Реферат: Основні шляхи забезпечення безпеки інформації
· відмова за замовчуванням (якщо відбувся збій засобів захисту і розроблювачі не передбачили такої ситуації, то доступ до обчислювальних ресурсів повинен бути заборонений);
· повнота і погодженість (система захисту повинна бути цілком специфікована, протестована і погоджена);
· параметризація (захист стає більш ефективним і гнучкішим, якщо він допускає зміну своїх параметрів з боку адміністратора);
· принцип ворожого оточення (система захисту повинна проектуватися в розрахунку на вороже оточення і припускати, що користувачі мають найгірші наміри, що вони будуть робити серйозні помилки і шукати шляхи обходу механізмів захисту);
· залучення людини (найбільш важливі і критичні рішення повинні прийматися людиною, тому що комп'ютерна система не може передбачити всі можливі ситуації);
· відсутність зайвої інформації про існування механізмів захисту (існування механізмів захисту повинно бути по можливості приховане від користувачів, робота яких контролюється).
Підтримка політики безпеки - третій, найбільш важливий, етап. Заходи, проведені на даному етапі, вимагають постійного спостереження за вторгненнями у мережу зловмисників, виявлення «дір» у системі захисту об'єкта інформації, обліку випадків несанкціонованого доступу до конфіденційних даних.
При цьому основна відповідальність за підтримку політики безпеки мережі лежить на системному адміністраторі, що повинен оперативно реагувати на усі випадки злому конкретної системи захисту, аналізувати їх і використовувати необхідні апаратні і програмні засоби захисту з урахуванням максимальної економії фінансових засобів.
4 Види забезпечення безпеки інформації
В даний час комп'ютерні злочини надзвичайно різноманітні. Це несанкціонований доступ до інформації, що зберігається в комп'ютері, введення в програмне забезпечення логічних бомб, розробка і поширення комп'ютерних вірусів, розкрадання комп'ютерної інформації, недбалість у розробці, виготовленні та експлуатації програмно-обчислювальних комплексів, підробка комп'ютерної інформації.
Всі заходи протидії комп'ютерним злочинам, що безпосередньо забезпечують безпеку інформації, можна підрозділити на:
· правові;
· організаційно-адміністративні;
· інженерно-технічні.
До правових заходів (рис. 1.5) варто віднести розробку норм, що встановлюють відповідальність за комп'ютерні злочини, захист авторських прав програмістів, удосконалювання карного і цивільного законодавства, а також судочинства. До них відносяться також питання суспільного контролю за розроблювачами комп'ютерних систем і прийняття відповідних міжнародних договорів про обмеження, якщо вони впливають або можуть уплинути на військові, економічні і соціальні аспекти країн. Тільки в останні роки з'явилися роботи з проблем правової боротьби з комп'ютерними злочинами. А зовсім недавно і вітчизняне законодавство стало на шлях боротьби з комп'ютерною злочинністю.
Рис. 1.5 Правові норми забезпечення безпеки інформації
До організаційно-адміністративних заходів (рис. 1.6) відносяться: охорона комп'ютерних систем, підбір персоналу, виключення випадків ведення особливо важливих робіт тільки однією людиною, наявність плану відновлення працездатності центру після виходу його з ладу, обслуговування обчислювального центру сторонньою організацією або особами, незацікавленими в приховуванні фактів порушення роботи центру, універсальність засобів захисту від усіх користувачів (включаючи вище керівництво), покладання відповідальності на осіб, що повинні забезпечити безпеку центру, вибір місця розташування центру і т.п.
Рис. 1.6 Основні організаційні та адміністративні заходи по захисту інформації в мережі.
До інженерно-технічних заходів (рис. 1.7) можна віднести захист від несанкціонованого доступу до комп'ютерної системи, резервування важливих комп'ютерних систем, забезпечення захисту від розкрадань і диверсій, резервне електроживлення, розробку і реалізацію спеціальних програмних і апаратних комплексів безпеки тощо.
Фізичні засоби містять у собі різні інженерні засоби, що перешкоджають фізичному проникненню зловмисників на об'єкти захисту і захищаючий персонал, особисті засоби безпеки, матеріальні засоби і фінанси, інформацію від протиправних дій.
До апаратних засобів відносяться прилади, пристрої, пристосування та інші технічні рішення, які використовуються в інтересах забезпечення безпеки. У практиці діяльності будь-якої організації знаходить широке застосування різна апаратура: від телефонного апарату до розроблених автоматизованих інформаційних систем, що забезпечують її виробничу діяльність. Основна задача апаратних засобів - стійка безпека комерційної діяльності.
Рис. 1.7 Основні інженерні та технічні заходи по захисту інформації в мережі
Програмні засоби - це спеціальні програми, програмні комплекси і системи захисту інформації в інформаційних системах різного призначення і засобах обробки даних.
Криптографічні засоби - ця спеціальні математичні та алгоритмічні засоби захисту інформації, переданої по мережах зв'язку, збереженої та обробленої на комп'ютерах з використанням методів шифрування.
Література
1. Соколов А.В., Степанюк О.М. Защита от компьютерного терроризма. Справочное пособие. – СПб.: БХВ – Петербург; Арлит 2002. – 496 с.;