovažujú za prostriedok dosahovania zisku, ale v prvom rade za podmienku, ktorá zisk podporuje alebo bráni. Osobitne sa zdôrazňuje prítomnosť nákladového faktora komerčných informácií, t.j. spôsobilosť vystupovať ako predmet predaja. V kontexte vývoja rôznych foriem vlastníctva je preto otázka určenia, či informácie patria konkrétnemu podnikateľskému subjektu na základe práv duševného vlastníctva, a v dôsledku toho, či má právo ich chrániť. veľký význam.

Definícia a otázky civilnej ochranyúradné a obchodné tajomstvá v ruskej legislatíve sa nelíšia a sú diskutované v čl. 139 prvej časti Občianskeho zákonníka Ruskej federácie s názvom „Úradné a obchodné tajomstvá“:

„Informácia predstavuje oficiálne alebo obchodné tajomstvo v prípade, ak má informácia skutočnú alebo potenciálnu komerčnú hodnotu z dôvodu jej neznámosti tretím stranám, nie je voľne dostupná na právny základ a vlastník informácií prijme opatrenia na ochranu ich dôvernosti. Informácie, ktoré nemôžu predstavovať služobné alebo obchodné tajomstvo, určí zákon a iné právne predpisy.

Informácie, ktoré predstavujú oficiálne alebo obchodné tajomstvo, budú chránené metódami ustanovenými v tomto kódexe a iných zákonoch.

Osoby, ktoré neoprávnene získali informácie, ktoré predstavujú služobné alebo obchodné tajomstvo, sú povinné nahradiť spôsobené škody. Rovnakú povinnosť majú zamestnanci, ktorí prezradili služobné alebo obchodné tajomstvo v rozpore s pracovnou zmluvou vrátane zmluvy, a dodávatelia, ktorí tak urobili v rozpore s občianskoprávnou zmluvou.

Zabezpečenie ochrany štátneho tajomstva priamo nesúvisí s ochranou obchodného tajomstva. Treba však poukázať na niektoré možné výnimky. Pod ochranu štátu možno vziať obchodné informácie, ktoré sú hodnotené ako mimoriadne dôležité nielen pre ich vlastníka, ale aj pre štát, ak je možné, že o ne prejaví záujem cudzia spravodajská služba. Otázka takejto ochrany by mala byť riešená na zmluvnom základe medzi podnikateľom a federálnou bezpečnostnou agentúrou s určením limitov a funkcií odborných činností tejto federálnej bezpečnostnej agentúry. Čo sa týka samotného obchodného tajomstva, to nemá osobitnú trestno-právnu a režimovú ochranu.

Skutočná alebo potenciálna komerčná hodnota informácií je do značnej miery subjektívna a umožňuje podnikateľovi obmedziť prístup prakticky ku všetkým informáciám používaným pri podnikateľskej činnosti, s výnimkou informácií určených právnymi a regulačnými aktmi.

Ktoré informácie nemôžu byť obchodným tajomstvom? V nariadení vlády RSFSR z 5. decembra 1991 č. 35 „O zozname informácií, ktoré nemôžu byť obchodným tajomstvom“ sa uvádza:

Zakladajúce dokumenty (rozhodnutie o založení podniku alebo dohoda zakladateľov) a zakladateľská listina;

Dokumenty oprávňujúce na podnikanie (činnosti (registračné osvedčenia, licencie, patenty);

Informácie o ustanovených formách výkazníctva o finančnej a hospodárskej činnosti a ďalšie informácie potrebné na overenie správnosti výpočtu a platenia daní a iných povinných platieb štátu rozpočtový systém RSFSR;

dokumenty o solventnosti;

Informácie o počte, zložení zamestnancov, ich mzdách a pracovných podmienkach, ako aj o dostupnosti voľných pracovných miest;

Doklady o zaplatení daní a povinných platieb;

Informácie o znečisťovaní životného prostredia, porušovaní protimonopolnej legislatívy, nedodržiavaní bezpečných pracovných podmienok, predaji výrobkov poškodzujúcich verejné zdravie, ako aj o iných porušeniach právnych predpisov RSFSR a o výške spôsobenej škody v tomto prípade;

Informácie o účasti funkcionárov podniku v družstvách, malých podnikoch, obchodných spoločnostiach, akciových spoločnostiach, združeniach a iných organizáciách zaoberajúcich sa podnikateľskou činnosťou.

