Контрольная работа: Способы защиты информации

ИС предполагает автоматизацию подготовки и обмена разнообразными электронными документами, в число которых, в частности, входят: инструкции, отчеты, справочные и другие рабочие документы, используемые должностными лицами и пользователями, а также рабочие документы, циркулирующие между подразделениями и внешними организациями.

К числу проблем, возникающих при переходе к безбумажной технологии, относится отсутствие юридической значимости электронных документов.

В частности, правила делопроизводства требуют наличия в документах реквизитов установленного вида (печатей, факсимильных подписей, водяных знаков и др.), которые могут служить основанием для юридического решения спорных ситуаций, связанных с содержанием документа. Для юридического доказательства подлинности, целостности, фактов формирования и доставки бумажных документов предусматривается создание нескольких копий документов, использование услуг доверенных третьих лиц (например, нотариальная заверка документов, образцов печатей и подписей, хранение документов и др.), определенные правила учета исходящих и входящих документов, расписки в получении документов и т.п. Все указанные механизмы, в том числе и ответственность за нарушение правил делопроизводства и подделку документов, поддержаны законодательством.

Документы, обрабатываемые в компьютерной системе и имеющие электронное представление, по своей физической природе не имеют реквизитов, присущих бумажным документам. Кроме того, они в значительной степени уязвимы как перед случайным искажением, так и перед злоумышленной манипуляцией.

За неимением механизмов защиты, фальсификация электронных документов достаточно проста и может вообще не поддаваться обнаружению, причем в роли злоумышленника могут выступать законные отправитель и получатель документа, либо третья сторона.

Электронный документ должен иметь юридически значимые реквизиты, позволяющие получателю убедиться в целостности со стороны получателя. Как и в бумажных документах, этот реквизит должен легко вырабатываться законным отправителем, легко проверяться законным получателем и быть сложным для подделки. При возникновении спорной ситуации этот реквизит должен поддаваться экспертизе независимой третьей стороны.

В настоящее время основным средством защиты от указанных угроз и обеспечения юридической значимости электронного документа является электронная (цифровая) запись.

В ИС должна обеспечиваться юридическая значимость всех электронных документов, которые в юридических целях предполагается параллельно изготавливать в бумажном исполнении. На начальном этапе целесообразно подвергать защите отчетные и статистические материалы, архивные данные, электронные документы, циркулирующие между подразделениями и внешними организациями.

Важна также разработка правовой базы, определяющей порядок рассмотрения и принятия арбитражных решений в спорных ситуациях, связанных с указанными электронными документами.

Таким образом, к основным задачам защиты электронных документов относятся:

разработка предложений по выбору технических методов, обеспечивающих защиту и юридическую значимость критичных электронных документов, циркулирующих в ИС;

разработка предложений по правовой поддержке юридической значимости электронных документов.

1. Опишите угрозы безопасности для персонального компьютера руководителя районного узла электросвязи, подключенного в локальную вычислительную сеть

Угрозой может быть любое лицо, объект или событие, которое, в случае реализации, может потенциально стать причиной нанесения вреда ЛВС (локальная вычислительная сеть). Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или могут быть случайными, такими, как ошибки в вычислениях или случайное удаление файла. Угроза может быть также природным явлением, таким, как наводнение, ураган, молния и т.п. Непосредственный вред, вызванный угрозой, называется воздействием угрозы.

Уязвимыми местами являются слабые места ЛВС, которые могут использоваться угрозой для своей реализации. Например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим очевидный пароль. Использовавшимся при этом уязвимым местом является плохой выбор пароля, сделанный пользователем. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск от угроз ЛВС. Например, средство, которое может помочь пользователям выбрать надежный пароль, сможет снизить вероятность того, что пользователи будут использовать слабые пароли и этим уменьшить угрозу несанкционированного доступа к ЛВС.

2. Разработайте политику безопасности

Информация, используемая в ЛВС РУЭС, является критической для выполнения организацией своих задач. Размер и сложность ЛВС в пределах увеличилась и теперь она обрабатывает критическую информацию. Из-за этого должны быть реализованы определенные меры и процедуры безопасности для защиты информации, обрабатываемой в ЛВС. ЛВС обеспечивает разделение информации и программ между большим числом пользователей. Эта среда увеличивает риск безопасности и требует более сильных механизмов защиты, чем те, что были бы необходимы при работе на отдельно стоящих ПК. Эти усиленные требования к защите в вычислительной среде РУЭСа послужили причиной появления этой политики, которая касается использования ЛВС.

Эта политика имеет две цели. Первая - подчеркнуть для всех служащих важность безопасности в среде ЛВС и явно указать их роли при поддержании этой безопасности. Вторая - установить определенные обязанности по обеспечению безопасности данных и информации, и самой ЛВС.

Степень детализации

Все автоматизированные информационные ценности и службы, которые используются локальной вычислительной сетью , охватываются этой политикой. Она одинаково применима к серверам ЛВС, периферийному оборудованию, автоматизированным рабочим местам и персональным компьютерам (ПК) в пределах среды ЛВС РУЭСа. Ресурсы ЛВС включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации. Политика применима ко всем лицам, имеющим отношение к ЛВС, включая всех служащих РУЭС, поставщиков и работающих по контракту, которые используют ЛВС.

Цели

Цели программы защиты информации состоят в том, чтобы гарантировать целостность, доступность и конфиденциальность данных, которые должны быть достаточно полными, точными, и своевременными, чтобы удовлетворять потребности, не жертвуя при этом основными принципами, описанными в этой политике. Определяются следующие цели:

Гарантировать, что в среде ЛВС обеспечивается соответствующая безопасность, соответствующая критичности информации и т.д.;

Гарантировать, что безопасность является рентабельной и основана на соотношении стоимости и риска, или необходимо удовлетворяет соответствующим руководящим требованиям;

Гарантировать, что обеспечена соответствующая поддержка защиты данных в каждой функциональной области;

Гарантировать индивидуальную подотчетность для данных, информации, и других компьютерных ресурсов, к которым осуществляется доступ;

Гарантировать проверяемость среды ЛВС;

Гарантировать, что служащие будут обеспечены достаточно полными руководствами по распределению обязанностей относительно поддержания безопасности при работе в автоматизированной информационной системе;

Гарантировать, что для всех критических функций ЛВС имеются соответствующие планы обеспечения непрерывной работы, или планы восстановления при стихийных бедствиях;

Гарантировать что все соответствующие федеральные и организационные законы, указы и т.д. учтены и их твердо придерживаются.

Ответственность