Скачиваний:
152
Добавлен:
09.04.2015
Размер:
91.51 Кб
Скачать

Введение

Развитие современных информационных технологий сопровождается ростом числа компьютерных преступлений и связанных с ними хищений информации, а также материальных потерь. По результатам одного исследования около 58% опрошенных пострадали от компьютерных взломов за последний год. Примерно 18% опрошенных из этого числа заявляют, что потеряли более миллиона долларов в ходе нападений, более 66% потерпели убытки в размере 50 тыс. долларов. Свыше 22% атак были нацелены на промышленные секреты или документы, представляющие интерес прежде всего для конкурентов.

Федеральным законом "Об информации, информатизации и защите информации" определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно

впределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.

Закон также устанавливает, что "конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается

всоответствии с законодательством Российской Федерации". При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон "Об информации, информатизации и защите информации" напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон "О банках и банковской деятельности в РФ" ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков (статья 25).

Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139):

соответствующая информация неизвестна третьим лицам;

к ней нет свободного доступа на законном основании;

меры по обеспечению ее конфиденциальности принимает собственник информации.

Внастоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Исходить можно только из принципа экономической выгоды и безопасности предприятия - чрезмерная "засекреченность" приводит к необоснованному удорожанию необходимых мер по защите информации и не способствует развитию бизнеса. Тогда как широкая открытость может привести к

большим финансовым потерям или разглашению тайны. Законом "О коммерческой тайне" права по отнесению информации к категории коммерческой тайны представлены руководителю юридического лица.

Федеральный закон "Об информации, информатизации и защите информации", определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:

предотвращение утечки, хищения, искажения, подделки информации;

предотвращение несанкционированного уничтожения и блокирования информации;

сохранение государственной тайны, конфиденциальности документи-

рованной информации.

Стандарты и рекомендации, рассмотренные выше, образуют базис понятий, на котором строятся все работы по обеспечению информационной безопасности. В то же время эти документы ориентированы в первую очередь на производителей и "оценщиков" систем и в гораздо меньшей степени - на пользователей.

Стандарты и рекомендации статичны, причем статичны, по крайней мере, в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми.

Таким образом, стандарты и рекомендации не дают ответов на два главных, с практической точки зрения, вопроса:

1.Как приобретать (комплектовать) информационную систему масштаба предприятия, чтобы ее можно было сделать безопасной?

2.Как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося окружения и структуры самой

системы?

Иными словами, стандарты и рекомендации являются лишь отправной точкой на длинном и сложном пути защиты информационных систем организаций.

Для поддержания режима информационной безопасности особенно важны аппаратно-программные меры, поскольку основная угроза компьютерным системам исходит от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т.п.).

Аппаратно-программные способы защиты - это и есть основная тема данного курса. А весь курс будет состоять из пяти крупных разделов:

1.Информационная безопасность компьютерных систем

2.Криптосистемы

3.Идентификация и аутентификация

4.Электронная цифровая подпись

2

5.Защита от удаленных атак через Internet

Взавершении вступительной части не могу не сказать:

Не существует абсолютной защиты. Всякая защита измеряется вре-

менем взлома. Это следует помнить всегда!

3