Ten istý normatívny akt zakazuje štátnym a komunálnym podnikom pred a počas ich privatizácie klasifikovať tieto údaje ako obchodné tajomstvo:

o veľkosti majetku podniku a jeho hotovosti;

o investovaní do výnosových aktív (cenných papierov) iných podnikov, do úročených dlhopisov a pôžičiek, do schválených fondov spoločných podnikov;

o úverových, obchodných a iných záväzkoch podniku vyplývajúcich z právnych predpisov RSFSR a zmlúv ním uzatvorených;

O dohodách s družstvami, inými neštátnymi podnikmi, tvorivými kolektívmi a kolektívmi dočasnej práce, ako aj jednotlivými občanmi.

Je potrebné poznamenať, že obmedzenia uložené na používanie informácií, ktoré predstavujú obchodné tajomstvo, sú zamerané na ochranu duševného, ​​materiálneho, finančného vlastníctva a iných záujmov, ktoré vznikajú pri vytváraní pracovnej činnosti organizácie, zamestnancov oddelení, ako aj v spolupráci s pracovníkmi iných organizácií.

Účelom takýchto obmedzení je zabrániť zverejneniu, úniku alebo neoprávnenému prístupu k dôverným informáciám. Obmedzenia musia byť primerané a opodstatnené z hľadiska potreby zabezpečenia informačnej bezpečnosti. Nie je dovolené využívať obmedzenia na zakrývanie chýb a nekompetentnosti vedenia organizácie, plytvanie, nekalú súťaž a iné negatívne javy v činnosti organizácie, ako aj obchádzanie zmluvných záväzkov a platenie daní.

Oficiálne tajomstvo

Ak je hlavným cieľom zabezpečenia dôvernosti informácií tvoriacich obchodné tajomstvo zabezpečiť konkurenčnú výhodu, potom ochrana dôvernosti služobného tajomstva môže mať vplyv na obchodné záujmy organizácie, ale hlavnou úlohou je zabezpečiť záujmy zákazníkov alebo ich vlastných záujmov, ktoré priamo nesúvisia s komerčnými aktivitami. Informácie týkajúce sa opatrení na zaistenie bezpečnosti zamestnancov organizácie, ochrany skladov a iných priestorov a pod., ktoré priamo nesúvisia s vykonávaním predmetných činností, by teda mali byť klasifikované ako oficiálne, a nie obchodné tajomstvo.

V súčasnosti je inštitút služobného tajomstva vo vnútroštátnom práve najmenej rozvinutý. V tomto probléme možno rozlíšiť tri súbory otázok.

Po prvé, na legislatívnej úrovni je potrebné vyriešiť otázky „hraničných“ a „odvodených“ informácií. „Hraničné“ informácie sú také oficiálne informácie v akomkoľvek odvetví vedy, techniky, výroby a manažmentu, ktoré sa pri určitom zovšeobecnení a integrácii stávajú štátnym tajomstvom. „Odvodená“ informácia – oficiálna informácia získaná v dôsledku rozdelenia informácií tvoriacich štátne tajomstvo na samostatné zložky, z ktorých nemožno pripísať žiadnu z nich.

Po druhé, špeciálne právna úprava vyžaduje ochranu informácií vznikajúcich pri činnosti orgánov verejnej moci a správy. Na vytvorenie administratívno-právneho inštitútu služobného tajomstva by mal byť prijatý osobitný zákon, ktorého účinnosť by sa mala vzťahovať na všetky úrovne systému verejnej správy.

Po tretie, určitá kategória významných informácií subjektov občianskoprávnych vzťahov si vyžaduje ochranu. Týka sa to právnej ochrany informácií, ktoré v činnosti organizácií nemožno klasifikovať ako obchodné tajomstvo, napriek tomu, že v Občianskom zákonníku Ruskej federácie pojem úradné tajomstvo priamo súvisí so skutočnou alebo potenciálnou obchodnou hodnotou. informácií.

