Министерство образования Московской
области
ГОУ СПО Московский областной
гуманитарный колледж
РЕФЕРАТ
ПО ЗАЩИТЕ ИНФОРМАЦИИ
ТЕМА: «Обеспечение компьютерной безопасности
учетной информации и персональных данных»
Выполнила:
Студентка III курса
Группы 38.02.03 – 82
Цуканова Е. С.
Серпухов. 2014 г.
Содержание:
Введение
Глава 1. Обеспечение компьютерной
безопасности учетной информации
1.1 Понятие учётной информации,
сущность и виды
1.2 Методы обеспечения защиты
учетной информации
Глава 2. Обеспечение компьютерной безопасности
персональных данных
2.1 Персональные данные
и законодательства в области
защиты персональных данных
2.2 Категории персональных
данных
2.3 Основные принципы обеспечения
безопасности персональных данных
Заключение
Список литературы
Введение
Необходимость
обеспечения безопасности персональных
и учётных данных в наше время объективная
реальность. Современный человек не может
самостоятельно противодействовать посягательству
на его частную жизнь, а переход России к рыночным отношениям
выдвигает на первый план проблемы коренной
перестройки учета. Возросшие технические
возможности по сбору и обработке информации,
развитие средств электронной коммерции
и социальных сетей делают необходимым
принятие мер по защите персональных и
учётных данных.
Для выполнения новых функций
и, прежде всего, создания безопасности
учета и персональных данных как средства
управления и регулирования использование
компьютера, а также современных средств
связи и коммуникаций жизненно необходимо.
Новые информационные технологии
на базе современных ПЭВМ, с одной стороны,
обеспечивают высокое качество выполняемых
работ, а с другой, - создают множество
угроз, приводящих к непредсказуемым и
даже катастрофическим последствиям.
К числу таких
угроз относятся следующие:
- проникновение посторонних
лиц в данных;
- повсеместное распространение компьютерных вирусов;
- ошибочный ввод данных;
- ошибки в процессе проектирования
и внедрения учетных систем и др.
Противостоять возможной реализации
угроз можно только приняв адекватные
меры, которые способствуют обеспечению
безопасности информации.
Глава 1. Обеспечение
компьютерной безопасности учетной информации
1.1 Понятие учётной
информации, сущность и виды
Под
защитой учетной информации понимается
состояние защищенности информации и
поддерживающей ее инфраструктуры (компьютеров,
линий связи, систем электропитания и
т.п.) от случайных или преднамеренных
воздействий естественного или искусственного
характера, чреватых нанесением ущерба
владельцам или пользователям этой информации.
Понятие информационной
безопасности учетных данных в узком смысл
этого слова подразумевает:
1. надежность работы компьютера;
2. сохранность ценных учетных
данных;
3. защиту учетной информации
от внесения в нее изменений неуполномоченными
лицами;
4. сохранение документированных
учетных сведений в электронной связи.
К объектам информационной
безопасности в учете относятся:
1) информационные ресурсы, содержащие
сведения, отнесенные к коммерческой тайне,
и конфиденциальную информацию, представленную
в виде баз учетных данных;
2) средства и системы информатизации
– технические средства, используемые
в информационных процессах (средства
вычислительной и организационной техники,
информативные и физические поля компьютеров,
общесистемное и прикладное программное
обеспечение, в целом автоматизированные
системы учетных данных предприятий).
Угроза
информационной безопасности учета заключается
в потенциально возможном действии, которое
посредством воздействия на компоненты
учетной системы может привести к нанесению
ущерба владельцам информационных ресурсов
или пользователям системы.
Правовой режим информационных
ресурсов определяется нормами, устанавливающими:
- порядок документирования
информации;
- право собственности на отдельные
документы и отдельные массивы документов,
документы и массивы документов в информационных
системах;
- категорию информации по уровню
доступа к ней;
- порядок правовой защиты информации.
Все множество потенциальных
угроз в учете по природе их возникновения
можно разделить на два класса: естественные
(объективные) и искусственные.
Естественные
угрозы вызываются объективными причинами,
как правило, не зависящими от бухгалтера,
ведущими к полному или частичному уничтожению
бухгалтерии вместе с ее компонентами.
К таким стихийным явлениям относятся:
землетрясения, удары молнией, пожары
и т.п.
Искусственные угрозы связаны с деятельностью людей.
Их можно разделить на непреднамеренные
(неумышленные), вызванные способностью
сотрудников делать какие-либо ошибки
в силу невнимательности, либо усталости,
болезненного состояния и т.п. Например,
бухгалтер при вводе сведений в компьютер
может нажать не ту клавишу, сделать неумышленные
ошибки в программе, занести вирус, случайно
разгласить пароли.
Преднамеренные
(умышленные) угрозы связаны с корыстными
устремлениями людей – злоумышленников,
намеренно создающих недостоверные документы.
В зависимости
от источника угроз их можно подразделить
на внутренние
и внешние.
Источником внутренних угроз является
деятельность персонала организации. Внешние
угрозы приходят извне от сотрудников
других организаций, от хакеров и прочих
лиц.
Особую опасность
представляют сведения, составляющие
коммерческую тайну и относящиеся
к учетной и отчетной информации (данные
о партнерах, клиентах, банках, аналитическая
информация о деятельности на рынке).Чтобы
эта и аналогичная информация была защищена,
необходимо оформить договора с сотрудниками
бухгалтерии, финансовых служб и других
экономических подразделений с указанием
перечня сведений, не подлежащих огласке.
1.2 Методы обеспечения
защиты учетной информации
Методами обеспечения защиты учетной
информации являются: препятствия; управление
доступом, маскировка, регламентация,
принуждение, побуждение.
Препятствием нужно считать метод физического
преграждения пути злоумышленника к защищаемой
учетной информации. Этот метод реализуется
пропускной системой предприятия, включая
наличие охраны на входе в него, преграждение
пути посторонних лиц в бухгалтерию, кассу
и пр.
Управлением доступом является метод защиты учетной
и отчетной информации, реализуемой за
счет:
1. идентификации
пользователей информационной системы.
(Каждый пользователь
получает собственный персональный идентификатор);
2. аутентификации – установления
подлинности объекта или субъекта по предъявленному
им идентификатору (осуществляется путем
сопоставления введенного идентификатора
с хранящимся в памяти компьютера);
3. проверки полномочий
– проверки соответствия запрашиваемых
ресурсов и выполняемых операций по выделенным
ресурсам и разрешенным процедурам;
4. регистрации обращений
к защищаемым ресурсам;
5. информирования
и реагирования при попытках несанкционированных
действий.
Пример
1.
В комплексе БЭСТ-4
разграничение доступа к информации производится
на уровне отдельных подсистем и обеспечивается
путем задания раздельных паролей доступа.
При начальной настройке или в любой момент
работы с программой администратор системы
может задать или сменить один или несколько
паролей. Пароль запрашивается при каждом
входе в подсистему.
Помимо этого в некоторых модулях
предусмотрена своя система разграничения
доступа к информации. Она обеспечивает
возможность защиты специальными паролями
каждого пункта меню. Паролями можно также
защитить доступ к отдельным подмножествам
первичных документов: так, в АРМ «Учет
запасов на складе» и «Учет товаров и продукции»
присутствует возможность задавать пароли
доступа к каждому складу в отдельности,
в АРМ «Учет кассовых операций» – пароли
доступа к каждой кассе, в АРМ «Учет расчетов
с банком» – пароли доступа к каждому
банковскому счету.
Особо следует
отметить то обстоятельство, что для эффективного
разграничения доступа к информации необходимо
в первую очередь защитить паролями сами
режимы определения паролей по доступу
к тем или иным блокам.
Маскировка – метода криптографической
защиты информации в автоматизированной
информационной системе предприятия;
Принуждение – метод защиты учетной информации
ввиду угрозы материальной, административной
или уголовной ответственности. Последнее
реализуется тремя статьями Уголовного
кодекса:
«Неправомерный
доступ к компьютерной информации» (ст.
272);
«Создание,
использование и распространение вредоносных
программ для ЭВМ» (ст. 273);
«Нарушение правил эксплуатации
ЭВМ, систем ЭВМ или их сетей». (ст. 274).
Побуждение – метод защиты информации
путем соблюдения пользователями сложившихся
морально-этических норм в коллективе
предприятия. К морально-этическим средствам
относятся, в частности, Кодекс профессионального
поведения членов ассоциации пользователей
ЭВМ в США.
Юридическая сила
документа, хранимого, обрабатываемого
и передаваемого с помощью автоматизированных
и телекоммуникационных систем, может
подтверждаться электронной цифровой
подписью.
Защищенность учетных
данных дает возможность:
- обеспечить идентификацию/аутентификацию
пользователя;
- определить для каждого пользователя
функциональные права – права на выполнение
тех или иных функций системы;
- определить для каждого документа
уровень конфиденциальности, а для каждого
пользователя – права доступа к документам
различного уровня конфиденциальности;
- подтвердить авторство пользователя
с помощью механизма электронной подписи;
- обеспечить конфиденциальность
документов путем их шифрования, а также
шифрования всей информации, передающейся
по открытым каналам связи (например, по
электронной почте);
-шифрование производится с
использованием сертифицированных криптографических
средств.
Глава 2. Обеспечение компьютерной
безопасности персональных данных
2.1 Персональные
данные и законодательства в области защиты
персональных данных
Рассмотрим несколько примеров
из повседневной жизни, когда нарушаются
права человека на конфиденциальность
персональных данных. Бывает так, что при
оформлении дисконтной карты в магазине
покупатель указывает следующие сведения:
фамилию, номер телефона, электронный
адрес, а затем получает сообщения и письма
совершенно из других магазинов, в которых
даже никогда не бывал. То есть магазин
без согласия покупателя передал его данные
третьим лицам. Если газета печатает ФИО
и суммы выигрыша победителей лотереи
без их ведома, или ТСЖ вывешивает на подъезде
списки должников и сумму их долга. Это
примеры "безобидных " утечек. Кража
персональных данных может нанести правообладателю
ощутимый материальный ущерб, если речь
идет о кредитных картах или информации
о сбережениях в банке. Злоумышленники,
обладающие достаточными техническими
знаниями, похищают реквизиты банковских
карт (скиминг) или имитируют сайты финансовых
учреждений, чтобы заставить пользователя
показать свою личную информацию (фишинг).
На самом деле зачастую даже трудно установить
источник утечки персональных данных
вследствие высокой информатизацией современного
общества.
Государство на законодательном
уровне требует от организаций и физических
лиц, обрабатывающих персональные данные,
обеспечить их защиту. Законодательство
Российской Федерации в области защиты
персональных данных основывается на
Конституции РФ, международных договорах
Российской Федерации, Федеральном законе
РФ от 27 июля 2006 г. N 152-ФЗ "О персональных
данных", Федеральном законе от 27.07.2006
№ 149-ФЗ "Об информации, информационных
технологиях и о защите информации"
и других определяющих случаи и особенности
обработки персональных данных федеральных
законов.
Целью российского законодательства
в области защиты персональных данных
является обеспечение защиты прав и свобод
гражданина при обработке его персональных
данных, в том числе защиты прав на неприкосновенность
частной жизни, личную и семейную тайну.
Законодательством регулируются отношения,
связанные с обработкой персональных
данных, осуществляемой государственными
органами власти, органами местного самоуправления,
юридическими лицами и физическими лицами.
Основополагающим законом в
области защиты персональных данных является
Федеральный закон "О персональных
данных" №152, который был принят Государственной
думой 8 июля 2006 года и вступил в силу с
26 января 2007 года. Закон определяет:
основные понятия, связанные
с обработкой персональных данных;
принципы и условия обработки
персональных данных;
обязанности оператора персональных
данных;
права субъекта персональных
данных;
виды ответственности за нарушение
требований ФЗ-№152;
государственные органы, осуществляющие контроль за соблюдением требований ФЗ-№152.
В соответствии с Законом персональные данные
- любая информация, с помощью которой
можно однозначно идентифицировать физическое
лицо (субъект ПД). К персональным данным
в связи с этим могут относиться фамилия,
имя, отчество, год, месяц, дата и место
рождения, адрес, семейное, социальное,
имущественное положение, образование,
профессия, доходы, другая информация,
принадлежащая субъекту ПД.
Операторами персональных
данных являются государственный
орган, муниципальный орган, юридическое
или физическое лицо, организующие и (или)
осуществляющие обработку персональных
данных, а также определяющие цели и содержание
обработки персональных данных.
Обработка персональных
данных – действия (операции) с персональными
данными, включая сбор, систематизацию,
накопление, хранение, уточнение (обновление,
изменение), использование, распространение
(в том числе передачу), обезличивание,
блокирование, уничтожение персональных
данных.
Информационная система
персональных данных (далее ИСПД) – информационная система,
представляющая собой совокупность персональных
данных, содержащихся в базе данных, а
также информационных технологий и технических
средств, позволяющих осуществлять обработку
таких персональных данных с использованием
средств автоматизации или без использования
таких средств.
Регуляторами называются органы государственной
власти, уполномоченные осуществлять
мероприятия по контролю и надзору в отношении
соблюдения требований федерального закона.
ФЗ "О персональных данных" установлены
три регулятора:
Роскомнадзор (защита прав субъектов персональных данных)
ФСТЭК России (требования по
защите информации от несанкционированного
доступа и утечки по техническим каналам).