18.Структура бухгалтерии на базе арм
19. Обеспечение сохранности данных
В широком смысле информационная безопасность — это свойство процесса информатизации общества, которое характеризует состояние защищенности личности, общества и государства от возможных негативных последствий информатизации.
В узком смысле под безопасностью автоматизированной информационной системы следует понимать ее защищенность от случайного и преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток разрушения или модификации ее компонент.
Очевидно, что абсолютно безопасных систем не существует. Любую систему можно «взломать», если располагать достаточно большими материальными и временными ресурсами. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе, т. е. степень ее надежности для пользователя.
Важным компонентом надежности системы является политика безопасности информации на предприятии. Она включает правила и нормы поведения при обработке, защите и распространении информации.
Дополнением политики безопасности является механизм подотчетности, который позволяет определять, кто работает в системе и что делает в каждый момент времени. Средства подотчетности делятся на три категории: идентификация и аутентификация, предоставление надежного пути, анализ регистрационной информации.
Идентификация и аутентификация. Каждый пользователь, прежде чем получить право совершать какие-либо действия в системе, должен идентифицировать себя. Обычный способ идентификации — ввод имени пользователя при входе в систему. Стандартное средство проверки подлинности (аутентификации) — пароль, хотя могут использоваться также разного рода личные карточки, биометрические устройства или их комбинация
Предоставление надежного пути. Надежный путь связывает пользователя непосредственно с надежной вычислительной базой, минуя другие, потенциально опасные компоненты системы.
Анализ регистрационной информации. Он предусматривает наличие средств выборочного протоколирования как в отношении пользователей (слежение осуществляется только за подозрительными личностями), так и в отношении событий (вход-выход, обращение к удаленной системе, операции с файлами, смена привилегий и др.)
Дополнительные трудности для обеспечения информационной безопасности возникают, если предприятие (организация) в своей работе используют компьютерные сети.
Безопасность автоматизированной информационной системы обеспечивается комплексом таких мер, как технологические и административные.
В частности, автоматизированные системы хранения, обработки и передачи информации характеризуют следующие компоненты ее безопасности:
1) Компьютерная безопасность — это совокупность технологических и административных мер, которая обеспечивает доступность, целостность и конфиденциальность ресурсам, связанным с данным компьютером.
2) Безопасность данных — это защита данных от несанкционированной модификации, разрушения или раскрытия их.
3) Безопасность коммуникаций — это меры по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на запрос по каналам связи.
4) Безопасность программного обеспечения — это программное обеспечение, которое осуществляет безопасную обработку данных в компьютерной системе, а также дает возможность безопасно использовать ресурсы системы.
Наиболее распространенным средством защиты учетно-аналитической информации в компьютерной системе является разграничение прав доступа пользователя к различным объектам и режимам программы.
Существуют различные виды угроз на объекты информационной безопасности: информационные, программно-математические, физические, радиоэлектронные и организационно-правовые
Сложились два основных подхода к проблеме обеспечения информационной безопасности — редукционистский (фрагментарный) и системный (комплексный).
Редукционистский подход ориентирован на избирательность относительно конкретной угрозы. Его отличительная черта — отсутствие единой защищенной среды обработки информации.
Системный подход к защите информации в сложных автоматизированных системах охватывает все уровни обработки и передачи информации.
Методы защиты информации:
Препятствие — метод физического преграждения пути злоумышленнику к информации, которая защищена от посторонних лиц.
Управление доступом — метод защиты информации, с помощью которого для защиты используются все ресурсы самой системы (программные и технические средства).
Маскировка — метод защиты информации в каналах телеком-муникаций путем криптографического закрытия.
Регламентация — метод, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводятся к минимуму.
Принуждение — метод, при котором пользователи и персонал вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — метод, с помощью которого пользователь и персонал системы не нарушают установленных правил за счет соблюдения сложившихся моральных и этических норм.
Средства защиты:
Формальные:
♦ физические (автономные устройства, замки, решетки и т. д.);
♦ аппаратные (электрические, электромеханические и элек¬тронные устройства, в частности схемы контроля информации по четности, защиты полей памяти по ключу и др.);
♦ программные (программное обеспечение, предназначенное для выполнения функции защиты информации).
Неформальные:
♦ организационные средства защиты информации (организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации);
♦ законодательные средства защиты информации (определяются законодательными актами той страны, где они функционируют, регламентируют правила использования, обработки и передачи информации ограниченного доступа и устанавливают меры ответственности за нарушение этих правил);
♦ морально-этические средства защиты нормы (традиционно сложившиеся по мере внедрения вычислительной техники и средств связи).