Treba poznamenať, že v súčasnosti sa uplatňuje zjednodušený prístup: akékoľvek informácie o obchodných aktivitách organizácie, ku ktorým je obmedzený prístup, sú klasifikované ako obchodné tajomstvo. S týmto prístupom však môže byť ťažké určiť materiálne škody a ušlý zisk v prípade nezákonného šírenia dôverných informácií, napríklad informácií o bezpečnostnom režime organizácie alebo iných aspektoch jej fungovania, ktoré priamo nesúvisia s vykonávanie podstatných činností. Tieto informácie však musia byť chránené, pretože. z obmedzenia prístupu k do značnej miery závisí od obchodného úspechu organizácie.

Profesionálne tajomstvá

V zmysle platnej legislatívy sú služobným tajomstvom informácie súvisiace so služobnou činnosťou zdravotníckych pracovníkov, notárov, advokátov, súkromných detektívov, duchovných, zamestnancov bánk, matričných úradov a poisťovní. Subjektom služobného tajomstva môže byť právnická aj fyzická osoba.

Dôvernosť informácií získaných v súvislosti s výkonom profesijných funkcií vyplýva predovšetkým z noriem profesionálnej etiky, a nie z vlastných obchodných záujmov podnikateľa alebo organizácie. Príslušný právny stav posudzovaných noriem je daný ich legislatívnou konsolidáciou.

1)bankové tajomstvo. Pojem bankové tajomstvo v súlade s čl. 857 Občianskeho zákonníka Ruskej federácie pokrýva informácie o bankovom účte, vklade, transakciách na účte, ako aj informácie o bankových klientoch.

Bankové tajomstvo chráni dôverné informácie klienta alebo obchodné informácie korešpondenta.

Federálny zákon „O bankách a bankových činnostiach“ definuje povinnosti subjektov, kategórie informácií a dôvody, na základe ktorých sa informácie poskytujú zainteresovaným vládnym orgánom, organizáciám a jednotlivcom. Banka Ruska, úverová inštitúcia, zaručuje utajenie operácií, účtov a vkladov svojich zákazníkov a korešpondentov. Všetci zamestnanci úverovej organizácie sú povinní zachovávať mlčanlivosť o transakciách, účtoch a vkladoch svojich zákazníkov a korešpondentov, ako aj o iných informáciách stanovených úverovou organizáciou, pokiaľ to nie je v rozpore s federálnym zákonom.

Banka Ruska nie je oprávnená zverejňovať informácie o účtoch, vkladoch, ako aj informácie o konkrétnych transakciách a operáciách zo správ úverových inštitúcií, ktoré dostala v dôsledku výkonu licenčných, dozorných a kontrolných funkcií, s výnimkou prípadov, keď inak ustanovené federálnymi zákonmi.

Úverová inštitúcia má teda právo klasifikovať akúkoľvek informáciu ako bankové tajomstvo, s výnimkou tých, ktoré sú výslovne uvedené v zákone.

2)notárske tajomstvo. Špecifickým pravidlom notárskych úkonov je mlčanlivosť. V súlade s čl. 5 Základov právnych predpisov Ruskej federácie o notároch, notárom pri výkone úradných povinností, ako aj osobám pracujúcim v notárskej kancelárii sa zakazuje zverejňovať informácie a prezrádzať dokumenty, o ktorých sa dozvedeli v súvislosti s vykonávanie notárskych úkonov, a to aj po odstúpení alebo odvolaní, s výnimkou prípadov uvedených v Základoch. Povinnosť zachovávať služobné tajomstvo je obsiahnutá v texte notárskej prísahy.

3)procedurálne tajomstvá sa zvyčajne delí na dva typy: vyšetrovacie tajomstvo a tajomstvo stretnutia sudcov.

