Защита от несанкционированного доступа к информации. Для
защиты от несанкционированного доступа к данным, хранящимся на компьютере, используются пароли. Компьютер разрешает доступ к своим ресурсам только тем пользователям, которые зарегистрированы и ввели правильный пароль. Каждому конкретному пользователю может быть разрешен доступ только к определенным информационным ресурсам. При этом может производиться регистрация всех попыток несанкционированного доступа.
Защита с использованием пароля используется при загрузке операционной системы (при загрузке системы пользователь должен ввести свой пароль). Вход по паролю может быть установлен в программе BIOS Setup, компьютер не начнет загрузку операционной системы, если не введен правильный пароль. Преодолеть такую защиту нелегко, более того, возникнут серьезные проблемы доступа к данным, если пользователь забудет этот пароль.
От несанкционированного доступа может быть защищен каждый диск, папка и файл локального компьютера. Для них могут быть установлены определенные права доступа (полный, только чтение, по паролю), причем права могут быть различными для различных пользователей.
В настоящее время для защиты от несанкционированного доступа к информации все более часто используются биометрические системы идентификации. Используемые в этих системах характеристики являются неотъемлемыми качествами личности человека и поэтому не могут быть утерянными и подделанными. К биометрическим системам защиты информации относятся системы идентификации по отпечаткам пальцев, системы распознавания речи, а также системы идентификации по радужной оболочке глаза.
Идентификация по отпечаткам пальцев. Оптические сканеры считывания отпечатков пальцев устанавливаются на ноутбуки, мыши, клавиатуры, flash-диски, а также применяются в виде отдельных внешних устройств и терминалов (например, в аэропортах и банках).
Если узор отпечатка пальца не совпадает с узором допущенного к информации пользователя, то доступ к информации невозможен.
Идентификация по характеристикам речи. Идентификация человека по голосу - один из традиционных способов распознавания, интерес к этому методу связан и с прогнозами внедрения голосовых интерфейсов в операционные системы. Можно легко узнать собеседника по телефону, не видя его. Также можно определить психологическое состояние по эмоциональной окраске голоса. Голосовая идентификация бесконтактна и существуют системы ограничения доступа к информации на основании частотного анализа речи.
Рис. 6.49.
Каждому человеку присуща индивидуальная частотная характеристика каждого звука (фонемы).
В романе А.И. Солженицина «В круге первом» описана голосовая идентификация человека еще в 40-е гг. прошлого века.
Рис. 6.50.
Идентификация по изображению лица. Для идентификации личности часто используется технологии распознавания по лицу. Они ненавязчивы, так как распознавание человека происходит на расстоянии, без задержек и отвлечения внимания и не ограничивают пользователя в свободе. По лицу человека можно узнать его историю, симпатии и антипатии, болезни, эмоциональное состояние, чувства и намерения по отношению к окружающим. Все это представляет особый интерес для автоматического распознавания лиц (например, для выявления потенциальных преступников).
Идентификационные признаки учитывают форму лица, его цвет, а также цвет волос. К важным признакам можно отнести также координаты точек лица в местах, соответствующих смене контраста (брови, глаза, нос, уши, рот и овал).
В настоящее время начинается выдача новых загранпаспортов, в микросхеме которых хранится цифровая фотография владельца паспорта.
Идентификация по радужной оболочке глаза. Радужная оболочка глаза является уникальной для каждого человека биометрической характеристикой. Она формируется в первые полтора года жизни и остается практически без изменений в течение всей жизни.
Рис. 6.51.
Идентификация по ладони руки. Практически все о конкретном человеке можно прочитать по ладони его руки. В биометрике в целях идентификации используется простая геометрия руки - размеры и форма, а также некоторые информационные знаки на тыльной стороне руки (образы на сгибах между фалангами пальцев, узоры расположения кровеносных сосудов).
Сканеры идентификации по ладони руки установлены в некоторых аэропортах, банках и на атомных электростанциях.
Рис. 6.52.
Физическая защита данных на дисках. Для обеспечения большей скорости чтения (записи) и надежности хранения данных на жестких дисках используются RAID-массивы (Redundant Arrays of Independent Disks - избыточный массив независимых дисков). Несколько жестких дисков подключаются к RAID-контроллеру, который рассматривает их как единый логический носитель информации.
