Защита от несанкционированного доступа к информации

РЕФЕРАТ НА ТЕМУ:

«ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ»

 

 

               

 

 

 

                                                                              Работу выполнила:    
                                                                              Садекова Ляйсан, 11«Б»

Содержание:                                      2

 

Введение                                                                                             3

Необходимость и потребность в защите информации                              4

Основные  понятия                                                                                5

Угрозы  безопасности                                                                          6-7

Методы  и средства защиты                                                                    8      

Принципы  проектирования системы защиты                                          9  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ:

 

 

В нашей стране с начала 90-х годов  начала строиться совершенно новая  финансово-кредитная система, произошло  становление новых форм собственности, в том числе и интеллектуальной собственности. Еще не так давно  вся собственность нашей страны (тогда еще СССР) была государственной. Промышленность страны была в той  или иной степени на "военных  рельсах", поэтому промышленные секреты  были военными и охранялись нашей  мощной системой спецслужб.

Сейчас ситуация кардинально изменилась. Отдельные частные компании ведут  свои научные разработки, в каждой организации автоматизирована система  бухгалтерского учета - все это и  многое другое разрабатывается, обрабатывается и хранится при помощи компьютеров. А для передачи данных используются компьютерные сети. Само собой разумеется, такая информация может быть интересна  для конкурирующих организаций, а значит, появляется проблема ее защиты. Но под "защитой информации" следует  понимать не только спектр технических  мероприятий - программных и аппаратных, но и законодательных. Казалось бы, такая мелочь, но это важно с  двух точек зрения. Во-первых, защита законом прав, свобод и собственности - необходимые условия построения правового государства. И, во-вторых, при поимке "компьютерных злоумышленников" появляется дилемма: что с ними делать, ведь предать их правосудию невозможно, т.к. все, что не запрещено законом, - разрешено.

На сегодняшний день, юридически сформулированы три принципа информационной безопасности, которая должна обеспечивать:

- целостность данных;

- конфиденциальность информации;

- доступность информации для  всех зарегистрированных пользователей.

 

 

 

 

 

 

 

 

 

 

 

 

 

НЕОБХОДИМОСТЬ И ПОТРЕБНОСТЬ В ЗАЩИТЕ ИНФОРМАЦИИ:

 

Жизнь современного общества немыслима  без современных информационных технологий. Компьютеры обслуживают  банковские системы, контролируют работу атомных реакторов, распределяют энергию, следят за расписанием поездов, управляют  самолетами, космическими кораблями. Компьютерные сети и телекоммуникации предопределяют надежность и мощность систем обороны  и безопасности страны. Компьютеры обеспечивают хранение информации, ее ' обработку и предоставление потребителям, реализуя таким образом информационные технологии.

Однако именно высокая степень  автоматизации порождает риск снижения безопасности (личной, информационной, государственной, и т.п.). Доступность  и широкое распространение информационных технологий, ЭВМ делает их чрезвычайно  уязвимыми по отношению к деструктивным  воздействиям. Тому есть много примеров. Так, каждые 20 секунд в США совершается  преступление с использованием программных  средств, 80% этих преступлений, расследуемых ФБР, происходит через сеть Internet. Потери от хищений или повреждений компьютерных сетей превышают 100 млн. долл. в год.

Субъекты производственно-хозяйственных  отношений вступают друг с другом в информационные отношения (отношения  по поводу получения, хранения, обработки, распределения и использования  информации) для выполнения своих  производственно-хозяйственных и  экономических задач. Поэтому обеспечение  информационной безопасности - это  гарантия удовлетворения законных прав и интересов субъектов информационных отношений. В дальнейшем субъектами информационных отношений будем  называть государство (в целом или  отдельные его органы и организации), общественные или коммерческие организации (объединения) и предприятия (юридические  лица), отдельных граждан (физические лица).

Различные субъекты по отношению к  определенной информации могут выступать  в качестве (возможно одновременно): 
- источников (поставщиков) информации; 
- пользователей (потребителей) информации; 
- собственников (владельцев, распорядителей) информации; 
- физических и юридических лиц, о которых собирается информация; 
- владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т.д.

Будучи заинтересованными, в обеспечении  хотя бы одного из вышеназванных требований субъект информационных отношений  является уязвимым, т.е. потенциально подверженным нанесению ему ущерба (прямого  или косвенного, материального или  морального) посредством воздействия  на критичную для него информацию и ее носители либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности (конечно, в различной степени в зависимости от величины ущерба, который им может быть нанесен).

Известно следующее разделение информации по уровню важности: 
1) жизненно важная, незаменимая информация, наличие которой необходимо для функционирования организации; 
2) важная информация - информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами; 
3) полезная информация - информация, которую трудно восстановить, однако организация может функционировать и без нее; 
4) несущественная информация - информация, которая больше не нужна организации.

 

 

 

ОСНОВНЫЕ ПОНЯТИЯ: 

Защита информации - это средства обеспечения безопасности информации. Безопасность информации - защита информации от утечки, модификации и утраты. По существу, сфера безопасности информации - не защита информации, а защита прав собственности на нее и интересов  субъектов информационных отношений. Утечка информации - ознакомление постороннего лица с содержанием секретной  информации. Модификация информации - несанкционированное изменение  информации, корректное по форме и  содержанию, но другое по смыслу. Утрата информации - физическое уничтожение  информации.

Цель защиты информации - противодействие  угрозам безопасности информации. Угроза безопасности информации - действие или  событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов (т.е. к утечке, модификации и утрате), включая хранимую, передаваемую и  обрабатываемую информацию, а также  программные и аппаратные средства. Поэтому для обеспечения безопасности информации необходима защита всех сопутствующих  компонентов информационных отношений (т.е. компонентов информационных технологий и автоматизированных систем, используемых субъектами информационных отношений):

оборудования (технических средств); 
программ (программных средств); 
данных (информации); 
персонала.

С этой целью в соответствующих  организациях и на соответствующих  объектах строится система защиты. Система защиты - это совокупность (комплекс) специальных мер правового (законодательного) и административного  характера, организационных мероприятий, физических и технических (программно-аппаратных) средств защиты, а также специального персонала, предназначенных для  обеспечения безопасности информации, информационных технологий и автоматизированной системы в целом. Для построения эффективной системы защиты необходимо провести следующие работы:

1) определить угрозы безопасности  информации; 
2) выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к защищаемым данным; 
3) построить модель потенциального нарушителя; 
4) выбрать соответствующие меры, методы, механизмы и средства защиты; 
5) построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих автоматизированных систем и технологий.

При проектировании существенное значение придается предпроектному обследованию объекта. На этой стадии:

- устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТУ, оценивается уровень ее конфиденциальности и объем; 
- определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса технических средств и т.д.; 
- анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации; 
- определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности; 
- определяются мероприятия по обеспечению режима секретности на стадии разработки.

 

 

УГРОЗЫ БЕЗОПАСНОСТИ:

Основными видами угроз безопасности информационных технологий и информации (угроз интересам субъектов информационных отношений) являются: 
- стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.); 
- сбои и отказы оборудования (технических средств) АИТУ; 
- последствия ошибок проектирования и разработки компонентов АИТУ (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.); 
- ошибки эксплуатации (пользователей, операторов и другого персонала); 
- преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).

Угрозы безопасности можно  классифицировать по различным признакам. По результатам акции: 1) угроза утечки; 2) угроза модификации; 3) угроза утраты. По нарушению свойств информации: а) угроза нарушения конфиденциальности обрабатываемой информации; б) угроза нарушения целостности обрабатываемой информации; в) угроза нарушения работоспособности  системы (отказ в обслуживании), т.е. угроза доступности.

По природе возникновения:

1) естественные; 
2) искусственные.

Естественные угрозы - это  угрозы, вызванные воздействиями  на АИТУ и ее элементы объективных  физических процессов или стихийных  природных явлений. Искусственные  угрозы - это угрозы АИТУ, вызванные  деятельностью человека. Среди них, исходя и мотивации действий, можно выделить: а) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АИТУ и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.; б) преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников). Источники угроз по отношению к информационной технологии могут быть внешними или внутренними (компоненты самой АИТУ - ее аппаратура, программы, персонал).

Основные непреднамеренные искусственные угрозы АИТУ (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

1) неумышленные действия, приводящие к частичному или  полному отказу системы или  разрушению аппаратных, программных,  информационных ресурсов системы  (неумышленная порча оборудования, удаление, искажение файлов с  важной информацией или программ, в том числе системных и  т.п.); 
2) неправомерное включение оборудования или изменение режимов работы устройств и программ; 
3) неумышленная, порча носителей информации; 
4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.); 
5) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях); 
6) заражение компьютера вирусами; 
7) неосторожные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной;

8) разглашение, передача  или утрата атрибутов разграничения  доступа (паролей, ключей шифрования, идентификационных карточек, пропусков  и т.п.). 
9) проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ с возможностями, представляющими угрозу для работоспособности системы и безопасности информации; 
10) игнорирование организационных ограничений (установленных правил) при ранге в системе; 
11) вход в систему в обход средств зашиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.); 
12) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности; 
13) пересылка данных по ошибочному адресу абонента (устройства); 
14) ввод ошибочных данных; 
15) неумышленное повреждение каналов связи.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ:  

Проблема создания системы  защиты информации включает две взаимодополняющие  задачи:  
1) разработка системы защиты информации (ее синтез);  
2) оценка разработанной системы защиты информации. 
Вторая задача решается путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты, информации комплексу требований к данным системам. Такая задача в настоящее время решается почти исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.