Investigatívna záhada v súvislosti so záujmami zákonného vedenia predbežného vyšetrovania v trestných veciach (článok 310 Trestného zákona Ruskej federácie „Zverejňovanie údajov z predbežného vyšetrovania“). Informácie o priebehu predbežného vyšetrovania možno zverejniť len so súhlasom prokurátora, vyšetrovateľa alebo osoby, ktorá vyšetrovanie vedie. Takéto informácie sa môžu týkať povahy vykonávaných vyšetrovacích úkonov, ako aj dôkazovej základne, vyhliadok vyšetrovania a okruhu osôb, ktoré sa na vyšetrovaní zúčastňujú. Je dôležité poznamenať, že zoznam informácií, ktoré tvoria vyšetrovacie tajomstvo, nie je stanovený zákonom. To znamená, že prokurátor, vyšetrovateľ alebo osoba, ktorá vedie vyšetrovanie, môže podľa vlastného uváženia určiť, ktoré informácie o predbežnom vyšetrovaní možno osobitne chrániť a ktoré nie.

Tajomstvo stretnutia sudcov. Pre všetky štyri typy procesov existujúcich vo vnútroštátnych súdnych konaniach je stanovený určitý postup na zabezpečenie nezávislosti a objektivity rozhodovania vo veci. Jedným z účelov tohto postupu je zakázať zverejňovanie informácií o diskusiách, rozsudkoch, výsledkoch hlasovania, ktoré prebehli počas stretnutia sudcov. Zabezpečenie tajnosti porady sudcov ustanovuje čl. 193 Občianskeho súdneho poriadku (CPC) Ruskej federácie, čl. 70 federálneho ústavného zákona „O Ústavnom súde Ruskej federácie“, čl. 124 Kódex rozhodcovského konania Ruskej federácie.

4)lekárske tajomstvo. Podľa čl. 61 Základov legislatívy Ruskej federácie o ochrane zdravia občanov, informácie o skutočnosti, že žiada o lekársku starostlivosť, o zdravotnom stave občana, o diagnóze jeho choroby a ďalšie informácie získané počas jeho vyšetrenia a liečby predstavujú lekárske tajomstvo. Občanovi musí byť potvrdená záruka dôvernosti ním prenášaných informácií.

5)privilégium advokát-klient. V súlade s federálnym zákonom „o advokácii a advokácii v Ruskej federácii“ advokát, asistent právnika a advokátsky koncipient nie sú oprávnení zverejňovať informácie, ktoré mu zastúpený poskytol v súvislosti s poskytovaním právnej pomoci. Okrem toho dôverné informácie, ktoré právnik dostane, môžu byť vo forme dokumentov aj ústne. Zákon stanovuje záruky nezávislosti advokáta. Advokáta najmä nemožno vypočuť ako svedka o okolnostiach, ktoré sa mu dozvedeli v súvislosti s výkonom jeho funkcie obhajcu alebo zástupcu (§ 15 zákona).

6)poistenie tajomstva. Inštitút poistného tajomstva je v mnohom podobný inštitútu bankového tajomstva. Poistné tajomstvo v súlade s čl. 946 Občianskeho zákonníka Ruskej federácie predstavujú informácie, ktoré poisťovateľ získal v dôsledku svojich profesionálnych činností o poistencovi, poistencovi a príjemcovi, o ich zdravotnom stave, ako aj o majetkovom stave týchto osôb. Za porušenie poistného tajomstva zodpovedá poisťovateľ v závislosti od druhu porušených práv a povahy porušenia podľa pravidiel uvedených v čl. 139 alebo čl. 150 Občianskeho zákonníka Ruskej federácie.

Podľa čl. 8 zákona Ruskej federácie „O organizácii poisťovníctva v Ruskej federácii“ môžu právnické aj fyzické osoby – poisťovací agenti a poisťovací makléri – vystupovať ako osoba povinná zachovávať poistné tajomstvo. Okrem toho v súlade s čl. 33 tohto zákona úradníci federálneho výkonného orgánu pre dohľad nad poisťovacou činnosťou nie sú oprávnení používať v sebecké účely a v akejkoľvek forme zverejňovať informácie, ktoré predstavujú obchodné tajomstvo poisťovateľa.

7)komunikačné tajomstvo . Federálny zákon „o komunikáciách“ z hľadiska ochrany informácií upravuje vzťahy s verejnosťou súvisiace so zabezpečením nemožnosti nezákonného oboznámenia sa so správami prenášanými akýmikoľvek subjektmi – fyzickými alebo právnickými osobami – prostredníctvom komunikačných prostriedkov. Takouto formuláciou otázky sa utajenie komunikácie stáva nástrojom na zaistenie bezpečnosti dôverných informácií.

