Защита компьютерной информации

  Министерство внутренних дел Российской Федерации

Федеральное государственное  казенное образовательное учреждение

высшего профессионального  образования

«Уральский юридический  институт МВД России»

Факультет заочного обучения

620042 г. Екатеринбург, ул. Калинина, 64

 

Кафедра Информационного обеспечения ОВД

 

Слушатель:  Петухов Алексей Александрович

Комплектующий орган ГУ МВД России по Свердловской области

 

 

Вид обучения: заочное срок обучения:  3 года 6 мес. Курс: 1 набор:  2013 года

№ группы 1113        № зачетной книжки  2860

 

Контрольная работа

Вариант № 10

Тема: Защита компьютерной информации

 

 

 

 

Дата сдачи работы в  секретариат ________________________________________

Дата получения работы секретариатом ___________________________________

Дата получения работы кафедрой _______________________________________

Дата окончания проверки работы преподавателем _________________________

Подпись преподавателя (Ф.И.О.) ________________________________________

 

 

Содержание

Введение ………………………………………………………………………3

1. Методы защиты информации в компьютерных системах …………… ..5
2. Аппаратные и программные средства защиты информации ………….10
3. Основные нормативные акты в сфере информационной безопасности………………………………………………………………....13

Заключение………………………………………...…………………………16

Список использованной литературы ………………………………………17

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

   Проблема обеспечения информационной безопасности актуальна с тех пор, как люди стали обмениваться информацией, накапливать ее и хранить. Во все времена возникала необходимость надежного сохранения наиболее важных достижений человечества с целью передачи их потомкам. Аналогично возникала необходимость обмена конфиденциальной информацией и надежной ее защиты.

В современном обществе проблема информационной безопасности особенно актуальна, поскольку информация стала  частью жизни современного общества. Развитие современного общества во многом определяется теми информационными  процессами, которые в нем протекают.

Быстро развивающиеся  информационные технологии вносят заметные изменения в жизнь общества. Информация стала товаром, который можно  приобрести, продать, обменять. При  этом стоимость информации часто  во много раз превосходит стоимость  аппаратных средств, в которых она  хранится. От степени безопасности информационных технологий зависит  благополучие, а порой и жизнь  многих людей.

С повышением значимости и  ценности информации соответственно растет и важность ее защиты. С одной  стороны, информация стала товаром, и ее утрата или несвоевременное  раскрытие наносит материальный ущерб. С другой стороны, информация - это сигналы управления процессами в обществе, в технике, а несанкционированное  вмешательство в процессы управления может привести к катастрофическим последствиям.

Цель данной работы – раскрыть понятие защиты компьютерной информации.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Изучить методы защиты информации в компьютерных системах.
2. Рассмотреть основные аппаратные и программные средства защиты информации.
3. Ознакомиться с основными нормативными актами в сфере информационной безопасности.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Методы защиты информации в компьютерных системах.

 

В вычислительной технике понятие  безопасности является весьма широким. Оно подразумевает и надёжность работы компьютера, и сохранность  ценных данных, и защиту информации от внесения в неё изменений неуполномоченными  лицами, и сохранение тайны переписки  в электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят  законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием  компьютерных систем, во многом опирается  на меры самозащиты.

Всегда существует проблема выбора между необходимым уровнем защиты и эффективностью работы в сети. В некоторых случаях пользователями или потребителями меры по обеспечению  безопасности могут быть расценены  как меры по ограничению доступа  и эффективности. Однако такие средства, как, например, криптография, позволяют  значительно усилить степень  защиты, не ограничивая доступ пользователей  к данным.

Защита информации в компьютерных системах обладает рядом специфических  особенностей, связанных с тем, что  информация не является жёстко связанной  с носителем, может легко и  быстро копироваться и передаваться по каналам связи. Известно очень  большое число угроз информации, которые могут быть реализованы  как со стороны внешних , так и  внутренних нарушителей.

Проблемы, возникающие с безопасностью  передачи информации при работе в  компьютерных сетях, можно разделить  на три основных типа:

1. перехват информации – целостность информации сохраняется, но её конфиденциальность нарушена;
2. модификация информации – исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;
3. подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web – сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.

Исследования практики функционирования систем обработки данных и вычислительных систем показали, что существует достаточно много возможных направлений  утечки информации и путей несанкционированного доступа в системах и сетях. В  их числе:

1. чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
2. копирование носителей информации и файлов информации с преодолением мер защиты;
3. маскировка под зарегистрированного пользователя;
4. маскировка под запрос системы;
5. использование программных ловушек;
6. использование недостатков операционной системы;
7. незаконное подключение к аппаратуре и линиям связи;
8. злоумышленный вывод из строя механизмов защиты;
9. внедрение и использование компьютерных вирусов.

Обеспечение безопасности информации в ВС и в автономно работающих ПЭВМ достигается комплексом организационных, организационно-технических, технических  и программных мер.

К организационным мерам защиты информации относятся:

- ограничение доступа в помещения, в которых происходит подготовка и обработка информации;

- допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;

- хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;

- исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т. д.;

- использование криптографических кодов при передаче по каналам связи ценной информации;

- уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.

Для надёжной защиты информации и  выявления случаев неправомочных  действий проводится регистрация работы системы: создаются специальные  дневники и протоколы, в которых  фиксируются все действия, имеющие  отношение к защите информации в  системе. Фиксируются время поступления  заявки, её тип, имя пользователя и  терминала, с которого инициализируется заявка. При отборе событий, подлежащих регистрации, необходимо иметь в  виду, что с ростом количества регистрируемых событий затрудняется просмотр дневника и обнаружение попыток преодоления  защиты. В этом случае можно применять  программный анализ и фиксировать  сомнительные события. Используются также  специальные программы для тестирования системы защиты. Периодически или  в случайно выбранные моменты  времени они проверяют работоспособность  аппаратных и программных средств  защиты.

Один из распространённых способов защиты – явное указание секретности  выводимой информации. В системах, поддерживающих несколько уровней  секретности, вывод на экран терминала  или печатающего устройства любой  единицы информации (например, файла, записи и таблицы) сопровождается специальным  грифом с указанием уровня секретности. Это требование реализуется с  помощью соответствующих программных  средств.

В отдельную группу выделены средства защиты от несанкционированного использования  программного обеспечения. Они приобретают  особое значение вследствие широкого распространения ПК.

“Криптография” в переводе с  греческого языка означает “тайнопись”, что вполне отражает её первоначальное предназначение. Примитивные (с позиций  сегодняшнего дня) криптографические  методы известны с древнейших времён и очень длительное время они рассматривались скорее как некоторое ухищрение, чем строгая научная дисциплина. Классической задачей криптографии является обратимое преобразование некоторого понятного исходного текста (открытого текста) в кажущуюся случайной последовательность некоторых знаков, называемую шифртекстом или криптограммой. При этом шифр-пакет может содержать как новые, так и имеющиеся в открытом сообщении знаки. Количество знаков в криптограмме и в исходном тексте в общем случае может различаться. Непременным требованием является то, что, используя некоторые логические замены символов в шифртексте, можно однозначно и в полном объёме восстановить исходный текст. Надёжность сохранения информации в тайне определялось в далёкие времена тем, что в секрете держался сам метод преобразования.

Вслед за массовым применением современных  информационных технологий криптография вторгается в жизнь современного человека. На криптографических методах  основано применение электронных платежей, возможность передачи секретной  информации по открытым сетям связи, а также решение большого числа  других задач защиты информации в  компьютерных системах и информационных сетях. Потребности практики привели  к необходимости массового применения криптографических методов, а следовательно  к необходимости расширения открытых исследований и разработок в этой области. Владение основами криптографии становится важным для учёных и инженеров, специализирующихся в области разработки современных средств защиты информации, а также в областях эксплуатации и проектирования информационных и  телекоммуникационных систем.

В настоящее время предложен  ряд способов шифрования, защищённых патентами Российской Федерации  и основанных на идеях использования:

1. гибкого расписания выборки подключений;
2. генерирования алгоритма шифрования по секретному ключу;
3. подстановок, зависящих от преобразуемых данных.

Концентрация информации в компьютерных системах (аналогично концентрации наличных денег и других материальных ценностей  в банках) заставляет все более  усиливать контроль за ее сохранностью как в частных, так и в правительственных  организациях. Работы в этом направлении  привели к появлению новой  дисциплины: безопасность информации. Специалист в этой области отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности; в его функции входит обеспечение как физической (технические  средства, линии связи, удаленные  компьютеры), так и логической защиты информационных ресурсов (данные, прикладные программы, операционная система).

Обеспечение безопасности информации обходится дорого, и не столько  из-за затрат на закупку или установку  соответствующих средств, сколько  из-за того, что трудно точно определить границы разумно безопасности и  объем ресурсов, требуемых для  поддержания системы в работоспособном  состоянии. Так, если локальная сеть разрабатывалась в целях совместного  использования лицензионных программных  средств, дорогих принтеров или  больших файлов общедоступной информации, нет никакой необходимости даже в минимальных затратах на системы  шифрования/дешифрования данных.

Средства защиты информации нельзя проектировать, покупать или устанавливать  до тех пор, пока не произведен анализ имеющихся рисков и связанных  с ними потерь. При этом нужно  учитывать многие факторы (подверженность системы сбоям, вероятность появления  нарушений ее работы, ущерб от возможных  коммерческих потерь, снижение коэффициента готовности сети, отношения в коллективе, юридические проблемы) и собрать  разнообразную информацию для определения  подходящих типов и уровней безопасности. Коммерческие организации сейчас все  больше переносят критическую корпоративную  информацию с закрытых внутренних систем в открытую среду (в том числе  связанную с Интернетом) и встречаются  с новыми сложными проблемами при  реализации и эксплуатации систем безопасности. Растет популярность распределенных баз  данных.

2. Аппаратные и программные средства защиты информации.

Средства защиты информации - это  совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а  также иных вещных элементов, используемых для решения различных задач  по защите информации, в том числе  предупреждения утечки и обеспечения  безопасности защищаемой информации.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости  от способа реализации можно разделить  на группы:

Аппаратные (технические) средства. Это  различные по типу устройства (механические, электромеханические, электронные  и др.), которые аппаратными средствами решают задачи защиты информации. Они  либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, сторожа, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Программные средства включают программы  для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового  контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные  средства реализуют те же функции, что  аппаратные и программные средства в отдельности, и имеют промежуточные  свойства.

По степени распространения  и доступности выделяются программные  средства, другие средства применяются  в тех случаях, когда требуется  обеспечить дополнительный уровень  защиты информации.

К аппаратным средствам защиты относятся  различные электронные, электронно-механические, электронно-оптические устройства. К  настоящему времени разработано  значительное число аппаратных средств  различного назначения, однако наибольшее распространение получают следующие:

1. специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;
2. устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
3. схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных;
4. устройства для шифрования информации (криптографические методы).

Для защиты периметра информационной системы создаются:

• системы охранной и пожарной сигнализации;
• системы цифрового видео наблюдения;
• системы контроля и управления доступом.

Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:

1. использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;
2. установкой на линиях связи высокочастотных фильтров;
3. построение экранированных помещений («капсул»);
4. использование экранированного оборудования;
5. установка активных систем зашумления;
6. создание контролируемых зон.

Программные средства - это объективные  формы представления совокупности данных и команд, предназначенных  для функционирования компьютеров  и компьютерных устройств с целью  получения определенного результата, а также подготовленные и зафиксированные  на физическом носителе материалы, полученные в ходе их разработок, и порождаемые  ими аудиовизуальные отображения

Программными называются средства защиты данных, функционирующие в  составе программного обеспечения. Среди них можно выделить и  подробнее рассмотреть следующие:

1. средства архивации данных;
2. антивирусные программы;
3. криптографические средства;
4. средства идентификации и аутентификации пользователей;
5. средства управления доступом;
6. протоколирование и аудит.

Как примеры комбинаций вышеперечисленных  мер можно привести:

• защиту баз данных;
• защиту операционных систем;
• защиту информации при работе в компьютерных сетях.

 

 

 

 

 

 

 

 

 

3. Основные нормативные акты в сфере информационной безопасности.

 

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

Безопасность информации (данных) определяется отсутствием недопустимого  риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями  на данные и (или) на другие ресурсы  автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) – состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы – состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

Информационная безопасность –  защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура – системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб – ущерб, которым нельзя пренебречь.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

1. Акты федерального законодательства (Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации).
2. Международные договоры  РФ.
3. Конституция РФ.
4. Законы федерального уровня (включая федеральные конституционные законы, кодексы).
5. Указы Президента РФ.
6. Постановления правительства РФ.
7. Нормативные правовые акты федеральных министерств и ведомств.
8. Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести:

1. методические документы государственных органов России:
2. Доктрина информационной безопасности РФ (утв. указом Президента РФ от 9 сентября 2000 г.)
3. руководящие документы ФСТЭК (Гостехкомиссии России);
4. приказы ФСБ;
5. стандарты информационной безопасности, из которых выделяют:

- международные стандарты;

- государственные (национальные) стандарты РФ;

- рекомендации по стандартизации;

- методические указания.

Основными законами России  в области компьютерного права являются:

Закон «О правовой охране программ для  электронных вычислительных машин  и баз данных» (от 23.09.92 № 3523-1 с  послед, изм. и доп.) продолжает создание механизмов правовой охраны компонентов  новых информационных технологий. Впервые  предметом правового регулирования  стали программы для ЭВМ и  базы данных. Последние определены в ст.1 как «объективная форма  представления и организации  совокупности данных (например, статей, расчетов), систематизированных таким  образом, чтобы эти данные могли  быть найдены и обработаны с помощью  ЭВМ».

Закон «Об авторском праве и  смежных правах» (от 09.07.93 № 5351-1 с  послед, изм. и доп.).   Данный закон  наряду с законом «О правовой охране программ г для электронных вычислительных машин и баз данных» составляет законодательство Российской Федерации  об авторском праве  и смежных  правах, применяемое к программам для ЭВМ и базам   данных.

Закон «О государственной тайне» (от 21.07.93 № 5485-1 с послед, изм. и доп.). Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в  интересах обеспечения безопасности Российской Федерации. При этом в  качестве носителей сведений, составляющих государственную тайну, рассматриваются  «материальные объекты, в том  числе физические поля, в которых  сведения, составляющие государственную  тайну, находят свое отображение  в виде символов, образов, сигналов, технических решений и процессов» (ст. 2). В соответствии с этим определением закон применяется и к сведениям, составляющим государственную тайну  и хранимым в памяти ЭВМ.

Федеральный закон «О связи» (от 16.02.95 № 15-ФЗ с послед, изм. и доп.).  Средства связи вместе со средствами вычислительной техники составляют техническую  базу обеспечения процесса сбора, обработки, накопления и распространения информации (ст. 1). Сети  электросвязи представляют собой технологические системы, обеспечивающие один или несколько  видов передач: телефонную, телеграфную, факсимильную передачу данных и других видов документальных сообщений, включая  обмен информацией между ЭВМ, телевизионное, звуковое и иные виды радио- и проводного вещания (ст. 2).

Федеральный закон «Об информации, информатизации и защите информации» (от 20.02.95 № 24-ФЗ).   Данный закон, называемый авторами «базовым», положил  начало формированию новой отрасли законодательства. Поэтому принципиальные решения, закрепленные в законе, требуют пристального рассмотрения.

 

Заключение.

Защита информации является ключевой задачей в современных условиях взаимодействия глобальных и корпоративных  компьютерных сетей. В реальном мире много внимания уделяется физической безопасности, а в мире электронного обмена информацией необходимо заботиться также о средствах защиты данных.

Усложнение методов и средств  организации машинной обработки, повсеместное использование глобальной сети Интернет приводит к тому, что информация становится все оболе уязвимой. Этому  способствуют такие факторы, как  постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, имеющих  доступ к ресурсам, программам и  данным, недостаточный уровень защиты аппаратных и программных средств  компьютеров и коммуникационных систем и т.п.

Учитывая эти факты, защита информации в процессе ее сбора, хранения, обработки  и передачи приобретает исключительно  важное значение.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список использованной литературы

1. Борисов М. А., Заводцев И. В., Чижов И. В. Основы программно-аппаратной защиты информации. М.: Книжный дом «ЛИБРОКОМ», 2012. — 376 с.
2. Борисов М. А., Романов О. А. Основы организационно-правовой защитыинформации. М.: Книжный дом «ЛИБРОКОМ», 2012. — 208 с.
3. Гаврилов М. В. Информатика и информационные технологии: Учебник / М. В. Гаврилов, В. А. Климов. - 2-е изд., испр. и доп. - М.: Юрайт, 2011. – 350 c.
4. Информатика: Базовый курс / С.В. Симонович и др. – СПб.: Питер, 2002. – 640с.:ил.
5. Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. – СПб.: Издательство “Лань”, 2001. – 224с.,ил. – (Учебники для вузов. Специальная литература).
6. Основы информационных технологий: Учеб. пособие /В. Д. Курушин [и др.] ; ред. В. Ф. Макаров. - М.: ДМК Пресс, 2009. – 272 c.
7. Острейковский В.А. Информатика: Учеб. пособие для студ. сред. проф. учеб. заведений. – М.: Высш. шк., 2001. – 319с.:ил.
8. Романова Ю. Д. Информатика и информационные технологии: Конспект лекций / Ю. Д. Романова, И. Г. Лесничая. - 2-е изд., перераб. и доп. - М.: Эксмо, 2009. – 320 c.
9. Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с.
10. Экономическая информатика / под ред. П.В. Конюховского и Д.Н. Колесова. – СПб.: Питер, 2000. – 560с.:ил.