Существует два способа реализации RAID-массива: аппаратный и программный. Аппаратный дисковый массив состоит из нескольких жестких дисков, управляемых при помощи специальной платы контроллера RAID-массива. Программный RAID-массив реализуется при помощи специального драйвера. В программный массив организуются дисковые разделы, которые могут занимать как весь диск, так и его часть. Программные RAID-массивы, как правило, менее надежны, чем аппаратные, но обеспечивают более высокую скорость работы с данными.
Существует несколько разновидностей RAID-массивов, так называемых уровней. Операционные системы поддерживаются несколько уровней RAID-массивов.
RAID 0. Для создания массива этого уровня понадобится как минимум два диска одинакового размера. Запись осуществляется по принципу чередования: данные делятся на порции одинакового размера (А1, А2, АЗ и т.д.) и поочередно распределяются по всем дискам, входящим в массив (рис. 6.53). Поскольку запись ведется на все диски, при отказе одного из них будут утрачены все хранившиеся на массиве данные, однако запись и чтение на разных дисках происходит параллельно и соответственно быстрее.
Рис. 6.53.
RAID 1. Массивы этого уровня построены по принципу зеркалирования, при котором все порции данных (Al, А2, АЗ и т.д.), записанные на одном диске, дублируются на другом (рис. 6.54). Для создания такого массива потребуются два или более дисков одинакового размера. Избыточность обеспечивает отказоустойчивость массива: в случае выхода из строя одного из дисков, данные на другом остаются неповрежденными. Расплата за надежность - фактическое сокращение дискового пространства вдвое. Скорость чтения и записи остается на уровне обычного жесткого диска.
Введение
С конца 80-ых начала 90-ых годов проблемы связанные с защитой информации беспокоят как специалистов в области компьютерной безопасности так и многочисленных рядовых пользователей персональных компьютеров. Это связано с глубокими изменениями вносимыми компьютерной технологией в нашу жизнь. Изменился сам подход к понятию “информация”. Этот термин сейчас больше используется для обозначения специального товара который можно купить, продать, обменять на что-то другое и т.д. При этом стоимость подобного товара зачастую превосходит в десятки, а то и в сотни раз стоимость самой вычислительной техники, в рамках которой он функционирует.
Естественно, возникает потребность защитить информацию от несанкционированного доступа, кражи, уничтожения и других преступных действий. Однако, большая часть пользователей не осознает, что постоянно рискует своей безопасностью и личными тайнами. И лишь немногие хоть каким либо образом защищают свои данные. Пользователи компьютеров регулярно оставляют полностью незащищенными даже такие данные как налоговая и банковская информация, деловая переписка и электронные таблицы. Проблемы значительно усложняются, когда вы начинаете работать или играть в сети так как хакеру намного легче в это время заполучить или уничтожить информацию, находящуюся на вашем компьютере.
Кому нужны ваши данные?..
Это зависит от того, кто вы такой и какими данными располагаете. Но также существует отдельный тип рода деятельности называемый хакером (англ. cracker – взломщик). Некоторые работают группами, некоторые отдельно. Их методы различны, но основной постоянный рабочий инструмент – программа-взломщик, делящаяся на два основных компонента: программа для доступа к удаленным компьютерам по телефонным сетям и словарь вероятных кодов и паролей. Задача программы-взломщика получить доступ к удаленному компьютеру с помощью подбора кодов и паролей до тех пор, пока комбинация не будет найдена; это обеспечит доступ к системе.
Фрикеры – это взломщики, которые специализируются на нападениях на телефонные системы. Телефонная сеть привлекает внимание большинства взломщиков так как она является на данный момент самой большой (глобальной) сетью на планете.
Выбор системы защиты
Запирать двери не очень удобно, однако без этого вы не выходите из дома. То же относится и к защите вашей компьютерной системы. Все, что от вас требуется – это готовность выполнять текущий контроль и совсем немного технических знаний.
Любая компьютерная система не является идеальной, то есть полностью не может обеспечить безопасность данных на вашем ПК. Чтобы на 100% защитить данные от попадания в чужие руки надо их уничтожить. А чтобы сохранить содержимое вашего компьютера в целости надо найти компромисс между важностью защищаемых вами данных и неудобствами связанными с использованием мер защиты. Далее я расскажу о ценных методах защиты данных, а также о том как уменьшить связанные с защитой данных неудобства. Дело в том, что каждый раз, когда повышается уровень защиты требуется более изощренный способ ее обхода. Выбор средства защиты должен основываться на обеспечении достаточной защищенности и в то же время не доставлять неудобств. Каждый пользователь должен произвести собственный анализ риска и решить какие меры защиты наиболее подходят вам в данном случае. Анализ риска для персональных компьютеров можно разделить на три класса: анализ автономных систем, то есть одного компьютера, анализ локальных систем и анализ систем удаленного доступа имеющих связь с глобальной сетью (напр. Internet).
Использование паролей
Идея использования паролей заключается в следующем: если кто-либо попробует обратиться к вашим данным или аппаратным средствам, то пароли должны создать собой массу неудобств. Чем сложнее будет угадать или “взломать” используемый вами пароль, тем в большей безопасности будут ваши данные. Длина пароля существенно влияет на уровень защиты. Личные номера на сегодняшний день являются одним из наименее безопасных паролей широкого использования (напр. Кредитные карты для кассовых аппаратов АТМ или телефонные карты). В личных номерах могут использоваться цифры от 0 до 9, то есть номер может иметь десять тысяч вариаций. Этого достаточно если речь идет о человеке стоящем возле АТМ и набирающего код наугад, но совсем не много если речь идет о компьютере использующем лобовой метод решения.
При “лобовом” нападении проверяются все возможные комбинации паролей до тех пор пока одна из них не сработает. При увеличении длины пароля сложность лобового нападения возрастает так как это займет больше времени. Конечно, многие банки используют не только четырехразрядный код (PIN), но и другие методы для повышения безопасности, например, видеокамеры и АТМ, которые блокируют карточки. При этом меры защиты в каждом банке сильно отличаются. Большинство банков также оказывают следующую услугу: вы можете позвонить в банк, набрать номер карточки и личный номер и узнать состояние текущего счета. Этот сценарий делает уязвимым ваш личный номер (PIN) – некто может засесть за телефон и пробовать разные варианты.
С телефонной карточкой возникает та же проблема. Сети дальней телефонной связи вроде AT & T, MCI, Sprint также используют личные четырехразрядные номера для опознания звонков. Предположим, вы потеряли бумажник… обычно первая реакция – сожаления о наличных ценностях, а лишь потом звонят в кредитные компании и сообщают о потере карточки. Это позволяет заблокировать платежи с ваших карточек. Однако большинство людей забывают, что телефонная карта тоже является кредитной и небольшую программу для взламывания ее PINа способен написать даже подросток. Например:
For i:=0 to 9999 do
Функция DialAccess() – это небольшой отрывок кода. Он набирает телефон компании и последовательно (в данном случае от 0 до 9999) вводит номер карточки, используя i как PIN. Это классический пример лобового метода решения.
Таким образом, четырехразрядный пароль – ваш PIN – имеет всего 9999 возможных комбинаций. Однако большинство компьютерных паролей длиннее и кроме чисел 1-9 могу содержать символы. Четырехразрядный пароль, в котором используются числа и символы, расшифровать сложнее – он может содержать 1679616 уникальных комбинаций.
Вот формула для вычисления возможного количества комбинаций символов: c=xy, где с – число возможных комбинаций, x – количество различных символов используемых в каждой позиции пароля, y – число символов пароля. Например, при использовании PINа c=104. Также некоторые пароли чувствительны к регистру и включают в себя знаки препинания, так что число возможных комбинаций ещё возрастает.
Кроме паролей используемых для обращения к местной сети, Internet и т.д., у пользователей компьютеров есть ряд защитных мер включающих пароли. К ним относятся основанная на BIOS защита, требующая ввести пароль при загрузке компьютера, специальные защитные программы, блокирующие доступ к отдельным файлам, и защищенные паролем архивные ZIP-файлы.
Простые меры защиты
Есть кое какие несложные приемы для защиты ценной информации, которые используются уже много лет. Проблема в том, что все эти схемы легко обойдет хорошо осведомленный пользователь.
DOS и предшествующие операционные системы некоторое время сохраняют удаленные файлы, не уничтожая их полностью. При удалении просто редактируется FAT (File Allocation Table): запись имени файла объявляется недействительной, а сектора, где записан файл, - свободными. Это означает, что удаленные файлы можно восстановить с помощью некоторых широко распространенных утилит (нап. undelete).
Программы уничтожения полностью стирают файл, перезаписывая всю информацию о файле в FAT и сектора, где он находился.
Также можно надежно шифровать отдельные файлы и сообщения электронной почты используя правительственный стандарт шифрования DES. DES расшифровывается как Data Encryption Standart (стандарт шифрования данных). DES был разработан IBM по заказу FBI и CIA как программное обеспечение для шифрования. После разработки DES в 1977 году он был принят правительством USA. Программа DES for Windows, написанная Джеффом Зальцманом, является утилитой шифрования общего пользования.
Защита электронной почты
Подавляющее большинство электронной почты посылается через Internet или другие глобальные сети в виде простого текста, который можно прочесть. Закон о конфиденциальности электронных коммуникаций приравнивает вашу электронную почту к обычному телефонному звонку.
Вы должны понимать, что системные администраторы имеют все необходимые средства для чтения электронной почты на своей системе. Иногда им даже необходимо просматривать электронную почту, чтобы удостовериться, что система работает нормально.
Хакеры и любопытные отличаются тем, что владеют различными способами получения доступа к вашей почте, но обе эти категории не могут читать вашу почту, если она зашифрована. Если вам необходимо защитить секретную информацию используйте PGP (Pretty Good Privacy) для шифрования почты перед отправлением.
Список литературы
“Защита информации в персональных ЭВМ”, А.В. Спесивцев.
“Вычислительная техника и её применение”, В.В. Голубев.
“Безопасность компьютера”, Эд Тайли.
Минестерство образования и науки РФ
Федеральное агенство по образованию
ГОУ ВПО «Магнитогорский Государственный Технический Университет им. Носова»
Кафедра Информатики и Информационных технологий
Реферат на тему: «Методы защиты информации»
Подготовил: студент группы ТН-10
Рязанов Алексей
Проверил: преподаватель кафедры ИиИТ
Магнитогорск, 2010
Введение 3
Основные понятия информационной безопасности 3
Анализ угроз информационной безопасности 4
Способы и средства нарушения конфиденциальности информации 5
Основные методы реализации угроз информационной безопасности 5
Основы противодействия нарушению конфиденциальности информации 5
Методы разграничения доступа 6
Идентификация и аутентификация пользователей 6
Методы мониторинга несанкционированных действий 6
Криптографические методы защиты данных 7
Основные принципы криптографии 7
Шифрование заменой (подстановка) 9
Шифрование методом перестановки 9
Методы шифрования, использующие ключи 9
Электронная цифровая подпись 9
Заключение 10
Литература 11
Введение
Персональные компьютеры, системы управления и сети на их основе быстро входят во все области человеческой деятельности. Согласно статистическим данным, более 80% информации компаний несут финансовые убытки из-за нарушения целостности и конфиденциальности используемых данных.
Кроме информации, составляющей государственную или коммерческую тайну, существует информация, представляющая собой интеллектуальную собственность. Стоимость такой информации в мире составляет несколько триллионов долларов в год. Ее несанкционированное копирование, также снижает доходы компаний и авторов, занятых ее разработкой.
Усложнение методов и средств организации машинной обработки, повсеместное использование глобальной сети Интернет приводит к тому, что информация становится все более уязвимой. Этому способствуют такие факторы, как постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, имеющих доступ к ресурсам, программам и данным, недостаточный уровень защиты аппаратных и программных средств компьютеров и коммуникационных систем и т.п.
Учитывая эти факты, защита информации в процессе ее сбора, хранения, обработки и передачи приобретает исключительно важное значение.
Основные понятия информационной безопасности
Компьютерная система (КС) – организационно-техническая система, представляющую совокупность следующих взаимосвязанных компонентов:
технические средства обработки и передачи данных;
методы и алгоритмы обработки в виде соответствующего ПО;
данные – информация на различных носителях и находящаяся в процессе обработки;
конечные пользователи – персонал и пользователи, использующие КС с целью удовлетворения информационных потребностей;
объект – любой элемент КС, доступ к которому может быть произвольно ограничен;
субъект – любая сущность, способная инициировать выполнение операций над объектом.
Система защиты информации – это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие
угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.
Идентификация – получение от субъекта доступа к сведениям (имя, учетный номер и т.д.), позволяющим выделить его из множества субъектов.
Аутентификация – получение от субъекта сведений (пароль, биометрические данные и т.д.), подтверждающих, что идентифицируемый субъект является тем, за кого себя выдает.
Несанкционированный доступ (НСД) – доступ с нарушением правил разграничения доступа субъекта к информации, с использованием штатных средств (программного или аппаратного обеспечения), предоставляемых КС.
Пароль – комбинация символов, известная только ее владельцу.
Стойкость – это минимальный объем зашифрованного текста, который можно вскрыть статистическим анализом.
Анализ угроз информационной безопасности
Для успешного противодействия угрозам и атакам КС, а также выбора способов и средств защиты, политики безопасности и анализа рисков, необходимо классифицировать существующие угрозы информационной безопасности.
Классификация угроз может быть проведена по ряду базовых признаков:
по природе возникновения;
по степени преднамеренности;
по степени зависимости от активности КС
по степени воздействия на КС;
по способу доступа к ресурсам КС;
по текущему месту расположения информации в КС.
Необходимо отметить, что абсолютно надежных систем защиты не существует. Уровень системы защиты – это компромисс между понесенными убытками от потери конфиденциальности информации, с одной стороны, и убытками от усложнения КС и увеличения доступа к ресурсам от введения систем защиты, с другой стороны.
Способы и средства нарушения конфиденциальности информации
Основные методы реализации угроз информационной безопасности
К основным направлениям реализации злоумышленником информационных угроз на локальной, изолированной или включенной в сеть КС можно отнести следующие:
непосредственное обращение к объектам доступа (злоумышленник пытается получить доступ к объектам);
создание программных и технических средств, выполняющих обращение к объектам доступа;
модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;
внедрение в технические средства программных или технических механизмов, нарушающих структуру и функции КС.
Получение доступа к информации обычно осуществляется злоумышленником в несколько этапов. На первом этапе происходит получение доступа к программным средствам, а на втором этапе – решаются задачи внедрения программных средств с целью хищения программ и данных.
Основы противодействия нарушению конфиденциальности информации
Требования безопасности определяют набор средств защиты КС на всех этапах ее существования: от разработки спецификации на проектирование программных средств до их списания. НСД может быть предотвращен или существенно затруднен при организации следующего комплекса мероприятий:
идентификация и аутентификация пользователей;
мониторинг несанкционированных действий – аудит;
разграничение доступа к КС;
криптографические методы сокрытия информации;
защита КС при работе в сети.
Организация надежной защиты КС невозможна, с помощью только аппаратно-программных средств. Очень важным является административный контроль работы КС.
Основные задачи администратора по поддержанию средств защиты заключаются в следующем:
постоянный контроль корректности функционирования КС и ее защиты;
регулярный просмотр журналов регистрации событий;
организация и поддержание адекватной политики безопасности;
инструктирование пользователей ОС об изменениях в системе защиты, правильного выбора паролей и т.д;
регулярное создание и обновление резервных копий программ и данных;
постоянный контроль изменений конфигурационных данных.
Рассмотрим подробнее наиболее часто используемые методы защиты и принципы их действия.
Методы разграничения доступа
При организации доступа субъектов к объектам выполняются следующие действия:
идентификация и аутентификация субъекта доступа;
проверка прав доступа субъекта к объекту;
ведение журнала учета действий субъекта.
Идентификация и аутентификация пользователей
При входе в КС и при получении доступа к данным, субъект должен быть идентифицирован и аутентифицирован. Эти две операции обычно выполняются вместе, т.е пользователь сначала сообщает системе сведения, позволяющие выделить его из множества субъектов, а затем сообщает секретные сведения, подтверждающие, что он то, за кого себя выдает. Для аутентификации субъекта чаще всего используют:
съемные носители информации;
злектронные жетоны;
пластиковые карты;
механические ключи.
Методы мониторинга несанкционированных действий
Политика безопасности предполагает контроль за работой КС и ее компонентов, который заключается в фиксировании и последующем анализе событий в специальных журналах – журналах аудита. Периодически журнал рассматривается администратором ОС, или аудитором, которые анализируют сведения, накопленные в нем.
Для обеспечения надежной защиты ОС 1 в журнале должны отражаться следующие события:
попытки входа/выхода пользователей из системы;
попытки изменения списка пользователей;
попытки изменения политики безопасности, в том числе и политики аудита.
Криптографические методы защиты данных
Основные принципы криптографии
Криптографические методы являются наиболее эффективными методами защиты информации в КС 2 . При передаче же по протяженным линиям связи, они являются единственным надежным способом защиты от несанкционированного доступа к ней.
Важнейшим показателем надежности криптографического закрытия информации является его стойкость.
На рис. 1 показана схема основных методов криптографического закрытия информации. Некоторые из этих методов рассмотрены ниже.
Также, на рис. 2 показан процесс шифрования криптографическим методом.
Рис. 2. Процесс шифрования криптографическим методом.
Рис. 1. Классификация основных методов криптографического закрытия
Шифрование заменой (подстановка)
Наиболее простой метод шифрования. При шифровании заменой (подстановкой) символы шифруемого текста заменяются символами того же или другого алфавита с заранее установленным правилом замены. В шифре простой замены каждый символ исходного текста заменяется символами того же алфавита одинаково на всем протяжении текста. Часто шифры простой замены называют шифрами одноалфавитной подстановки.
Такой шифр имеет низкую стойкость, поэтому этот метод используют крайне редко.
Шифрование методом перестановки
Этот метод заключается в том, что символы шифруемого текста переставляются по определенным правилам внутри шифруемого блока символов.
Например, необходимо зашифровать текст «Абсолютно надежной защиты нет».
Выберем блок, размером 4 x 8.
Блок имеет вид:
Зашифрованный текст выглядит так: «сн нннтоазеюёщ Аооытжи лдатб й».
Методы шифрования, использующие ключи
Эти методы предполагают знание ключа при шифровании и дешифрования. При этом, важной задачей является безопасная передача ключа, который при этом обычно тоже шифруется. Учитывая короткую длину фразы, содержащей ключ, стойкость шифра ключа значительно выше, чем у основного текста.
Наиболее перспективными системами криптографической защиты данных в настоящее время являются системы с открытым ключом. В таких системах для шифрования данных используется один ключ, а для дешифрования – другой. Сегодня, наиболее развитым методом с открытым ключом является алгоритм RSA.
Электронная цифровая подпись
При обмене электронными документами очень важным является установление авторства, подлинности и целостности информации в полученном документе. Решение этих задач возлагается на цифровую подпись, сопровождающую электронный документ.
Функционально, она аналогична обычной рукописной подписи и обладает ее основными достоинствами:
удостоверяет, что подписанный текст исходит от лица, поставившего подпись;
не дает лицу, подписавшему текст отказаться от обязательств, связанных с подписанным текстом;
гарантирует целостность подписанного текста.
Заключение
Итак, в этой работе был сделан обзор наиболее распространенных в настоящее время методов защиты информации и способов ее реализации. Выбор для конкретных систем должен быть основан на глубоком анализе слабых и сильных сторон тех или иных методов защиты. Обоснованный выбор той или иной системы защиты должен опираться на какие-либо критерии эффективности. К сожалению, до сих пор не разработаны подходящие методики оценки эффективности защитных систем.
Наиболее простой критерий такой эффективности - вероятность раскрытия ключа или мощность множества ключей. Для ее численной оценки можно использовать также и сложность раскрытия шифра путем перебора всех ключей. Однако, этот критерий не учитывает других важных требований к системам защиты:
невозможность раскрытия или осмысленной модификации информации на основе анализа ее структуры,
совершенство используемых протоколов защиты,
минимальный объем используемой ключевой информации,
минимальная сложность реализации (в количестве машинных операций), ее стоимость,
высокая оперативность.
Поэтому желательно, конечно, использование некоторых интегральных показателей , учитывающих указанные факторы. Но в любом случае выбранный комплекс защитных методов должен сочетать как удобство, гибкость и оперативность использования, так и надежную защиту от злоумышленников циркулирующей в системе информации.
Литература
Защита информации и информационная безопасность (2)
Реферат >> Информатика... защиты информации (правовая защита информации , техническая защита информации , защита экономической информации и т.д.). Организационные методы защиты информации и защита информации в России обладают следующими свойствами: Методы и средства защиты информации ...
Гмурман. А.И . Информационная безопасность / А.И. Гмурман - М.: «БИТ-М», 2004.-387с.
Анин Б.А. Защита компьютерной информации. – Спб.: БХВ-Петербург. 2000. – 384с.
МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ 7 3.1 Криптография и криптоанализ 9 3.2 Требования к... Дрофа 2000 .– 235с ХоффманД.Д. Современные методы защиты информации .- М.: Бином 1980.-330с Федеральный закон...
БПОУ ОО «Болховский педагогический колледж»
Сообщение
на тему:
«Защита персональных данных»
Подготовила:
студентка 4 курса группы «Г»
Сидорова Елена
Болхов,2016
Защита персональных данных – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранению и передачи персональных данных граждан.
Согласно требованию закона о защите персональных данных, оператор персональных данных обязан выполнить ряд организационных и технических мер касающихся процессов обработки персональных данных.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Правоотношения в сфере персональных данных
регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а так же Гражданским кодексом РФ.
Закон «О персональных данных» обязывает оператора принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Появление закона поставило сложную и требующую немедленного решения задачу перед большинством российских компаний. До 1 января 2010 года
компании (операторы), обрабатывающие персональные данные в информационных системах, обязаны обеспечить:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
Основные положения Закона «О персональных данных»:
Информационные системы, обрабатывающие персональные данные и созданные до вступления в силу Закона «О персональных данных» должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года;
Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц.
Требования к информационным системам персональных данных
Требования к обеспечению безопасности персональных данных установлены Постановлением Правительства № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационной системе персональных данных». Положение определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их классом.
Классификация информационных систем производится операторами самостоятельно в зависимости от объема и состава обрабатываемых персональных данных в соответствии с совместным приказом ФСТЭК, ФСБ и Мининформсвязи от 13.02.2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных».
Контроль
Контроль за выполнением законодательства возложен на следующие органы:
Роскомнадзор – основной надзорный орган в области персональных данных;
ФСБ – основной надзорный орган в части использования средств шифрования;
ФСТЭК – надзорный орган в части использования технических средств защиты информации.
Уполномоченный орган по защите прав субъектов персональных данных производит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации. За 2008 год уполномоченный орган произвел 76 плановых проверок и 40 внеплановых, произведенных по в ходе рассмотрения обращений граждан. На 2009 год планируется проведение более 300 плановых проверок.
Комплекс мероприятий по обеспечению защиты персональных данных
Организационные меры
по защите персональных данных включают в себя:
Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
Определение перечня мероприятий по защите ПДн.
Технические меры
по защите персональных данных предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из класса системы персональных данных;
Типичные позиции операторов персональных данных
1. ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.
Такая компания не собирается тратить деньги и время на изменение процессов обработки и хранения персональных данных, а так же не задумывается об обучении своих сотрудников при работе с ними. Организация продолжает свою деятельность в привычном режиме, в надежде на то, что первые компании, которые не выполнят поставленных задач со стороны государственных органов, будут требовать пересмотра и корректировки закона, а так же расширения списка средств, допустимых к использованию в системах защиты ПДн или же сдвинуть сроки готовности системы обработки ПДн.
Ассоциация российских банков (АРБ) уже дважды пыталась безуспешно отсрочить срок приведения информационных систем в соответствие с требованиями ФЗ-152. Сроки выполнения оставлены без изменения.
2. “Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.
В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и её контрагентах. Таким образом такая компания является оператором персональных данных, действия ФЗ-152 распространяются и на неё.
Классическая ситуация: реализовать своими силами, или приглашать консультантов?
Для того чтобы ответить на этот вопрос, необходимо определиться со следующими вещами:
Готов ли руководитель компании взять на себя ответственность за успешное внедрение средств защиты персональных данных?
Есть ли у компании квалифицированные сотрудники, которые готовы выполнить требования закона?
Может ли руководство компании оценить сроки и стоимости такого проекта?
Как выполнить требования закона по защите персональных данных, при этом не нарушить критические бизнес-процессы компании?
Каким образом необходимо подавать заявление в регулирующие органы?
Если вышеперечисленные задачи, не могут быть реализованы собственными силами, следует привлекать внешних консультантов.
Компания “Pointlane” оказывает полный цикл услуг по консультационным вопросам, а так же по вопросам прохождения аттестации на работу с персональными данными:
Консультации по вопросам требований законодательства и определения их действия применительно к Вашей организации;
Подготовка заявки на регистрацию Вашей организации как оператора персональных данных;
Инвентаризация персональных данных;
Построение модели угроз;
Определение класса ИСПДН (информационных систем персональных данных) и выработка мер по его понижению, тем самым снизив затраты на средства защиты не уменьшая степени защищенности персональных данных;
Внедрение средств защиты;
Подготовка ИСПДН к аттестации;
Подготовка Вашей организации к получению лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации;
Составление ответов на обращения граждан в рамках законодательства по ПД.
Преимущества проведения мероприятий по защите персональных данных
После внедрения системы по защите персональных данных Заказчик получит:
Возможность продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;
Возможность работы с персональными данными не только внутри компании, но и при передаче их сторонним организациям;
Защиту от претензий со стороны регулирующих органов;
Защиту от непредвиденной и принудительной остановки бизнеса;
Защиту от недобросовестных конкурентов;
Информационную систему соответствующую всем стандартам и требованиям законодательства.
Реферат по информатике на тему Защита информации С точки зрения пользования компьютером и интернетом для работы, учебы или других целей защита информации подразделяется на четыре основных категории: защита доступа к ПК, защита от нелегального- пользования программами, защита данных на дисках, защита информации в сети. Для удобства понимания аспектов, способов, нюансов касающихся данной темы рассмотрим каждую из категорий в отдельности. 1.-- -Защита доступа к личному компьютеру необходимая вещь, которую следует освоить каждому, кто так или иначе связан с работой за компьютером, в особенности, если работа ведется с важной информацией. Как известно защита доступа связанна непосредственно с установлением пароля, который в последствие будет запрашивать компьютер перед тем как запустить систему. Такой пароль устанавливается в BIOS Setupe. Такая защита гарантирует то, что пользователь не знающий пароль не сможет воспользоваться данным ПК, так как система WINDOWS просто не запустится, если в верная комбинация не будет введена. Тем не менее, есть определенный риск, ведь при утрате пароля восстановить доступ к данным пользователю будет крайне нелегко. 2.-- -Защита программ. На сегодняшний день эта проблема весьма обсуждаема, ведь нелегальное копирование и использование программ получило широкое распространение. Данное явление не только обесценивает труд программистов, но и способствует снабжению огромного количества пользователей некачественными программами, зачастую вредящими нормальной работе ПК. Во избежание негативных последствий связанных с нелегальным распространением программ было разработано несколько способов защиты. Самым продуктивным из них стала специальная защита в виде программного ключа, размещенного на CD-ROM. В результате его размещении я скопированная программа не может быть установлена. 3.-- -Защита данных на дисках. В большинстве случаев данный способ защиты информации является несколько более удобным, нежели первый, виду того, что не требует установки пароля на весь компьютер в целом, а используется локально для необходимой папки, диска или любого другого- файла. К диску или папке может быть ограничен доступ как полностью, так и частично. Однако информация- охраняется так же не только от несанкционированного доступа, но и от непредвиденной поломки системы. На этот случай к жесткому диску подключают специальные RAID-контролеры, с помощью которых информация сохраняется на нескольких дисках одновременно. 4.-- -Информация в Интернете. Защита информации в интернете, так же немаловажная сторона защиты информации в целом. Главным образом, это косвенно касается данных ПК, к которым можно получить несанкционированный доступ, в случае, если компьютер подключен к интернету. На сегодняшний день для этого разработано не один а несколько способов. Чтобы этого не допустить устанавливается специальная программа, которая служит неким барьером между интернетом и локальной сетью. Данный брандмауэр ведет контроль за всеми операциями и передачей данных, выявляя среди них наиболее подозрительные. В век развития технологий и все больше растущей ценности информации следует всегда помнить о способах ее защиты и качественно их применять.