Tajomstvo korešpondencie telefonické rozhovory, poštové zásielky, telegrafné a iné správy prenášané po sieťach elektrických a Poštová služba chránený ústavou Ruskej federácie. Povinnosť zabezpečiť dodržiavanie komunikačného tajomstva má prevádzkovateľ komunikácie, ktorým sa rozumie fyzická alebo právnická osoba, ktorá má právo poskytovať elektrické alebo poštové služby. Telekomunikační operátori sú tiež povinní zachovávať mlčanlivosť o informáciách o účastníkoch a im poskytovaných komunikačných službách, o ktorých sa operátori dozvedeli pri plnení svojich pracovných povinností.

8)adopčné tajomstvo. Inštitút mlčanlivosti o osvojení je spojený so záujmami ochrany rodinného života a je vyjadrený v ustanovení občianskoprávnej a trestnoprávnej zodpovednosti za prezradenie tajomstva o adopcii (adopcii). Podľa čl. 155 Trestného zákona Ruskej federácie môže byť tajnosť adopcie dvoch odrôd. Prvú majú osoby, ktoré sú povinné utajovať skutočnosť osvojenia ako úradné alebo služobné tajomstvo (sudcovia, zamestnanci miestnych úradov, poručnícke a opatrovnícke orgány a iné osoby uvedené v časti 1 článku 139 RF IC). Druhá - všetky ostatné osoby, ak sa pri prezradení tajomstva osvojenia bez súhlasu oboch adoptívnych rodičov preukážu ich žoldnierske alebo iné hanebné pohnútky.

9)spovedné tajomstvo. Zabezpečenie spovedného tajomstva je vnútornou záležitosťou kňaza; za jej zverejnenie právne nezodpovedá. Podľa časti 2 čl. 51 Ústavy Ruskej federácie a časť 7 čl. 3 spolkového zákona „O slobode svedomia a náboženských spoločnostiach“ nemôže byť duchovný braný na zodpovednosť za odmietnutie svedčiť pre okolnosti, ktoré sa dozvedel zo spovede.

Informácie dnes - dôležitý zdroj, ktorej strata je plná nepríjemných následkov. Strata dôverných údajov spoločnosti so sebou nesie hrozbu finančnej straty, pretože získané informácie môžu použiť konkurenti alebo votrelci. Na predchádzanie takýmto nežiaducim situáciám všetky moderné firmy a inštitúcie využívajú metódy informačnej bezpečnosti.

Bezpečnosť informačných systémov (IS) je celý kurz, ktorý absolvujú všetci programátori a špecialisti v oblasti budovania IS. Každý, kto pracuje s utajovanými údajmi, však musí poznať typy informačných hrozieb a ochranné technológie.

Typy informačných hrozieb

Hlavným typom informačných hrozieb, proti ktorým sa v každom podniku vytvára celá technológia, je neoprávnený prístup narušiteľov k údajom. Zločinci vopred plánujú kriminálne akcie, ktoré môžu byť vykonané priamym prístupom k zariadeniam alebo vzdialeným útokom pomocou programov špeciálne vyvinutých na krádež informácií.

Okrem konania hackerov firmy často čelia situáciám straty informácií v dôsledku zlyhania softvéru a hardvéru.

V tomto prípade tajné materiály nepadnú do rúk votrelcov, ale sú stratené a nedajú sa príliš dlho obnoviť ani obnoviť. Poruchy v počítačových systémoch sa môžu vyskytnúť z nasledujúcich dôvodov:

• Strata informácií v dôsledku poškodenia médií - pevných diskov;
• Chyby v prevádzke softvéru;
• Poruchy hardvéru v dôsledku poškodenia alebo opotrebovania.

Moderné metódy ochrany informácií

Technológie ochrany údajov sú založené na využívaní moderných metód, ktoré zabraňujú úniku a strate informácií. Dnes sa používa šesť hlavných spôsobov ochrany:

• Nechajte;
• Prestrojenie;
• nariadenie;
• kontrola;
• nátlak;
• Motivácia.

