Захист інформації від несанкціонованого доступу

Реферат Захист інформації від несанкціонованого  доступу

Запровадження

Проблема  захисту від стороннього доступу  і небажаним впливам її у виникла  давно, відтоді, коли по будь-яким причин хотілося ділитися нею ні з ким  або з кожним людиною. З розвитком  людського суспільства, появою приватної власності, державних устроїв, боротьбою влади й надалі розширенням масштабів людської діяльності інформація набуває ціну.Ценной стає ту інформацію, володіння якої дозволить її наявному й потенційному власнику отримати будь-який виграш: матеріальний, політичне, і т.д.

У сучасному  російської ринкової економіки неодмінною умовою успіху підприємця у бізнесі, одержання прибутку і збереження вкупі створеній ним організаційної структури є забезпечення економічній  безпеці своєї діяльності. Один із головні складові частин економічній безпеці - інформаційна безпеку, яка з допомогою використання комплексу систем, методів і засобів захисту інформації підприємця від злочинних дій від конкурентів і із метою збереження її цілісності і конфіденційності.

Зміни, які у економічного життя Росії  – створення фінансово-кредитної  системи, підприємств різної форми  власності істотно впливають  стосовно питань захисту.

Зокрема, до цій ситуації належить факт розкрадання  технічною відсталістю та ділової  інформації. Зазвичай, розкрадання пов'язане із втратою стратегічно важливих речей, спроможному призвести фірму до банкрутства. Це розкрадання можна кваліфікувати як злочин, оскільки веде до втрати матеріальних й фінансових цінностей.

Відповідальність  за захист інформації лежить нижчому ланці керівництва. Але і хтось має здійснювати загальне керівництво цієї діяльністю, у організації має бути обличчя верхньому ланці керівництва, відповідальна у підтриманні працездатності інформаційних систем.

«Безпека» необхідно розглядати, як якість розвитку заходів безпеки, спрямованих на запобігання внутрішніх та зовнішніх загроз.

У цьому  стає актуальним розглянути питання, що стосується захисту документованої інформації від несанкціонованого  доступу, виявити основні засоби захисту інформації.

 

Глава 1. Захист від несанкціонованого  доступу до інформації. Терміни та визначенням 

 

>Шифр – послідовність операцій, проведених над відкритими (закритими) даними ключ для одержання закритою (відкритої) послідовності.

Ключ – конкретне кожному за нового коду значення якихось характеристик алгоритму криптографічного захисту.

Гама шифру – це деякапсевдослучайная послідовність заданої довжини, використовувана для шифрування.

>Гаммирование – процес накладення гами шифру на відкриті дані.

>Зашифровивание – процес перетворення відкритих даних у зачинені з допомогою шифру і ключа.

>Расшифровивание – процедура перетворення закритих даних у відчинені з допомогою шифру і ключа.

>Шифрование –зашифровивание і (чи) розшифровування.

>Дешифрование – сукупність дій зі перетворенню закритих даних у відчинені не повідомляючи ключа і (чи) алгоритму зашифровування.

>Имитозащита – захист від удаваної інформації. Здійснюється за власними алгоритмам, з допомогою виробленняимитовставки.

>Имитовставка – послідовність даних певної довжини, отриманих спеціальними методамигаммирования з розчинених вихідних даних. Вмістимитовставки є еталоном для перевірки решти інформації.

Доступ до інформації (>Accesstoinformation) - ознайомлення з туристичною інформацією, її обробка, зокрема, копіювання, модифікація або винищення інформації.

Правила розмежування доступу (>Securitypolicy) - сукупність правил, що регламентують права доступу суб'єктів доступу до об'єктів доступу.

>Санкционированний доступом  до інформації (>Authorizedaccesstoinformation) - Доступ до інформації, не порушує правила розмежування доступу.

Несанкціонований доступом до інформації (>Unauthorizedaccesstoinformation) - доступом до інформації, порушує правила розмежування доступу з допомогою штатних коштів, наданих засобами обчислювальної техніки чи автоматизованими системами.

Захист від несанкціонованого  доступу (>Protectionfromunauthorizedaccess) - запобігання чи істотне складне становище несанкціонованого доступу.

Суб'єкт доступу (>Accesssubject) - обличчя, чи процес, дії яких регламентуються правилами розмежування доступу.

Об'єкт доступу (>Accessobject) - одиниця інформаційного ресурсу автоматизованої системи, доступом до якої регламентується правилами розмежування доступу.

Матриця доступу (>Accessmatrix) - таблиця, яка відображає правила розмежування доступу.

Рівень повноважень суб'єкта доступу (>Subjectprivilege) - сукупність прав доступу суб'єкта доступу.

Порушник правил розмежування доступу (>Securitypolicyviolator) - суб'єкт доступу, здійснює не санкціонованого доступу до інформації.

Модель порушника правил розмежування доступу (>Securitypolicyviolater'smodel) - абстрактне (формалізоване чинеформализованное) опис порушника правил розмежування доступу.

Комплекс засобів захисту (>Trustedcomputingbase) - сукупність програмних і технічних засобів, створювана і підтримувана задля забезпечення захисту коштів обчислювальної техніки чи автоматизованих систем від несанкціонованого доступу до інформації.

Система розмежування доступу (>Securitypolicyrealization) - сукупність реалізованих правил розмежування доступу у засобах обчислювальної техніки чи автоматизованих системах.

>Идентификатор доступу (>Accessidentifier) - унікальний ознака суб'єкта чи об'єкта доступу.

Ідентифікація (>Identification) - присвоєння суб'єктам і об'єктах доступу ідентифікатора і (чи) порівняння висунутого ідентифікатора з переліком привласнених ідентифікаторів.

>Пароль (>Password) - ідентифікатор суб'єкта доступу, що є його (суб'єкта) секретом.

>Аутентификация (>Authentication) - перевірка приналежності суб'єкту доступу пред'явленого їм ідентифікатора, підтвердження дійсності.

>Защищенное засіб обчислювальної  техніки (>Trustedcomputersystem) - засіб обчислювальної техніки (автоматизовану систему), у якому реалізований комплекс засобів захисту.

Засіб захисту від несанкціонованого доступу (>Protectionfacility) -пограммное, технічне чи програмно-технічне засіб, спрямоване на запобігання чи істотне складне становище несанкціонованого доступу.

Модель захисту (>Protectionmodel) - абстрактне (формалізоване чиНеформализованное) опис комплексу програмно-технічних коштів і/або організаційних заходів захисту від несанкціонованого доступу.

Безпека інформації (>Informationsecurity) - стан захищеностіинфоpмации,обpабативаемой засобами обчислювальної техніки чи автоматизованої системи відвнутpенних чи зовнішніх загроз.

Цілісність інформації (>Informationintegrity) - здатність кошти обчислювальної техніки чи автоматизованої системи забезпечувати незмінність інформацією умовах випадкового і (чи) навмисного спотворення (руйнації).

Конфіденційна інформація (>Sensitiveinformation) - інформація, потребує захисту.

>Дискреционное управління доступом (>Discretionaryaccesscontrol) - розмежування доступу міжпоименованними суб'єктами іпоименованними об'єктами. Суб'єкт з певним правом доступу може передати цю право будь-якої іншої суб'єкту.

>Мандатное управління доступом (>Mandatoryaccesscontrol) - розмежування доступу суб'єктів до об'єктів, заснований на що характеризується міткою конфіденційності інформації, котра міститься в об'єктах, і офіційному вирішенні (допуск) суб'єктів звертатися до інформації цього рівня конфіденційності.

Багаторівнева захист (>Multilevelsecure) - захист, забезпечує розмежування доступу суб'єктів з різними правами доступу до об'єктів різних рівнів конфіденційності.

Концепція диспетчера доступу (>Referencemonitorconcept) - концепція управління доступом, належить абстрактної машині, якапосредничает попри всі зверненнях суб'єктів до об'єктів.

Диспетчер доступу (>Securitykernel) - технічні, програмні імикропрограммние елементи комплексу засобів захисту, реалізують концепцію диспетчера доступу; ядро захисту.

Адміністратор захисту (>Securityadministrator) - суб'єкт доступу, відповідальний за захист автоматизованої системи від несанкціонованого доступу до інформації.

Мітка конфіденційності (>Sensitivitylabel) - елемент інформації, що характеризує конфіденційність інформації, котра міститься в об'єкті.

Емпірична перевірка (>Verification) - процес порівняння двох рівнів специфікації коштів обчислювальної техніки чи автоматизованих систем на належне відповідність.

Клас  захищеності коштів обчислювальної техніки (>Protectionclassofcomputersystems) - певна сукупність вимог щодо захисту коштів обчислювальної техніки (автоматизованої системи) від несанкціонованого доступу до інформації.

Показник  захищеності коштів обчислювальної техніки (>Protectioncriterionofcomputersystems) - характеристика коштів обчислювальної техніки, впливає на захищеність і описувана певної групою вимог,варьируемих за рівнем, глибині залежно від класу захищеності коштів обчислювальної техніки.

Система захисту секретної інформації (>Secretinformationsecuritysystem) - комплекс організаційних заходів і програмно-технічних (зокрема криптографічних) коштів забезпечення безпеки інформацією автоматизованих системах.

Система захисту від несанкціонованого  доступу(>Systemofprotectionfromunauthorizedaccesstoinformation) - комплекс організаційних заходів і програмно-технічних (зокрема криптографічних) засобів захисту від несанкціонованого доступу до інформацією автоматизованих системах.

Засіб криптографічного захисту (>Cryptographicinformationprotectionfacility) - засіб обчислювальної техніки, яке здійснює криптографічне перетворення інформації задля забезпечення безпечності.

Сертифікат  захисту (>Protectioncertificate) - документ, котра засвідчує відповідність кошти обчислювальної техніки чи автоматизованої системи набору певних вимог щодо захисту від несанкціонованого доступу до інформації та дає право розробникові використання і/або поширення їх як захищених.

Сертифікація рівні захисту (>Protectionlevelcertification) - процес встановлення відповідності кошти обчислювальної техніки чи автоматизованої системи набору певних вимог щодо захисту.  

 

Глава 2. Основи правовим регулюванням відносин, що з конфіденційної інформацією 

 

Законодавством  Російської Федерації встановлено, що документована інформація (документи), є загальнодоступною, крім віднесеної законом до категорії обмежений  доступ.

У цьому документована  інформація з обмеженою доступом підрозділяється на інформацію, віднесену до державну таємницю, і конфіденційну інформацію. Обидва зазначених виду інформації підлягають захисту від незаконного поширення (розголошення) і належить до охоронюваної законодавством таємниці.

Відносини, які під  час створенні, накопиченні, обробці, зберіганні й використанні документів, містять інформацію, складову державну таємницю, регулюються відповідними законодавчими актами. Основною з них Закон Російської Федерації “Про державну таємницю” від 21 липня 1993 р. № 5485-1, з внесеними до нього наступними змінами. Маємо низку підзаконних правових нормативних актів, що регламентують організацію захисту державних таємниць, ведення секретного діловодства, порядок допуску до державну таємницю посадових осіб і громадян Російської Федерації.

Порядок роботи з документованої конфіденційної інформацією регламентований у низці законодавчих актів й у першу чергу, у Конституції Російської Федерації.

Так, Конституцією Російської Федерації (ст.23) встановлено  право громадян недоторканність  особистому житті, особистої й сімейної таємниці, таємниці листування, телефонних переговорів, поштових, телеграфних та інших повідомлень. У цьому обмеження цього права можлива тільки виходячи з судового вирішення.

У Федеральному законі “Про інформацію, інформатизації і  захист інформації” конфіденційна, інформація окреслюється документована інформація, доступом до якої обмежується відповідно до законодавством Російської Федерації (ст.2).

Узагальнене поняття  конфіденційної комп'ютерної інформації значною мірою конкретизовано переліку відомостей конфіденційного характеру, затвердженому Указом президента Російської Федерації від 6 березня 1997 р. № 188. Відповідно до цього переліку відомості конфіденційного характеру групуються з кількох основним категоріям.

По-перше, це інформацію про фактах, подіях особах і обставинах приватного життя громадянина, дозволяють ідентифікувати її особистість, крім відомостей, які підлягають поширенню у засобах масової інформацією встановлених федеральними законами випадках.

Другий категорією зазначених відомостей є інформація, складова таємницю слідства й судочинства.

Далі переліку визначено  група службових відомостей, доступом до яким обмежений органами структурі  державної влади відповідно до Цивільним  кодексом Російської Федерації і  федеральними законами.