Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Киевский национальный университет культуры и искусств
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
лекції ПЗ.doc
Скачиваний:
3
Добавлен:
13.11.2019
Размер:
508.42 Кб
Скачать
►Содержание►

  1. Основні заходи і засоби захисту комп’ютерної інформації

Важливим попередженням злочинів, вчинених в сфері використання комп’ютерних технологій, є застосування сучасних програмно-технічних заходів захисту інформації. Ці заходи можуть грати серйозну загально профілактичну роль в боротьбі з комп’ютерними злочинами при їх умілому та комплексному використанні.

Розглянемо окремі організаційно-технічні заходи попередження комп’ютерних злочинів, що застосовуються в розвинених зарубіжних країнах.

У даний час попередження комп’ютерних злочинів у цих країнах здійснюється за наступними напрямками:

    1. відповідність управлінських процедур вимогам комп’ютерної безпеки;

    2. розробка питань технічного захисту комп’ютерних залів комп’ютерного обладнання;

    3. розробка стандартів опрацювання даних та стандартів комп’ютерної безпеки;

    4. здійснення кадрової політики з метою забезпечення комп’ютерної безпеки.

Національним бюро стандартів США були розроблені базові вимоги безпеки, що ставляться до комп’ютерних мереж. А саме:

  1. придатність – гарантія того, що мережа придатна для забезпечення санкціонованого доступу;

  2. доступність – гарантія того, що мережа забезпечить доступ тільки санкціонованому користувачу для вирішення санкціонованих задач;

  3. недоторканість – захист даних від несанкціонованої зміни та знищення;

  4. конфіденційність – захист даних від несанкціонованого розкриття;

  5. безпека передачі даних – гарантія того, що ідентифікація користувачів, якість даних, що передаються, тривалість передачі даних забезпечені.

На основі даних вимог були створені відповідні механізми технічного контролю, що відповідають наступним критеріям:

    1. цілісність, базова надійність, яка гарантує, що механізм працює як потрібно;

    2. можливість перевірки – здатність записувати інформацію, яка може мати значення в розкриті і розслідуванні спроб посягання на засоби комп’ютерної техніки та інших подій, що відносяться до питань безпеки систем.

У результаті практичної реалізації цих заходів стало можливо:

  • контролювати фізичний доступ до засобів комп’ютерної техніки (ЗКТ);

  • контролювати електромагнітне випромінювання апаратних ЗКТ;

  • спостерігати за можливою загрозою ЗКТ та фіксувати кожну таку спробу (методом моніторингу).

Як видно з вищенаведеного, основні положення захисту інформації передбачають:

  1. запобігання витоку, розкраданню, втраті, спотворенню та підробці інформації;

  2. запобігання загрозам безпеки держави та кожної людини;

  3. запобіганням несанкціонованим діям зі знищення, модифікації, спотворення, копіювання, блокування інформації;

  4. забезпечення правового режиму функціонування інформації як об’єкта власності;

  5. збереження державної таємниці конфіденційності;

  6. збереження прав суб’єктів в інформаційних процесах і при розробці, виробництві, застосуванні інформаційних систем, технологій та засобів їх забезпечення.

За методами застосування тих або інших організаційно-технічних заходів попередження комп’ютерних злочинів фахівцями окремо виділяються три їх основні групи:

      • організаційні;

      • технічні;

      • комплексні (які поєднуються в собі окремі методи двох перших груп);

Організаційні заходи захисту ЗКТ включають в себе сукупність організаційних заходів щодо підбору, перевірки та навчання персоналу, який бере участь на всіх стадіях інформаційного процесу:

      • розробка плану відновлення інформаційних об’єктів після виходу їх з ладу; організації програмно-технічного обслуговування ЗКТ;

      • покладання дисциплінарної відповідальності на осіб з забезпечення безпеки конкретних ЗКТ;

      • здійснення режиму секретності при функціонуванні комп’ютерних систем; забезпеченню режиму фізичної охорони об’єктів;

      • матеріально-технічне забезпечення [7:45-56].

Організаційні заходи, на думку багатьох фахівців, які займаються питаннями безпеки комп’ютерних систем, є важливим і одним з ефективних засобів захисту інформації.

Аналіз матеріалів кримінальних справ дозволяє зробити висновок, про те, що основними причинами та умовами, які сприяють здійсненню комп’ютерних злочинів, в більшості випадків стають:

  1. неконтрольований доступ співробітників до управління комп’ютером, що використовується як автономно, так і для дистанційної передачі даних;

  2. безконтрольність за діями обслуговуючого персоналу, що дозволяє злочинцю вільно використовувати комп’ютер як знаряддя вчинення злочину;

  3. низький рівень програмного забезпечення, яке не має контрольного захисту, та не забезпечує перевірку відповідності і правильності інформації;

  4. недосконалість парольної системи захисту;

  5. відсутність посадової особи, що відповідає за режим секретності і конфіденційність інформації та її безпеку в частині захисту;

  6. відсутність категоричності допуску співробітників до таємної інформації;

  7. відсутність договорів зі співробітниками на предмет нерозголошення службової та комерційної таємниці.

Інформаційні системи, які застосовуються в більшості організацій, звичайно дозволяють використання таких заходів безпеки, як паролі, недоступність програмних та інформаційних файлів, а також інші заходи, які майже не практикуються або використовуються в обмеженому масштабі. Для ефективності безпеки від комп’ютерних злочинів необхідно:

  1. переглянути всю документацію в установі, організації;

  2. ознайомитися з функціями і мірою відповідальності кожного співробітника;

  3. визначити можливі канали витоку інформації;

  4. ліквідувати виявлені слабкі ланцюги у системі захисту.

Для будь-якої організації практично існують два варіанти доступу до засобів комп’ютерної техніки, які і будуть надалі зумовлювати комплекс захисних заходів.

У першому варіанті організація купує власний комп’ютер, який і використовує для вирішення своїх задач, при цьому організація є його єдиним користувачем. У цьому випадку всі питання комп’ютерної безпеки більш-менш контролюються.

У другому випадку організація стає (нарівні з іншими) користувачами будь-якої розгалуженої колективної комп’ютерної мережі. Це може бути зроблене за допомогою розподілу користувачів за часом, мережною системою в межах організації або шляхом створення спільної мережі користування з іншими громадськими, державними або комерційними організаціями, в результаті чого відбувається об’єднання їх інформаційних ресурсів, отже у багато разів зростає і ризик стати потерпілою стороною від комп’ютерного злочину через практично доступну мережу.

Зарубіжний досвід свідчить, що найбільш ефективним заходом в цьому напрямі є введення в штатний розклад організацій посади фахівця з комп’ютерної безпеки (адміністратора з захисту інформації) або створення спеціальних служб як приватних, так і централізованих, виходячи з конкретної ситуації. Наявність такого відділу, наприклад, в банківській структурі знижує ймовірність вчинення злочинів у сфері використання комп’ютерних технологій. У обов’язковому порядку цей захід необхідно здійснювати в кредитно-фінансових установах та організаціях.

У функціональні обов’язки зазначених осіб передусім повинні входити наступні позиції здійснення організаційних заходів забезпечення безпеки ЗКТ:

  1. забезпечення підтримки з боку керівництва конкретної організації вимог захисту ЗКТ;

  2. розробка комплексного плану захисту інформації;

  3. визначення пріоритетних напрямів захисту інформації у відповідності зі специфікою діяльності організації;

  4. складання загального кошторису витрат фінансування охоронних заходів відповідно до розробленого плану та затвердження його як додатку до плану керівництвом організації;

  5. визначення відповідальності співробітників організації за безпеку інформації в межах встановленої компенсації шляхом висновку відповідних договорів між співробітником та організацією;

  6. Розробка, впровадження і контроль за виконанням різного виду інструкцій, правил, наказів, які регламентують форми допуску, рівні секретності інформації, конкретних осіб, допущених до роботи з конфіденційними даними тощо;

  7. розробка ефективних заходів боротьби з порушниками захисту ЗКТ.

При цьому, як показує практика, найбільш надійним засобом підвищення ефективності заходів безпеки ЗКТ є навчання та інструктаж працюючого персоналу з організаційно-технічними заходами захисту, які застосовуються в конкретній організації.