Všetky vyššie uvedené metódy sú zamerané na vybudovanie efektívnej technológie, pri ktorej sú vylúčené straty z nedbanlivosti a úspešne odrazené rôzne druhy hrozieb. Prekážkou je spôsob fyzickej ochrany informačných systémov, kvôli ktorému narušiteľ nemá možnosť vstúpiť do chráneného priestoru.

Maskovanie - metódy ochrany informácií, ktoré zabezpečujú transformáciu údajov do formy, ktorá nie je vhodná na vnímanie neoprávnenými osobami. Dešifrovanie si vyžaduje znalosť princípu.

Manažment - spôsoby ochrany informácií, pri ktorých sa vykonáva kontrola nad všetkými komponentmi informačného systému.

nariadenie - zásadná metóda ochrany informačných systémov, vrátane zavedenia špeciálnych pokynov, podľa ktorých sa musia vykonávať všetky manipulácie s chránenými údajmi.

Nátlak - metódy ochrany informácií, úzko súvisiace s reguláciou, zahŕňajúce zavedenie súboru opatrení, pri ktorých sú zamestnanci nútení vykonávať zavedené pravidlá. Ak sa využívajú metódy ovplyvňovania zamestnancov, pri ktorých sa riadia pokynmi z etických a osobných dôvodov, potom hovoríme o motivácii.

Na videu - podrobná prednáška o informačnej bezpečnosti:

Prostriedky ochrany informačných systémov

Spôsoby ochrany informácií zahŕňajú použitie špecifického súboru nástrojov. Aby sa zabránilo strate a úniku tajných informácií, používajú sa tieto prostriedky:

• fyzické;
• Softvér a hardvér;
• Organizačné;
• legislatívne;
• Psychologické.

Fyzické prostriedky ochrany informácií zabraňujú prístupu neoprávnených osôb do chráneného priestoru. Hlavným a najstarším prostriedkom fyzickej obštrukcie je inštalácia silných dverí, spoľahlivých zámkov a mreží na oknách. Na zvýšenie ochrany informácií sa používajú kontrolné body, kde kontrolu vstupu vykonávajú ľudia (strážcovia) alebo špeciálne systémy. Aby sa predišlo strate informácií, odporúča sa nainštalovať aj protipožiarny systém. Na ochranu údajov na papierových aj elektronických médiách sa používajú fyzické prostriedky.

Softvér a hardvér sú nenahraditeľnou súčasťou zabezpečenia bezpečnosti moderných informačných systémov.

Hardvér predstavujú zariadenia, ktoré sú zabudované v zariadení na spracovanie informácií. Softvér - programy, ktoré odrážajú hackerské útoky. Softvérové ​​systémy možno tiež pripísať softvéru, ktorý vykonáva obnovu stratených informácií. Pomocou komplexu hardvéru a softvéru sú informácie zálohované, aby sa predišlo stratám.

Organizačné prostriedky sú spojené s viacerými spôsobmi ochrany: regulácia, riadenie, nátlak. Medzi organizačné prostriedky patrí vypracovanie popisov práce, rozhovory so zamestnancami, súbor trestov a odmien. Pri efektívnom využívaní organizačných prostriedkov zamestnanci podniku dobre poznajú technológiu práce s chránenými informáciami, jasne si plnia svoje povinnosti a nesú zodpovednosť za poskytnutie nepravdivých informácií, únik alebo stratu údajov.

Legislatívne prostriedky - súbor právnych aktov, ktoré upravujú činnosť osôb, ktoré majú prístup k chráneným informáciám a určujú mieru zodpovednosti za stratu alebo odcudzenie utajovaných skutočností.

Psychologické prostriedky – súbor opatrení na vytvorenie osobného záujmu zamestnancov o bezpečnosť a autentickosť informácií. Manažéri využívajú rôzne typy stimulov na vytvorenie osobného záujmu zamestnancov. K psychologickým prostriedkom patrí aj budovanie firemnej kultúry, v ktorej sa každý zamestnanec cíti byť dôležitou súčasťou systému a má záujem na úspechu podniku.

Ochrana prenášaných elektronických údajov

Na zabezpečenie bezpečnosti informačných systémov sa dnes aktívne využívajú metódy šifrovania a ochrany elektronických dokumentov. Tieto technológie umožňujú vzdialený prenos dát a vzdialenú autentifikáciu.

Metódy ochrany informácií pomocou šifrovania (kryptografické) sú založené na zmene informácií pomocou tajných kľúčov špeciálneho druhu. Technológia elektronickej kryptografie dát je založená na transformačných algoritmoch, náhradných metódach, maticovej algebre. Sila šifrovania závisí od toho, aký zložitý bol algoritmus konverzie. Šifrované informácie sú bezpečne chránené pred akýmikoľvek hrozbami okrem fyzických.

Elektronický digitálny podpis (EDS) je parameter elektronického dokumentu, ktorý slúži na potvrdenie jeho pravosti. Elektronický digitálny podpis nahrádza podpis úradníka na papierovom dokumente a má rovnaký právny účinok. EDS slúži na identifikáciu jeho vlastníka a na potvrdenie absencie neoprávnených transformácií. Použitie EDS poskytuje nielen ochranu informácií, ale tiež pomáha znižovať náklady na technológiu správy dokumentov, znižuje čas pohybu dokumentov pri príprave reportov.

Triedy bezpečnosti informačných systémov

Použitá technológia ochrany a stupeň jej účinnosti určujú bezpečnostnú triedu informačného systému. V medzinárodných normách sa rozlišuje 7 bezpečnostných tried systémov, ktoré sú kombinované do 4 úrovní:

• D - nulová úroveň zabezpečenia;
• C - systémy s náhodným prístupom;
• B - systémy s núteným prístupom;
• A - systémy s overiteľným zabezpečením.

Úroveň D zodpovedá systémom, v ktorých je technológia ochrany slabo vyvinutá. V takejto situácii má každá neoprávnená osoba možnosť dostať sa k informáciám.

Používanie nedostatočne vyvinutej technológie ochrany je spojené so stratou alebo stratou informácií.

V úrovni C sú nasledovné triedy - C1 a C2. Bezpečnostná trieda C1 znamená oddelenie údajov a používateľov. Určitá skupina používateľov má prístup len k určitým údajom, na získanie informácií je potrebná autentifikácia – autentifikácia používateľa vyžiadaním hesla. S bezpečnostnou triedou C1 má systém hardvérovú a softvérovú ochranu. Systémy s triedou C2 sú doplnené opatreniami, ktoré zaručujú zodpovednosť používateľov: vytvára sa a udržiava prístupový denník.

Úroveň B zahŕňa bezpečnostné technológie, ktoré majú triedy úrovne C, plus niekoľko ďalších. Trieda B1 predpokladá prítomnosť bezpečnostnej politiky, dôveryhodnú výpočtovú základňu na správu bezpečnostných označení a vynútenú kontrolu prístupu. V triede B1 odborníci vykonávajú dôkladnú analýzu a testovanie zdrojového kódu a architektúry.

Bezpečnostná trieda B2 je typická pre mnohé moderné systémy a znamená:

• Poskytovanie bezpečnostných štítkov pre všetky systémové prostriedky;
• Registrácia udalostí, ktoré sú spojené s organizáciou tajných kanálov na výmenu pamäte;
• Štruktúrovanie dôveryhodnej počítačovej základne do dobre definovaných modulov;
• Formálna bezpečnostná politika;
• Vysoká odolnosť systémov voči vonkajším útokom.

Trieda B3 predpokladá okrem triedy B1 aj upozorňovanie správcu na pokusy o narušenie bezpečnostnej politiky, analýzu vzhľadu skrytých kanálov, dostupnosť mechanizmov na obnovu dát po zlyhaní hardvéru, príp.

Úroveň A zahŕňa jednu, najvyššiu bezpečnostnú triedu - A.K túto triedu zahŕňa systémy, ktoré boli testované a potvrdené, že zodpovedajú najvyšším formálnym špecifikáciám.

Na videu - podrobná prednáška o bezpečnosti informačných systémov: