Методы и средства защиты информации

Аппаратные средства и  методы защиты распространены достаточно широко. Однако из-за того, что они  не обладают достаточной гибкостью, часто теряют свои защитные свойства при раскрытии их принципов действия и в дальнейшем не могут быть используемы.

Программные средства и методы защиты надежны и период их гарантированного использования без перепрограммирования значительно больше, чем аппаратных.

Криптографические методы занимают важное место и выступают надежным средством обеспечения защиты информации на длительные периоды.

Такое деление средств  защиты информации достаточно условно, так как на практике очень часто  они взаимодействуют и реализуются  в комплексе в виде программно — аппаратных модулей с широким использованием алгоритмов закрытия информации.

5.2. Средства защиты информации

Средства защиты информации для коммерческих структур более  многообразны, среди них:

1. Политика антивирусной безопасности (Приложение 2);
2. Резервного копирования и архивирования (Приложение 3);

 

6. Идентификация и аутентификация пользователей: описываются методы проверки доступа, требования к использованию этих методов.

Основой любых систем защиты информационных систем являются идентификация  и аутентификация, так как все  механизмы защиты информации рассчитаны на работу с поименованными субъектами и объектами АС.

Присвоение субъектам  и объектам доступа личного идентификатора и сравнение его с заданным перечнем называется идентификацией.

Идентификация обеспечивает выполнение следующих функций:

• установление подлинности и определение полномочий субъекта при его допуске в систему,
• контролирование установленных полномочий в процессе сеанса работы;
• регистрация действий

Аутентификацией (установлением  подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение  его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект  тем, за кого он себя выдает.

Идентификация и аутентификация пользователей в системе при  помощи ключевого съёмного носителя и соответственно пароля на каждую учетную запись. Связь системы  “Банк – клиент” должна осуществляться по специально выделенному каналу связи с строго указанным портом для связи.

Идентификация и аутентификация пользователей информационной системы торговой фирмы  производится по имени пользователя и паролю соответственно.

Инструкция по организации парольной защиты приведена в Приложении 4

 

Приложение 1

 

1. Конфиденциальная информация

 

Положение о конфиденциальности информации в организациях разрабатывается в соответствии с Гражданским кодексом Российской Федерации, федеральными законами «О коммерческой тайне», «Об аудиторской деятельности», Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», Кодексом этики аудиторов России и другими правовыми актами Российской Федерации.

Перечень конфиденциальной информации

Сведения о текущей  деятельности организации:

• сведения об условиях договоров, заключенных с Контрагентами Общества;
• сведения по финансовой отчетности организации;
• содержание и результаты переговоров с Контрагентами организации или сторонними организациями;
• инструкции и положения, регламентирующие деятельность внутри организации;
• используемые общесистемные программные прикладные средства фирмы.

Список защищаемых данных:

• 1С Бухгалтерия;
• система складского учёта “1С Склад”;
• система “банк-клиент;
• персональные данные;
• - все данные имеющие прямое отношение к производству конечной продукции (Чертежи установок, химический состав материалов, затраты на производство);

 

Приложение 2

1. Политика антивирусной безопасности

Зависимость предприятий  от компьютерных и сетевых коммуникаций неуклонно возрастает. Этот факт в  значительной степени увеличивает  их уязвимость с точки зрения нарушения  информационной защиты. Последствия  вторжения вирусов различны:

• наносят материальный ущерб,
• снижают престиж предприятия,
• приводят к прекращению его работоспособности.

Кроме того, важно помнить, что многие виды информации сами по себе должны находиться под защитой  закона. Это могут быть персональные данные клиентов, которые не хотят, чтобы их личная информация выходила за пределы компании, финансовая информация, номера кредитных карт, банковских счетов и т.п.

Таким образом, антивирусное программно обеспечение должно быть установлено на всех персональных компьютерах  имеющих доступ к КС.  В КС должен присутствовать сервер администрирование антивирусного ПО, по средствам которого Антивирусные клиенты должны обновляться не реже, чем раз в  день. Еженедельно должна производиться полная проверка рабочих станций предприятия. Для внешних соединений необходимо использовать прокси-сервер, с настроенной политикой безопасности

 

 

 

Приложение 3

 

4.Средства резервного копирования и архивирования

Средства резервного копирования  и архивирования применяются  для обеспечения целостности  хранилищ данных в случаях аппаратных и программных сбоев, ошибочных  действий администраторов и пользователей, а также отказов средств вычислительной техники.

 

Приложение 4

 

1. Идентификация и аутентификация пользователей. Применение программно-аппаратных средств аутентификации (смарт-карты, токены).

 

Идентификация – присвоение пользователям идентификаторов (уникальных имен или меток), под которыми система "знает" пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов ИС и т.д. Идентификация нужна и для других системных задач, например, для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией.

Аутентификация – установление подлинности – проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в ИС пользователь вводит имя и пароль. На основании этих данных система проводит идентификацию (по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль).

Применяются для ограничения  доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таких  систем заключается в том, чтобы  получить от пользователя информацию, удостоверяющую его личность, проверить  ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.

При построении этих систем возникает проблема выбора информации, на основе которой осуществляются процедуры  идентификации и аутентификации пользователя. Можно выделить следующие типы:

• секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения;
• физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) или особенности поведения (особенности работы на клавиатуре и т.п.).

1. Правила формирования паролей

Личные пароли генерируются и распределяются централизованно  либо выбираются пользователями информационной системы самостоятельно с учетом следующих требований:

• пароль должен состоять не менее чем из восьми символов;
• в пароле обязательно должны присутствовать буквы из верхнего и нижнего регистров, цифры и специальные символы (@, #, $, &, *, % и т. п.);
• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т. д.), последовательности символов и знаков (111, qwerty, abcd и т. д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т. п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;
• при смене пароля новый пароль должен отличаться от старого не менее чем  
  в шести позициях.

 В случае если формирование  личных паролей пользователей  осуществляется централизованно,  ответственность за правильность  их формирования и распределения  возлагается на уполномоченных  сотрудников центра дистанционного  образования.

При технологической необходимости  использования имен и паролей  некоторых работников (исполнителей) в их отсутствие (в случае возникновения  нештатных ситуаций, форс-мажорных обстоятельств и т. п.) такие работники  обязаны сразу же после смены  своих паролей их новые значения (вместе с именами своих учетных  записей) в запечатанном конверте или  опечатанном пенале передать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для их опечатывания рекомендуется использовать печать отдела кадров.

 1.2. Ответственность при организации парольной защиты

1.Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение информации о пароле.

2.Ответственность за организацию парольной защиты в структурных подразделениях возлагается на системного администратора.

3. Работники и лица, имеющие отношение к обработке персональных данных в информационных системах 1с: бухгалтерии и 1с: склад, должны быть ознакомлены с инструкцией под расписку.

 

 

Список использованной литературы

 

2. http://protect.htmlweb.ru/p01.htm – Идентификация и аутентификация
3. http://www.bestreferat.ru/referat-214897.html Методы защиты информации
4. http://ru.wikipedia.org/ Информационная безопасность
5. http://www.coolreferat.com/ Работа банк-клиент
6. http://www.bibliofond.ru/view.aspx?id=7407 Современные методы защиты информации
7. http://5ballov.qip.ru/referats/preview/94349 Методы и средства защиты информации