Интернет. Сегодня он стал неотъемлемой частью жизни каждого из нас. Вряд ли найдется человек, не знающий про его существование. Трудно представить себе нашу современность без глобальной сети, которая затронула практически все сферы жизни современного человека.

Что же такое интернет? Какова его роль в современном обществе?

С одной стороны, интернет может быть очень полезен. Он может стать источником полезной информации, которая необходима при обучении. Он помогает общаться на больших расстояниях, что я считаю так же немаловажным. Но с другой стороны, всемирная паутина может быть не только помощником, но и порой может приносить огромный вред. Сегодня практически все в той или иной степени зависимы от него. Интернет может быть источником не только нудной, но и вредной информации. Всё зависит от того с какими целями и как его использовать.

Интернет—это компьютерная сеть, где вся информация хранится в виде файлов. Сами файлы расположены на серверах1, постоянно подключенных к линиям связи, через которые происходит доступ к ним. Все файлы в совокупности – это ресурсы Интернета.

Ресурсы могут быть нескольких типов:

1. Текстовые;

2. Гипертекстовые;

3. Электронные письма;

4. Звуковые;

5. Другие.

2. СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ

Как известно, работая в интернете, постоянно сталкиваешься с вирусами и спамами. Вирусы могут привести к сбою всей системы компьютера, уничтожить информацию, хранящуюся в нем. Постоянно существует огромная вероятность «подхватить» тот или иной вирус.

По опросу, проведенному в 1997 году, большая угроза для информации могла прийти из интернета. То есть большее число опрошенных видело угрозу для хранения информации в компьютерах. По мере улучшения и развития техники и способов безопасности, этот процент уменьшался.

Диаграмма 1

Иными словами, работа во Всемирной паутине не всегда может быть безопасной. Для защиты компьютера и различных файлов, хранящихся в нем, нужно использовать некоторую профилактику. Она может снизить вероятность проникновения вируса в компьютер.

Начнем с окна настройки параметров браузера, точнее, к вкладке Безопасность Internet Explorer (в Netscape Navigator – окно Preferences, категория Advanced). В разделе Активное содержание нужно снять все флажки (Загрузка активного содержимого, Элементы ActiveX и модули plug-ins, Сценарии ActiveX, Программы Java). Далее, щелкнув на кнопке Уровень безопасности, установить уровень безопасности в положение Высокая. Средний уровень безопасности, наиболее подходящий для просмотра мультимедийных Web-страниц можно устанавливать только для просмотра сайтов, которым можно доверять!

Другим, довольно действенным способом защиты от нежеланных гостей является так называемый прокси-сервер (proxy server). Этот термин можно встретить в договоре с провайдером и в меню настроек браузера.

Главной функцией прокси-сервера является защита внутренних компьютеров локальной сети от чужого вторжения, в том числе и защита от вирусов. Например, в любой локальной сети выход в Интернет проходит через прокси-сервер, контролирующий все потоки информации между соединенными сетями, запрещая опасные или сомнительные процедуры.

Когда компьютер не подключен к локальной сети, пользователь может установить в настройках браузера адрес прокси-сервера провайдера. В этом случае прокси-сервер будет выполнять функцию кэша1, расположенного на сервере провайдера. Это позволит ускорить получение файлов из Интернета.

Помимо перечисленных мер безопасности, которые являются пассивными, при работе в Интернете требуется использование активных методов борьбы с различными компьютерными вирусами. Существует огромное количество антивирусных программ2. Они сразу сообщают «заражение» компьютера тем или иным вирусом. Антивирусы принимают специальные меры для «излечения» «зараженных файлов». В противном случае они эти файлы удаляют.

Ошибочно считать, что компьютер можно «заразить» только через электронную почту или браузеры. IRC-каналы часто служат каналами для отправки тайных программ (вирусов) от недоброжелателей. Очень часто в тех или иных чатах собеседник может отправить пользователю такую программу. Следует помнить, что нельзя сразу открывать полученный файл!!! Лучше всего проверять полученные файлы доступными методами, не надеясь на антивирусные программы. Как минимум посмотреть хотя бы разрешение файла.

Очень часто файлы в WWW с расширением .doc и .xls содержат макровирусы. Их следует всегда предварительно проверять. Считается небезопасным открывать их в программах Word или Exel без проверки. Лучше это делать при помощи специальных программ, которые можно найти на сайте: www/microsoft.com/msoffice/.

3. НЕДОСТАТКИ СПОСОБОВ ЗАЩИТЫ ИНФОРМАЦИИ

Как было сказано выше, существует много способов для защиты компьютера. Но, к сожалению, ни один из них нельзя назвать идеальным. Каждый имеет свои изъяны, которые хотелось бы рассмотреть более подробно.

Браузеры: В четвертых и более поздних версиях необходимо устанавливать для зоны Интернет высокий уровень безопасности (по умолчанию стоит Средний), который не дает загружать активные компоненты (ActiveX, Java и т.д.). Такой вариант наиболее безопасен для начинающего пользователя, но может не подойти для просмотра некоторых страниц и интерактивной работы с ними. Оптимальным для просмотра мультимедийных Web-страниц средний уровень безопасности можно устанавливать только для просмотра сайтов, которым можно доверять!

Прокси-сервер: это довольно действенное от вирусов средство имеет свой минус. С помощью прокси-сервера не очень надежного провайдера можно получить «зараженный» или искаженный хакерами файл. Значит надо пользоваться услугами провайдера, который вас защищает, или не пользоваться услугами прокси-сервера. В браузерах прокси-сервер по умолчанию отключен, так что выбор способа работы остается за пользователем.

Антивирусные программы: они установлены практически на всех компьютерах мира. Но нужно отметить, что постоянно появляются новые виды вирусов. Они изменчивы, и временами антивирус не в состоянии и обнаружить. Такие вирусы достаточно быстро распространяются по всей сети, фактически за несколько дней, и то и часы. Наиболее популярным примером этого является «червь Морриса». Иногда антивирусы не в состоянии сразу распознать вирус. Например, антивирусные программы научились определять вирус Trojan.PSW.Stealth (по классификации Касперского) только через 2 месяца после появления в Интернете. Поэтому «прошлогодние» антивирусные программы абсолютно неэффективны. Следовательно, нужно как можно чаще обновлять антивирусные программы.

ЗАКЛЮЧЕНИЕ

Итак, мы можем привести некоторый итог. Существует несколько средств защиты информации. Каждый из них имеет свои плюсы и минусы.

Таблица 1

№

ВИД ЗАЩИТЫ

ПЛЮСЫ

МИНУСЫ

Браузеры

Дает очень высокий уровень безопасности и является довольно надежным способом защиты

Когда в настройках стоит высокий уровень безопасности, некоторые Web-страницы могут не открываться

Прокси-сервер

Контролирует весь поток информации, благодаря чему является надежным средством защиты. Увеличивает скорость работы интернета.

Очень многое зависит от провайдера. Если он не очень надежный можно получить «зараженный» файл

Антивирусные программы

Очень просты в обращении. Могут находить, «лечить» и удалять «зараженные» файлы.

Не всегда надежны, могут не распознавать новые штампы вирусов. Требуют постоянного обновления.

Сегодня в эпоху развития всего человечества, во время усиленного технического прогресса проблемы информационной безопасности становятся всё более актуальными. Каждый деловой человек без своего ПК, словно без рук. Там вся нужная информация, которая порой очень важна.

В эру, когда интернет занимает все большее место в нашем мире необходимо улучшать способы безопасности. Это требуется не только программисту, но и обычным людям, что и делает эту тему популярной.

Существует много способов защитить свой ПК. Каждый пользователь имеет право выбора, который из них применять. Так или иначе, любой из видов защиты нужен и необходим особенно сейчас.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Соломенчук А.В., «Интернет». ПИТЕР, 2000г.

Берлинер Э.М., Глазырин Б.Э., Глазырина И.Б. «Офис от Microsoft», Москва, ABF, 1997г.

Журин А.А. «Интернет», Москва, 1999г.

Полярков Н.И. «Компьютерные технологии», Ростов-на-Дону, «Феникс», 2002г.

Ссылки (links): www.avp.ru/

www.ronl.ru

Реферат: Реферат: Правовые проблемы информационной безопасности

Правовые проблемы информационной безопасности

1. Информационная безопасность

Обеспечение безопасности в различных сферах, в том числе и информационной, является одной из значимых составляющих существования субъекта правовых отношений. В Российской Федерации одним из первых был принят закон "О безопасности", которым определено понятие безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз31. Жизненно важными интересами являются потребности, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития как общества и государства, так и личности. К основным объектам безопасности относятся: для личности – это ее права и свободы; для общества – его материальные и духовные ценности; для государства – его конституционный строй, суверенитет и территориальная целостность. Именно государство является основным субъектом обеспечения безопасности, оно осуществляет функции в этой области через органы законодательной, исполнительной и судебной властей. Угроза представляет собой совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Основными принципами обеспечения безопасности являются:

- законность;

- соблюдение баланса жизненно важных интересов личности, общества и государства;

- взаимная ответственность личности, общества и государства по обеспечению безопасности;

- интеграция с международными системами безопасности.

Систему безопасности образуют органы законодательной, исполнительной и судебной властей, государственные, общественные и иные организации и объединения, граждане, принимающие участие в обеспечении безопасности в соответствии с законом, а также законодательство, регламентирующее отношения в сфере безопасности. Общее руководство государственными органами обеспечения безопасности осуществляет Президент Российской Федерации, который возглавляет специально организованный для этого орган – Совет безопасности Российской

Федерации. Совет безопасности РФ рассматривает различные вопросы, в том числе и информационной безопасности.

В 2000 году, ввиду вступления России в информационное общество, была принята "Доктрина информационной безопасности Российской Федерации". Доктрина представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации, служит основой для формирования государственной политики в области обеспечения информационной безопасности страны, подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности, разработки целевых программ в этой области.

Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих оборот информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной, социальной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет только возрастать.

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства32.

Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и

территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере:

1) соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею,

2) информационное обеспечение государственной политики Российской Федерации,

3) развитие современных информационных технологий,

4) защита информационных ресурсов от несанкционированного доступа.

По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:

- угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

- угрозы информационному обеспечению государственной политики Российской Федерации;

- угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

- угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние. К внешним источникам относятся:

- деятельность иностранных политических, экономических, военных, разведывательных и информационных структур;

- стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;

- обострение международной конкуренции за обладание информационными технологиями и ресурсами;

- деятельность международных террористических организаций;

- увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

- деятельность космических, воздушных, морских и наземных технических и иных средств разведки иностранных государств;

- разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

К внутренним источникам относятся:

- недостаточная экономическая мощь государства, кризисное состояние отечественных отраслей промышленности;

- неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

- недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности;

- недостаточная разработанность нормативной правовой базы в этой сфере, а также недостаточная правоприменительная практика;

- неразвитость институтов гражданского общества;

- снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

- недостаточная активность государственных органов в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

- отставание России от ведущих стран мира по уровню информатизации.

Общими методами обеспечения информационной безопасности страны являются – правовые, организационно-технические и экономические.

Жизнь общества и граждан многогранна, информационная безопасность должна обеспечиваться в различных сферах деятельности. В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние объектов.

1. Сфера экономики. Особо подвержены воздействию угроз в этой области система государственной статистики; кредитно-финансовая система; системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности; системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.

2. Сфера внутренней политики. Наиболее важными объектами являются конституционные права и свободы человека и гражданина; конституционный строй, национальное согласие, стабильность государственной власти, суверенитет и территориальная целостность России; открытые информационные ресурсы государственных органов и средств массовой информации.

3. Сфера внешней политики. Наиболее важные объекты – информационные ресурсы государственных органов, предприятий, учреждений и организаций, реализующих внешнюю политику Российской Федерации; блокирование деятельности российских средств массовой информации по разъяснению зарубежной аудитории целей и основных направлений государственной политики страны, ее мнения по социально значимым событиям российской и международной жизни.

4. Сфера науки и техники. Это результаты фундаментальных, поисковых и прикладных научных исследований, потенциально важные для научно-технического, технологического и социально-экономического развития страны; открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование; научно-технические кадры и система их подготовки; системы управления сложными исследовательскими комплексами (ядерными реакторами, ускорителями элементарных частиц, плазменными генераторами и другими).

5. Сфера духовной жизни. Основными объектами угроз являются достоинство личности, свобода совести, свобода мысли и слова (за исключением пропаганды или агитации, возбуждающих социальную, расовую, национальную или религиозную ненависть и вражду), а также свобода литературного, художественного, научного, технического и других видов творчества, преподавания; свобода массовой информации; неприкосновенность частной жизни, личная и семейная тайна; русский язык как фактор духовного единения народов многонациональной России; языки, нравственные ценности и культурное наследие народов и народностей Российской Федерации; объекты интеллектуальной собственности.

6. В сфере общегосударственных информационных и телекоммуникационных систем. Это, прежде всего, информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию; средства и системы информатизации программные средства, автоматизированные системы управления, системы связи и передачи данных; технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации; помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа.

7. В сфере обороны. К объектам обеспечения информационной безопасности относятся информационная инфраструктура центральных органов военного управления Вооруженных Сил Российской Федерации, научно-исследовательских учреждений Министерства обороны Российской Федерации; информационные ресурсы предприятий оборонного комплекса и научно-исследовательских учреждений, выполняющих государственные оборонные заказы; программно-технические средства автоматизированных систем управления войсками и оружием; информационные ресурсы, системы связи и информационная инфраструктура войск.

8. В правоохранительной и судебной сферах. Представляют интерес информационные ресурсы органов, реализующих правоохранительные функции, судебных органов, ресурсы, содержащие специальные сведения и оперативные данные служебного характера; информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение; информационная инфраструктура.

9. В сфере чрезвычайных ситуаций. Наиболее уязвимыми объектами обеспечения информационной безопасности являются система принятия решений по оперативным действиям, связанным с развитием таких ситуаций и ходом ликвидации их последствий, а также система сбора и обработки информации о возможном возникновении чрезвычайных ситуаций.

2. Информационные войны

информационная безопасность война

Информационная война – целенаправленные действия, предпринятые для достижения информационного превосходства путем нанесения ущерба информации, информационным процессам и информационным системам противника при одновременной защите собственной информации, информационных процессов и информационных систем33. Приведем еще одно определение, которое более широко толкует это новое понятие, появившееся в конце ХХ века. Информационная война – противоборство между государствами в информационном пространстве с целью нанести ущерб информационным системам, процессам и ресурсам, критически важным структурам (информационно-техническая война), подрыва политической и социальной систем, а также массированной психологической обработки личного состава войск и населения с целью дестабилизировать общество и государство (информационно-психологическая война)34.

Первым лицом, употребившим термин "информационная война", был Томас Рона. В 1976 году им был подготовлен доклад на тему "Системы оружия и информационная война" для компании Boeing. В докладе Т. Рона констатировал, что информационная инфраструктура становится основополагающим элементом американской экономики, а значит, возможной целью, как в военное, так и в мирное время. С течением времени приходит понимание того, что информация может быть как целью, так и оружием. Новые информационные технологии впервые широко были использованы в 1991 году как средство ведения боевых действий при проведении операции "Буря в пустыне". С декабря 1992 года этот термин введен в официальные документы Министерства обороны США.

В октябре 1998 года, Министерство обороны США вводит в действие "Объединенную доктрину информационных операций". В этом документе следующим образом дается определение информационной войны – это комплексное воздействие (совокупность информационных операций) на систему государственного и военного управления противостоящей стороны, на ее военно-политическое руководство, которое уже в мирное время приводило бы к принятию благоприятных для стороны-инициатора информационного воздействия решений, а в ходе конфликта полностью парализовало бы функционирование инфраструктуры управления противника35. В XXI веке информационная война стала рассматриваться как неотъемлемый элемент военной доктрины любого государства. На сегодняшний день активно развивают данное направление США, Китай, Индия, Куба, Франция, Япония, германия.

Что касается Российской Федерации, значительным прорывом в данном направлении было принятие уже упоминавшейся "Доктрины информационной безопасности Российской Федерации". Для реализации основных положений Доктрины и обеспечения информационной безопасности России было создано Управление информационной безопасности в Совете Безопасности РФ. В феврале 2008 году принимается "Стратегия развития информационного общества в Российской Федерации".

Однако, как констатировал Президент РФ 12 февраля 2009 года в своем выступлении на заседании Совета по развитию информационного общества, несмотря на миллиард долларов, полученных за счет оборота ИТ-продукции, Россия занимает в международных рейтингах, связанных с информационными технологиями, семидесятые-восьмидесятые места, а отставание от лидеров растет. Так, в рейтинге готовности стран к сетевому миру Россия занимает 72 строчку, а по уровню развития электронного правительства с 2005 по 2007 год она опустилась с 56 до 92 места36. Такие результаты не дают надежд России идти в ногу с развитыми странами в обозначенной области.

Сегодня в работах по разработке отечественного представления информационной войны занимаются Министерство обороны, Служба внешней разведки, Федеральная служба безопасности и Управление "Р" Министерства внутренних дел, которое проводит расследования преступлений в высокотехнологической сфере информационных технологий.

В связи с вступлением человечества в эпоху глобализации, одной из черт которой является свободный международный оборот информации, влияния информационных войн на состояния международной и национальной безопасности будет только возрастать. В России должны быть разработаны адекватные меры по парированию угроз в области информационной безопасности.

www.neuch.ru

Безопасность информации в информационных системах

Введение

Безопасность информации в информационных системах является очень важным вопросом. Так как, информация, находящаяся на электронных носителях играет большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, большое количество пользователей, работающих с этой информацией, анонимность доступа, передача информации по каналам связи, возможность «информационных диверсий»... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем скажем, сохранение тайны традиционной почтовой переписки.

Вследствие этого настоящая работа посвящена именно проблеме обеспечения информационной безопасности в электронных информационных системах.

При рассмотрении безопасности информационных систем обычно выделяют две группы проблем: безопасность компьютера и сетевая безопасность. К безопасности компьютера относят все проблемы защиты данных, хранящихся и обрабатывающихся компьютером, которая рассматривается как автономная система. Эти проблемы решаются средствами операционных систем и приложений, таких как базы данных, а также встроенными аппаратными средствами компьютера. Под сетевой безопасностью понимают все вопросы, связанные с взаимодействием устройств в сети, это прежде всего защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть.

Автономно работающий компьютер можно эффективно защищать от внешних покушений разнообразными способами, например просто запереть на замок клавиатуру или снять жесткий накопитель и поместить его в сейф. Компьютер, работающий в сети по определению не может полностью отгородиться от мира, он должен общаться с другими компьютерами, возможно даже удаленными от него на большие расстояния. Поэтому обеспечение безопасности в сети является задачей значительно более сложной.

Защита информации в информационных системах

Понятия безопасности

Безопасная информационная система – это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.

Конфиденциальность – гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен.

Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность – гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например , если мы публикуем информацию в Интернете на WEB-сервере и нашей целью является сделать ее доступной для широкого круга людей, то конфиденциальность в данном случае не требуется.

Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база еще отстает от потребностей практики. Имеющиеся в России законы и указы носят в основном запретный характер. В то же время следует учитывать, что в нашей стране доминирует зарубежное программно-аппаратное обеспечение. В условиях ограничения на импорт и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются по существу в безвыходном положении – у них нет возможности заказать и получить «под ключ» современную систему, имеющую сертификат безопасности.

Любое действие, которое направлено на нарушение конфиденциальности, целостности и доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой. Реализованная угроза называется атакой. Риск – это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки. Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.

Угрозы разделяют на два вида: умышленные и неумышленные.

Неумышленные угрозы вызываются ошибочными действиями лояльных сотрудников, становятся следствием их низкой квалификации или безответственности. Так же эти угрозы могут возникнут вследствие технических сбоев.

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее состояние приложений и устройств. Так, умышленные угрозы возникают в результате деятельности хакеров и явно направлены на нанесение ущерба предприятию.

В вычислительных сетях можно выделить следующие типы умышленных угроз:

- незаконное проникновение в один из компьютеров сети под видом легального пользователя;

- разрушение системы с помощью программ-вирусов;

- нелегальные действия легального пользователя;

- «подслушивание» внутрисетевого трафика;

Разделяют следующие способы защиты информации:

- способы функционального контроля, обеспечивающие обнаружение и диагностику отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;

- способы повышения достоверности информации;

- способы защиты информации от аварийных ситуаций;

- способы контроля доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;

- способы разграничения и контроля доступа к информации;

- способы идентификации и аутентификации пользователей, технических средств, носителей информации и документов;

- способы защиты от побочного излучения и наводок информации.

Политика безопасности

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на следующие вопросы:

- Какую информацию защищать?

- Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?

- Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?

- Какие средства использовать для защиты каждого вида информации?

Специалисты, ответственные за безопасность системы, формируя политику безопасности, должны учитывать несколько важных принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нарушений в области безопасности предприятий исходит именно от собственных сотрудников, важно ввести четкие ограничения для всех пользователей сети, не наделяя их излишними возможностями.

Следующий принцип – использование комплексного подхода к обеспечению безопасности. Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппаратуры. Административный запрет на работу в воскресные дни ставит потенциального нарушителя под визуальный контроль администратора и других пользователей, физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только прописанным ему компьютером, встроенные средства ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для легальных пользователей ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия). Такая система защиты с многократным резервированием средств безопасности увеличивает вероятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечить баланс надежности всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уровне отдельный файлов, но имеется возможность получить жесткий диск и установить его на другой машине, то все достоинства средств защиты файловой системы сводятся на нет.

Следующим универсальным принципом является использование средств, которые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если, например, автоматический пропускной пункт в какие либо помещения ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию. А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следовало бы признать устройство, которое бы при отказе пропускало в сеть весь внешний трафик.

Принцип единого контрольного-пропускного пункта – весь входящий во внутреннюю сеть и выходящий во внешнюю сеть трафик должен проходить через единственный узел сети, например межсетевой экран. Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независимый вход во внешнюю сеть, очень трудно скоординировать правила, ограничивающие права пользователей внутренней сети по доступу к серверам внешней сети и обратно – права внешних клиентов по доступу к ресурсам внутренней сети.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение. Ни одна система безопасности не гарантирует защиту данных на уровне 100%, поскольку является результатом компромисса между возможными рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных. Так в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стандартных средств фильтрации обычного маршрутизатора, в других же можно пойти на беспрецедентные затраты. Главное, чтобы принятое решение было обосновано экономически.

Базовые технологии безопасности

В различных программных и аппаратных продуктах, предназначенных для защиты данных, часто используются одинаковые подходы, приемы и технические решения. К таким базовым технологиям безопасности относятся аутентификация, авторизация, аудит и технология защищенного канала.

Шифрование – это краеугольный камень всех служб информационной безопасности, будь то система аутентификации или авторизации, средства создания защищенного канала или способ безопасного хранения данных.

Любая процедура шифрования, превращающая информацию из обычного «понятного» вида в «нечитабельный» зашифрованный вид, естественно должна быть дополнена процедурой дешифрования, которая будучи примененной к зашифрованному тексту, снова приводит ее в понятный вид. Пара процедур - шифрование и дешифрование – называется криптосистемой.

Информацию, над которой выполняются функции шифрования и дешифрования, будем условно называть «текст», учитывая, что это может быть также числовой массив или графические данные.

В современных алгоритмах шифрования предусматривается наличие параметра – секретного ключа. В криптографии принято правило Керкхоффа: «Стойкость шифра должна определяться только секретностью ключа». Так все стандартные алгоритмы шифрования широко известны, их детальное описание содержится в легко доступных документах, но от этого их эффективность не снижается. Злоумышленнику может быть все известно об алгоритме шифрования, кроме секретного ключа. Но существует также немало фирменных алгоритмов, описание которых не публикуется.

Алгоритм шифрования является раскрытым, если найдена процедура, позволяющая подобрать ключ за реальное время. Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостью.

Существует два класса криптосистем – симметричные и асимметричные. В симметричных системах шифрования (классическая криптография) секретный ключ зашифровки совпадает с секретным ключом расшифровки. В ассиметричных схемах шифрования (криптография с открытым ключом) открытый ключ зашифровки не совпадает с секретным ключом расшифровки.

Компьютерные вирусы

Защита от компьютерных вирусов - отдельная проблема, решению которой посвящено много исследований.

Для современных вычислительных сетей, состоящих из персональных компьютеров, огромную опасность представляют хакеры. Этот термин, в начале обозначавший энтузиаста-программиста, в настоящее время применяется для описания человека, который употребляет свои знания и опыт для вторжения в вычислительные сети и сети связи с целью исследования их возможностей, получения конфиденциальных данных либо совершения вредоносных действий.

Предпосылкой для появления компьютерных вирусов служило отсутствие в операционных системах эффективных средств защиты информации от несанкционированного доступа. В связи с этим различными фирмами и программистами разработаны программы, которые в определенной степени восполняют указанный недочет. Эти программы постоянно находятся в оперативной памяти (являются "резидентными") и "перехватывают" все запросы к операционной системе на выполнение различных "подозрительных" действий, то есть операций, которые употребляют компьютерные вирусы для собственного "размножения" и порчи информации в системе.

При каждом запросе на такое действие на экран компьютера выводится сообщение о том, какое действие хочет выполнить та или иная программа. Пользователь может или разрешить выполнение этого действия, или запретить его.

Политика безопасности гипотетической организации

Чтобы сделать изложение более конкретным, рассмотрим политику обеспечения информационной безопасности гипотетической локальной сети, которой владеет организация.

В сферу действия политики обеспечения информационной безопасности попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью , в том числе на пользователей, субподрядчиков и поставщиков.

Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

- обеспечение уровня безопасности, соответствующего требованиям нормативных документов;

- исследование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности)

- обеспечение безопасности в каждой функциональной области локальной сети;

- обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

- обеспечение анализа регистрационной информации;

- предоставление пользователям достаточной информации для сознательного поддержания режима безопасности

- выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;

- обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей

Перечисленные ниже группы людей отвечают за реализацию сформулированных ранее целей.

- руководитель организации отвечает за выработку соответствующей политики обеспечения информационной безопасности и проведение ее в жизнь;

- руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними;

- администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики обеспечения информационной безопасности;

- пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Нарушение политики обеспечения информационной безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Поскольку наиболее уязвимым звеном любой информационной системы является человек, особое значение приобретает воспитание законопослушности сотрудников по отношению к законам и правилам информационной безопасности. Случаи нарушения этих законов и правил со стороны персонала должны рассматриваться руководством для принятия мер, вплоть до увольнения.

Заключение

Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.

Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.

Список использованных источников

1. Информатика [Текст] : Учебник / Под ред. проф. Н.В. Мака-ровой. - М. :Финансы и статистика, 1997. - 768 с. : ил. - ISBN 5-279-01841-4.

2. Острейковский, В.А. Информатика [Текст] : Учебник для вузов /Осрейковский В.А. - М. : Высш. шк., 2001. - 511 с. : ил. - ISBN 5-06-003533-06.

3. Безопасность электронных банковских систем [Текст] / В. Г. Гайкович., А.Л. Першин. – Москва, 2003.

4. Сетевые операционные системы [Текст]: Учебник для вузов / В. Г. Олифер, Н. А. Олифер. – СПб.: Питер, 2003. – 539 с.: ил. ISBN 5-272-00120-6

5.INTUIT.ru: Интернет Университет Информационных Техно-логий - дистанционное образование [Электронный ресурс]. - Элек-трон, дан. - Режим доступа: http//www.INTUIT.ru, свободный.

superbotanik.net

Реферат: Правовые проблемы информационной безопасности

Правовые проблемы информационной безопасности

1. Информационная безопасность

Основными принципами обеспечения безопасности являются:

- законность;

- соблюдение баланса жизненно важных интересов личности, общества и государства;

- взаимная ответственность личности, общества и государства по обеспечению безопасности;

- интеграция с международными системами безопасности.

Современный этап развития общества характеризуется возрастающейролью информационной сферы, представляющей собой совокупностьинформации, информационной инфраструктуры, субъектов, осуществляющих оборот информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной, социальной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет только возрастать.

2) информационное обеспечение государственной политики Российской Федерации,

3) развитие современных информационных технологий,

4) защита информационных ресурсов от несанкционированного доступа.

- угрозы информационному обеспечению государственной политики Российской Федерации;

- обострение международной конкуренции за обладание информационными технологиями и ресурсами;

- деятельность международных террористических организаций;

К внутренним источникам относятся:

- недостаточная экономическая мощь государства, кризисное состояние отечественных отраслей промышленности;

- неразвитость институтов гражданского общества;

- отставание России от ведущих стран мира по уровню информатизации.

2. Информационные войны

информационная безопасность война

superbotanik.net

Реферат - Проблемы защиты информации

Internet и информационная безопасность несовместны по самой природе Internet. Она родилась как чисто корпоративная сеть, однако, в настоящее время с помощью единого стека протоколов TCP/IP и единого адресного пространства объединяет не только корпоративные и ведомственные сети, являющиеся, по определению, сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.

Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в Internet — хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы — файлы и программы, не говоря уже о возможности их порчи и корректировки.

Что же определяет бурный рост Internet, характеризующийся ежегодным удвоением числа пользователей? Ответ прост — «халява», то есть дешевизна программного обеспечения, которое в настоящее время включено в Windows 95, легкость и дешевизна доступа в Internet и ко всем мировым информационным ресурсам.

Платой за пользование Internet является всеобщее снижение информационной безопасности, поэтому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие технологию intranet, ставят фильтры между внутренней сетью и Internet, что фактически означает выход из единого адресного пространства. Еще большую безопасность даст отход от протокола TCP/IP и доступ в Internet через шлюзы.

Этот переход можно осуществлять одновременно с процессом построения всемирной информационной сети общего пользования, на базе использования сетевых компьютеров, которые с помощью сетевой карты 10Base-T и кабельного модема обеспечивают высокоскоростной доступ к локальному Web-серверу через сеть кабельного телевидения.

Для решения этих и других вопросов при переходе к новой архитектуре Internet нужно предусмотреть следующее:

Во-первых, ликвидировать физическую связь между будущей Internet и корпоративными и ведомственными сетями, сохранив между ними лишь информационную связь через систему World Wide Web.

Во-вторых, заменить маршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола и заменив его на режим трансляции кадров Ethernet, при котором процесс коммутации сводится к простой операции сравнения MAC-адресов.

В-третьих, перейти в новое единое адресное пространство на базе физических адресов доступа к среде передачи, привязанное к географическому расположению сети, и позволяющее в рамках 48-бит создать адреса для более чем 64 триллионов независимых узлов.

Безопасность данных является одной из главных проблем в Internet. Появляются все новые и новые страшные истории о том, как компьютерные взломщики, использующие все более изощренные приемы, проникают в чужие базы данных. Разумеется, все это не способствует популярности Internet в деловых кругах. Одна только мысль о том, что какие-нибудь хулиганы или, что еще хуже, конкуренты, смогут получить доступ к архивам коммерческих данных, заставляет руководство корпораций отказываться от использования открытых информационных систем. Специалисты утверждают, что подобные опасения безосновательны, так как у компаний, имеющих доступ и к открытым, и частным сетям, практически равные шансы стать жертвами компьютерного террора.

Каждая организация, имеющая дело с какими бы то ни было ценностями, рано или поздно сталкивается с посягательством на них. Предусмотрительные начинают планировать защиту заранее, непредусмотрительные — после первого крупного «прокола». Так или иначе, встает вопрос о том, что, как и от кого защищать.

Обычно первая реакция на угрозу — стремление спрятать ценности в недоступное место и приставить к ним охрану. Это относительно несложно, если речь идет о таких ценностях, которые вам долго не понадобятся: убрали и забыли. Куда сложнее, если вам необходимо постоянно работать с ними. Каждое обращение в хранилище за вашими ценностями потребует выполнения особой процедуры, отнимет время и создаст дополнительные неудобства. Такова дилемма безопасности: приходится делать выбор между защищенностью вашего имущества и его доступностью для вас, а значит, и возможностью полезного использования.

Все это справедливо и в отношении информации. Например, база данных, содержащая конфиденциальные сведения, лишь тогда полностью защищена от посягательств, когда она находится на дисках, снятых с компьютера и убранных в охраняемое место. Как только вы установили эти диски в компьютер и начали использовать, появляется сразу несколько каналов, по которым злоумышленник, в принципе, имеет возможность получить к вашим тайнам доступ без вашего ведома. Иными словами, ваша информация либо недоступна для всех, включая и вас, либо не защищена на сто процентов.

Может показаться, что из этой ситуации нет выхода, но информационная безопасность сродни безопасности мореплавания: и то, и другое возможно лишь с учетом некоторой допустимой степени риска.

В области информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью системы и ее открытостью. Правильнее, впрочем, говорить не о выборе, а о балансе, так как система, не обладающая свойством открытости, не может быть использована.

В банковской сфере проблема безопасности информации осложняется двумя факторами: во-первых, почти все ценности, с которыми имеет дело банк, существуют лишь в виде той или иной информации. Во-вторых, банк не может существовать без связей с внешним миром: без клиентов, корреспондентов и т.п. При этом по внешним связям обязательно передается та самая информация, выражающая собой ценности, с которыми работает банк. Извне приходят документы, по которым банк переводит деньги с одного счета на другой. Вовне банк передает распоряжения о движении средств по корреспондентским счетам, так что открытость банка задана a priori.

Стоит отметить, что эти соображения справедливы по отношению не только к автоматизированным системам, но и к системам, построенным на традиционном бумажном документообороте и не использующим иных связей, кроме курьерской почты. Автоматизация добавила головной боли службам безопасности, а новые тенденции развития сферы банковских услуг, целиком основанные на информационных технологиях, усугубляют проблему.

На раннем этапе автоматизации внедрение банковских систем не повышало открытость банка. Общение с внешним миром, как и прежде, шло через операционистов и курьеров, поэтому дополнительная угроза безопасности информации проистекала лишь от возможных злоупотреблений со стороны работавших в самом банке специалистов по информационным технологиям.

Положение изменилось после того, как на рынке финансовых услуг стали появляться продукты, само возникновение которых было немыслимо без информационных технологий. В первую очередь это-пластиковые карточки. Пока обслуживание по карточкам шло в режиме голосовой авторизации, открытость информационной системы банка повышалась незначительно, но затем появились банкоматы, POS-терминалы, другие устройства самообслуживания-то есть средства, принадлежащие к информационной системе банка, но расположенные вне ее и доступные посторонним для банка лицам.

Повысившаяся открытость системы потребовала специальных мер для контроля и регулирования обмена информацией: дополнительных средств идентификации и аутентификации лиц, которые запрашивают доступ к системе, средств криптозащиты информации в каналах связи и т.д.

Еще больший сдвиг баланса «защищенность-открытость» в сторону последней связан с телекоммуникациями. Системы электронных расчетов между банками защитить относительно несложно, так как субъектами электронного обмена информацией выступают сами банки. Тем не менее, там, где защите не уделялось необходимое внимание, результаты были вполне предсказуемы. Наиболее кричащий пример, к сожалению, наша страна. Использование крайне примитивных средств защиты телекоммуникаций в 1992 г. привело к огромным потерям на фальшивых авизо.

Общая тенденция развития телекоммуникаций и массового распространения вычислительной техники привела в конце концов к тому, что на рынке банковских услуг во всем мире появились новые, чисто телекоммуникационные продукты, и в первую очередь системы Home Banking. Это потребовало обеспечить клиентам круглосуточный доступ к автоматизированной банковской системе для проведения операций, причем полномочия на совершение банковских транзакций получил непосредственно клиент. Степень открытости информационной системы банка возросла почти до предела. Соответственно, требуются особые, специальные меры для того, чтобы столь же значительно не упала ее защищенность.

Наконец, грянула эпоха «информационной супермагистрали»: взрывообразное развитие сети Internet и связанных с нею услуг. Вместе с новыми возможностями эта сеть принесла и новые опасности. Казалось бы, какая разница, каким образом клиент связывается с банком: по коммутируемой линии, приходящей на модемный пул банковского узла связи, или по IP-протоколу через Internet? Однако в первом случае максимально возможное количество подключений ограничивается техническими характеристиками модемного пула, во втором же-возможностями Internet, которые могут быть существенно выше. Кроме того, сетевой адрес банка, в принципе, общедоступен, тогда как телефонные номера модемного пула могут сообщаться лишь заинтересованным лицам. Соответственно, открытость банка, чья информационная система связана с Internet, значительно выше, чем в первом случае. Так только за пять месяцев 1995 г. компьютерную сеть Citicorp взламывали 40 раз!

Все это вызывает необходимость пересмотра подходов к обеспечению информационной безопасности банка. Подключаясь к Internet, следует заново провести анализ риска и составить план защиты информационной системы, а также конкретный план ликвидации последствий, возникающих в случае тех или иных нарушений конфиденциальности, сохранности и доступности информации.

На первый взгляд, для нашей страны проблема информационной безопасности банка не столь остра: до Internet ли нам, если в большинстве банков стоят системы второго поколения, работающие в технологии «файл-сервер». К сожалению, и у нас уже зарегистрированы «компьютерные кражи». Положение осложняется двумя проблемами. Прежде всего, как показывает опыт общения с представителями банковских служб безопасности, и в руководстве, и среди персонала этих служб преобладают бывшие оперативные сотрудники органов внутренних дел или госбезопасности. Они обладают высокой квалификацией в своей области, но в большинстве своем слабо знакомы с информационными технологиями. Специалистов по информационной безопасности в нашей стране вообще крайне мало, потому что массовой эта профессия становится только сейчас.

Вторая проблема связана с тем, что в очень многих банках безопасность автоматизированной банковской системы не анализируется и не обеспечивается всерьез. Очень мало где имеется тот необходимый набор организационных документов, о котором говорилось выше. Более того, безопасность информации сплошь и рядом просто не может быть обеспечена в рамках имеющейся в банке автоматизированной системы и принятых правил работы с ней.

Не так давно мне довелось читать лекцию об основах информационной безопасности на одном из семинаров для руководителей управлений автоматизации коммерческих банков. На вопрос: «Знаете ли вы, сколько человек имеют право входить в помещение, где находится сервер базы данных Вашего банка?», утвердительно ответило не более 40% присутствующих. Пофамильно назвать тех, кто имеет такое право, смогли лишь 20%. В остальных банках доступ в это помещение не ограничен и никак не контролируется. Что говорить о доступе к рабочим станциям!

Что касается автоматизированных банковских систем, то наиболее распространенные системы второго-третьего поколений состоят из набора автономных программных модулей, запускаемых из командной строки DOS на рабочих станциях. Оператор имеет возможность в любой момент выйти в DOS из такого программного модуля. Предполагается, что это необходимо для перехода в другой программный модуль, но фактически в такой системе не существует никаких способов не только исключить запуск оператором любых других программ, но и проконтролировать действия оператора. Стоит заметить, что в ряде систем этих поколений, в том числе разработанных весьма уважаемыми отечественными фирмами и продаваемых сотнями, файлы счетов не шифруются, т.е. с данными в них можно ознакомиться простейшими общедоступными средствами. Многие разработчики ограничивают средства администрирования безопасности штатными средствами сетевой операционной системы: вошел в сеть — делай, что хочешь.

Положение меняется, но слишком медленно. Даже во многих новых разработках вопросам безопасности уделяется явно недостаточное внимание. На выставке «Банк и Офис — 95» была представлена автоматизированная банковская система с архитектурой клиент-сервер, причем рабочие станции функционируют под Windows. В этой системе очень своеобразно решен вход оператора в программу: в диалоговом окне запрашивается пароль, а затем предъявляется на выбор список фамилий всех операторов, имеющих право работать с данным модулем! Таких примеров можно привести еще много.

Тем не менее, наши банки уделяют информационным технологиям много внимания, и достаточно быстро усваивают новое. Сеть Internet и финансовые продукты, связанные с ней, войдут в жизнь банков России быстрее, чем это предполагают скептики, поэтому уже сейчас необходимо озаботиться вопросами информационной безопасности на другом, более профессиональном уровне, чем это делалось до сих пор.

Некоторые рекомендации:

1. Необходим комплексный подход к информационной безопасности.

Информационная безопасность должна рассматриваться как составная часть общей безопасности банка — причем как важная и неотъемлемая ее часть. Разработка концепции информационной безопасности должна обязательно проходить при участии управления безопасности банка. В этой концепции следует предусматривать не только меры, связанные с информационными технологиями, но и меры административного и технического характера, включая жесткие процедуры контроля физического доступа к автоматизированной банковской системе, а также средства синхронизации и обмена данными между модулем администрирования безопасности банковской системы и системой охраны.

2. Необходимо участие сотрудников управления безопасности на этапе выбора — приобретения — разработки автоматизированной банковской системы. Это участие не должно сводиться к проверке фирмы-поставщика. Управление безопасности должно контролировать наличие надлежащих средств разграничения доступа к информации в приобретаемой системе.

К сожалению, ныне действующие системы сертификации в области банковских систем скорее вводят в заблуждение, чем помогают выбрать средства защиты информации. Сертифицировать использование таких средств имеет право ФАПСИ, однако правом своим этот орган пользуется весьма своеобразно. Так, один высокопоставленный сотрудник ЦБ РФ рассказал, что ЦБ потратил довольно много времени и денег на получение сертификата на одно из средств криптозащиты информации. Почти сразу же после получения сертификата он был отозван: ЦБ было предложено вновь пройти сертификацию уже с новым средством криптозащиты-разработанным той же организацией из ФАПСИ.

Возникает вопрос, а что же на самом деле подтверждает сертификат? Если, как предполагает наивный пользователь, он подтверждает пригодность средства криптозащиты выполнению этой функции, то отзыв сертификата говорит о том, что при первоначальном сертифицировании ФАПСИ что-то упустило, а затем обнаружило дефект. Следовательно, данный продукт не обеспечивает криптозащиты и не обеспечивал ее с самого начала.

Если же, как предполагают пользователи более искушенные, ФАПСИ отозвало сертификат не из-за огрехов в первом продукте, то значение сертификации этим агентством чего бы то ни было сводится к нулю. Действительно, раз «некие» коммерческие соображения преобладают над объективной оценкой продукта, то кто может гарантировать, что в первый раз сертификат был выдан благодаря высокому качеству продукта, а не по тем же «неким» соображениям?

Отсюда следует третья практическая рекомендация: относиться сугубо осторожно к любым сертификатам и отдавать предпочтение тем продуктам, надежность которых подтверждена успешным использованием в мировой финансовой практике. Безопасность в сети Internet

www.ronl.ru

Смотрите также

..:::Новинки:::..

Windows Commander 5.11 Свежая версия.

Новая версия
IrfanView 3.75 (рус)

Обновление текстового редактора TextEd, уже 1.75a

System mechanic 3.7f
Новая версия

Обновление плагинов для WC, смотрим :-)

Весь Winamp
Посетите новый сайт.

WinRaR 3.00
Релиз уже здесь

PowerDesk 4.0 free
Просто - напросто сильный upgrade проводника.

..:::Счетчики:::..