Крім цього, в обов’язковому порядку повинні бути реалізовані наступні організаційні заходи:

  1. для всіх осіб, що мають право доступу до ЗКТ, повинні бути визначені критерії допуску, тобто необхідно визначити галузь службових інтересів кожної особи, види інформації, до яких вона має доступ, а також вигляд дозволу цього доступу, правомірність особи, яка призначається на здійснення тих або інших маніпуляцій з засобами комп’ютерної техніки, виходячи з прямих функціональних обов’язків особи;

  2. Визначена адміністративна відповідальність для осіб за збереження і санкціонування доступу до інформаційних ресурсів. При цьому за кожний їх вид відповідальність повинна нести одна конкретна особа;

  3. Налагоджений періодичний системний контроль за якістю захисту інформації за допомогою проведення регламентних робіт як самою особою, так і з залученням компетентних фахівців з інших організацій;

  4. Проведена класифікація інформації відповідно до її важливості, диференціація на основі цього заходів захисту; визначений порядок її охорони та знищення;

  5. Організаційний фізичний захист ЗКТ.

Крім організаційно-управлінських заходів, істотну загально профілактичну роль у боротьбі з комп’ютерними злочинами можуть грати також заходи технічного характеру:

      • захист від несанкціонованого доступу (НСД), стихійного лиха і аварії, від розкривання ЗКТ, диверсій;

      • резервування особливо важливих ЗКТ; правильна організація комунікаційних мереж і ресурсів;

      • установка охоронно-пожежної сигналізації та інших рубежів охорони.

Програмні методи захисту призначаються для безпосереднього захисту інформації у трьох напрямках:

      • апаратури;

      • програмного забезпечення;

      • даних, а також для забезпечення належного контролю за правильністю здійснення процесів її введення, виведення, опрацювання, запису, стирання, читання та передач каналами зв’язку.

Для захисту інформації при її передачі звичайно використовують різні методи шифрування даних перед їх введенням в канал зв’язку або на фізичний носій з наступною розшифровкою. Як свідчить практика, методи шифрування дозволяють досить надійно захищати комп’ютерну інформацію від злочинних посягань.

Таким чином одним із методів захисту від потенційних комп’ютерних злочинців, що завойовує все більшу популярність останнім часом, є застосування криптографічного захисту, тобто кодування тексту за допомогою складних математичних алгоритмів. Звичайно, жоден з шифрувальних алгоритмів не дає цілковитої гарантії захисту від зловмисників, але деякі методи шифрування настільки складні, що ознайомитися зі змістом зашифрованих повідомлень практично неможливо.

Захистити інформацію від несанкціонованого доступу можна за допомогою апаратно-програмних, програмних, біометричних, технічних і адміністративних засобів.

До апаратно-програмних засобів належать:

  • Спеціальні криптографічні плати, що вбудовуються в комп’ютер, за допомогою яких інформацію можна зашифрувати, створити електронний підпис, а також аутентифікувати користувача (аутентифікація — процес ідентифікації користувачів, пристроїв або будь-якої іншої одиниці, що бере участь в інформаційному обміні, перед початком якого треба мати дозвіл на доступ до даних);

  • Smart Card — магнітна картка для зберігання секретного ключа, шифрування паролей;

  • Пристрої ActivCard для введення паролів, де пароль не вводиться, а розраховується (динамічний пароль), а також Smart Reader для зчитування паролів. В цих пристроях усередині вмонтовано мікропроцесор, у пам’яті якого зберігається секретний код. Пароль, що вводиться користувачем (чотири цифри), в комп’ютері перераховується, тобто створюється спеціальний код.

Програмні заходи включають:

  • Вбудовані у програми функції захисту даних. Наприклад, система Netware після трьох спроб користувача ввійти в мережу з неправильним паролем блокує ідентифікатор цього користувача, і тільки адміністратор мережі має змогу розблокувати доступ;

  • Спеціальні криптографічні розробки.

За принципом побудови існуючі засоби захисту інформації, в яких використовуються криптографічні методи захисту, можна поділити на два типи:

  • Засоби, в основі роботи яких лежать симетричні алгоритми для побудови ключової системи і системи аутентифікації;

  • Засоби, основу роботи яких складають асиметричні алгоритми, що застосовуються для тих самих цілей.

У засобах першого типу обов’язковою є наявність центру розподілу ключів, що відповідає за їх створення, поширення та вилучення. При цьому носії ключової інформації передаються абонентам із використанням фізично захищених каналів зв’язку. Ключі мають змінюватися досить часто, кількість абонентів має бути значною, тому ці засоби негнучкі та дорогі. Питання аутентифікації вирішується довірою користувачів один одному. Центр розподілу ключів контролює всю інформацію. Захист інформації дуже низький.

У засобах другого типу ключі для шифрування автоматично генеруються, поширюються і вилучаються для кожного сеансу зв’язку. Функції служби поширення ключів виконує сертифікаційний центр, де користувач реєструється, встановлюється його аутентифікація, після чого ключі вилучаються. В таких засобах можливими є організація цифрового підпису та його перевірка. Протокол встановлення аутентичного зв’язку відповідає певному стандарту.

Аутентифікація є простою та суворою. При простій аутентифікації відбувається обмін паролями між абонентами, які встановили зв’язок, з подальшою перевіркою відповідності цих паролей еталонним. При суворій аутентифікації кожен абонент має два криптографічних ключі — секретний, відомий тільки даному абоненту, та відкритий — той, що передається в банк. Використовуючи секретний ключ і спеціальний алгоритм, абонент формує цифровий підпис — послідовність бітів, яка однозначно відповідає документу, що підписується. Перевірка відповідності підпису виконується за допомогою відкритого ключа.

До біометричних засобів належать:

  • Візерунки сітківки ока;

  • Відбитки пальців;

  • Геометрія руки;

  • Динаміка підпису.

Адміністративні заходи включають:

  • Систему електронних перепусток для персоналу і відвідувачів;

  • Системи відеоспостереження та відеореєстрації, що дають змогу вести цілодобовий візуальний нагляд як за периметром об’єкта, так і всередині з можливістю запису інформації на відеомагнітофон або комп’ютер;

  • Розподіл доступу до інформації. Тут необхідним є чітке визначення осіб, які мають право на ту чи іншу інформацію. Наприклад, програмісти не повинні мати доступу до БД, а користувачі — до програмного забезпечення;

  • Систематичний аналіз мережного протоколу роботи, блокування спроб введення паролів кілька разів;

  • Ретельний підбір співробітників, навчання, стажування, тренування. Кандидат повинен мати задовільні свідоцтва, атестати та характеристики з попередніх робочих місць, не мати нахилу до зловживання наркотиками та алкоголем, не мати вагомих заборгованостей, не виявляти недоброзичливості до наймачів.

Основними способами резервування інформації є:

  • Її зберігання в захищених місцях (спеціальних приміщеннях, сейфах тощо);

  • Зберігання інформації в територіально розподілених місцях.

Технічні заходи можна поділити на такі групи:

  • Заходи захисту від підслуховування, що включають:

      • Встановлення фільтрів на лініях зв’язку;

      • Обстеження приміщень з метою виявлення підслуховуючих пристроїв;

      • Використання звукопоглинаючих стін, стелі, підлоги;

      • Застосування систем віброакустичного й акустичного зашумлення для захисту мовної інформації від прослуховування за допомогою акустичних мікрофонів, стетоскопів, лазерних та інфрачервоних систем відбору інформації;

  • Заходи захисту від електромагнітного випромінювання, куди входять:

      • Використання оптико-волоконного кабелю;

      • Застосування захисної плівки на вікнах;

      • Використання захищених дисплеїв.

  • Заходи захисту від поновлення вилучених даних.

Технічні заходи.

Один із технічних заходів захисту інформації — використання безперебійних джерел живлення (UPS), які дають змогу коректно закінчити роботу і вийти з програми в разі перебою електропостачання. Ці пристрої залежно від складності задачі та потужності встановленого комп’ютерного обладнання можуть підтримувати роботу системи від 20 хвилин до кількох годин. Більш надійна робота забезпечується при підключенні до запасної енергопідстанції. На підприємствах, що мають неперервний робочий цикл опрацювання інформації (наприклад, головні банки), слід використовувати власні енергогенератори.

Адміністративні заходи.

Керівники інформаційних відділів повинні:

  • Чітко визначити функції всіх учасників інформаційного процесу;

  • Досліджувати й аналізувати ризики безпеки інформації;

  • Створити інструкції щодо дій персоналу в разі виникнення загроз безпеці інформації;

  • Мінімізувати ризик для тих, хто працює з важливою інформацією, та їх родин із метою запобігання їх викраденню та вимаганню інформації;

  • Визначити стратегію резервування, створити окрему інструкцію з резервування (наприклад, “Цю інформацію копіювати кожен день о 12 годин”). При цьому слід враховувати фізичне руйнування магнітних носіїв з часом. Копій має бути як мінімум дві, одна з яких зберігається у вогнетривкому сейфі біля комп’ютера, інша — якнайдалі від офісу (на випадок вибуху, пожежі, землетрусу).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности