Чтобы защита осуществлялась на повышенном уровне необходимо

Полезная информация на тему: "Чтобы защита осуществлялась на повышенном уровне необходимо", собранная из сети и предоставленная в удобном для чтения виде. По всем вопросам - обращайтесь к дежурному юристу.

Организационные мероприятия, направленные на повышение уровня информационной безопасности в учреждении

Проведение организационных мероприятий является не только наиболее эффективным, но и дешевым средством защиты информации.

Для защиты автоматизируемой системы было бы неплохо утвердить следующие организационные мероприятия:

· Необходимо осуществлять охрану помещений, в которых находится активное оборудование, а также организация учета ключей.

· Должен быть разработан регламент на использование паролей.

· Должен быть разработан регламент на проведение инвентаризации.

· Должны быть распоряжение на выдачу конфиденциальной информации в документальном виде.

· Должен быть разработан регламент о резервном копировании, который описывается тем, кто отвечает за эти действия, а также график их выполнения.

· Должен быть выдан запрет на использование переносных устройств информации (Flash — память, диски).

· Разграничение доступа к сетевым ресурсам

· Должен быть разработан регламент на копирование и хранение архивов.

· Должно быть произведено утверждение политики безопасности.

· Должен быть разработан регламент о получении сведений при перемещении по службе (увольнении): на основании приказов об увольнении служащих или их переводе в другие подразделения необходимо удалить учётную запись, либо изменить права доступа соответственно.

· Должен быть разработан регламент на использование антивирусного ПО.

· Регламент на профилактику: установка patch-ей: при обнаружении уязвимого места в программном обеспечении установить соответствующий patch.

· Регламент на проведение восстановительных работ и порядок действий.

В данном курсовом проекте были рассмотрены методы и средства, которые необходимо применить для защиты информации, циркулирующей в системе «Составление расписания», от возможных угроз.

По перечисленным методам и средствам можно отметить, что разрабатываемая система «Составление расписания» по классификации защищённости автоматизированных систем относиться к классу 1Г.

Таблица:3 «Требования по защите, предъявляемые к 1Г. В нашей системе».

Повышение уровня защиты системы

Посетителей: 1491 | Просмотров: 1989 (сегодня 0) Шрифт:

Последние изменения в компонентах безопасности Microsoft® Office 2003 привели к изменениям в процессе установки пакета приложений Office. Теперь в состав стандартной конфигурации Office входят другие методы хранения и принятия сертификатов доверия, а также большее количество административных функций для ограничения запуска элементов управления ActiveX®. Для управления запуском элементов ActiveX теперь можно использовать шесть параметров.

Существуют также и другие улучшения на уровне исходного кода, обеспечивающие защиту от переполнения буфера и защиту при работе с вложениями сообщений электронной почты. Хотя эти улучшения не столь очевидны, они помогают повысить уровень защиты системы при установке пакета Office и во время работы его приложений.

Но даже с учетом всех нововведений администраторам необходимо настраивать установку Office в соответствии с требованиями безопасности организации. Для этого администраторы должны проводить тщательное тестирование конфигурации Office. Кроме этого может потребоваться полная проверка всех средств Office, с помощью которых осуществляется доступ к сети Интернет, работа с паролями, электронной почтой и вложениями, а также запуск элементов управления ActiveX, надстроек и макросов.

Безусловно, приложения Office защищены лишь настолько, насколько защищены сеть и операционная система, и насколько надежны пароли доступа к данным, созданным с помощью этих приложений. В этой статье излагаются основные моменты, связанные с безопасностью Office, а также рассказывается о том, каким образом можно повысить уровень безопасности системы с помощью встроенных возможностей, внеся лишь небольшие изменения в процесс развертывания и использования Office на компьютерах пользователей.

Проверка компонентов Office, подверженных уязвимости

Существует несколько компонентов Office 2003, подверженных потенциальным уязвимостям. Особенно уязвимыми считаются приложения, имеющие возможность доступа к сети Интернет или к локальной сети. Установленные антивирусные программы снижают риск, связанный с доступом к локальным или глобальным сетям, но при этом необходимо также обеспечить защиту внутренних ресурсов от атак, производимых извне. Этого можно достичь несколькими путями: поддерживать в актуальном состоянии антивирусные базы, запретить доступ к нежелательным веб-узлам с помощью прокси-сервера (брандмауэра), закрыть внешние порты TCP/IP или ограничить их использование.

Администраторы могут также запретить доступ к определенным функциям и параметрам приложений Office 2003. Для этого им необходимо ознакомиться с содержимым шаблонов системных политик (ADM-файлов) каждого приложения Office 2003, а также с системными политиками операционной системы и определить, какие из них наилучшим образом подходят для решения задач по обеспечению безопасности вычислительной среды организации.

Проверка программного обеспечения сторонних разработчиков

Исполняемые файлы сторонних разработчиков всегда должны иметь действительную цифровую подпись, являющуюся частью сертификата, выданного центром сертификации. Если приобретенный программный продукт не имеет действительного сертификата доверия, устанавливать этот продукт не рекомендуется. В случае, если неподписанное программное обеспечение должно быть установлено, его необходимо протестировать и только потом распространять среди пользователей организации. Во время тестирования необходимо тщательно проверить работу приложения и убедиться, что оно работает так, как предполагается и не приводит к умышленному либо случайному распространению компьютерных вирусов.

Примечание. При активации или установке любого исполняемого файла из приложений Office пользователи обычно получают запрос на принятие сертификата доверия для этого файла. Если при установке или запуске нового исполняемого файла пользователь не получает такого запроса, то, вероятно, сертификат уже был принят ранее, или же в приложении Office установлен уровень защиты от макросов Низкая (Low).

Читайте так же:  Права главного квартиросъемщика в неприватизированной квартире

Сокращение числа уязвимостей

Снижение вероятности атак злоумышленников частично достигается путем сокращения до минимума числа уязвимостей вычислительной системы, а также путем установки и своевременного обновления антивирусного программного обеспечения. Эти методы защиты могут изменить установленные в организации правила и способы использования программного обеспечения. Такими методами могут являться:

  • Установка и настройка брандмауэра (прокси-сервера).
  • Использование паролей для доступа к сетевым ресурсам.
  • Защита паролем и управление правами доступа к серверам и общим ресурсам корпоративной сети.

Каждый из этих методов является очень важным шагом к снижению угрозы безопасности системы. Тем не менее, в большинстве случаев рекомендуется проводить обучение пользователей и объяснять им, какие методы использования информации являются безопасными, а какие – нет. Обучение пользователей безопасным методам работы является первым шагом на пути к обеспечению защиты вычислительной среды. Если пользователи знают о том, что они не должны открывать подозрительные электронные сообщения или запускать неизвестные программы, загруженные из Интернета или принесенные из дома, риск проникновения в систему компьютерных вирусов, червей и троянских программ снижается.

Существуют и другие методы защиты от атак злоумышленников. Эти методы предполагают установку только необходимого для работы программного обеспечения и использование только необходимых для работы функций.

Удаление неиспользуемых компонентов Office

Если приложение Office по умолчанию включено в установку, но использовать его не планируется, установите для него параметр Not Available (Компонент недоступен) или Not Available, Hidden, Locked в мастере Custom Installation Wizard или Custom Maintenance Wizard. Большинство задач по настройке конфигурации Office должно выполняться до начала его развертывания на компьютерах пользователей. Для проверки различных конфигураций Office необходимо использовать тестовый компьютер. После того, как Вы настроите подходящую конфигурацию, Все необходимые изменения должны быть включены в файл преобразования, который используется для установки Office. Для внесений изменений в конфигурацию уже установленного пакета Office используйте мастер Custom Maintenance Wizard.

Чтобы защита осуществлялась на повышенном уровне необходимо

Для выполнения поставленных целей и решению задач необходимо провести мероприятия на уровнях информационной безопасности.

Административный уровень информационной безопасности.

Для формирования системы информационной безопасности необходимо разработать и утвердить политику информационной безопасности.

Политика безопасности — это совокупность законов, правил и норм поведения, направленных на защиту информации и ассоциированных с ней ресурсов.

Следует отметить, что разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации, т.е. эти законы и правила необходимо выявлять и принимать во внимание при разработке политики.

Чем надежнее система, тем строже и многообразнее должна быть политика безопасности.

В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы.

Организационный уровень защиты информации.

Исходя из недостатков, описанных в предыдущем разделе, можно предложить следующие мероприятия по улучшению защиты информации:

§ Организация работ по обучению персонала навыкам работы с новыми программными продуктами при участии квалифицированных специалистов;

§ Разработка необходимых мероприятий направленных на совершенствовании системы экономической, социальной и информационной безопасности предприятия.

§ Провести инструктаж для того, чтобы каждый сотрудник осознал всю важность и конфиденциальность вверенной ему информации, т.к., как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимания (или недопонимания) необходимости их тщательного соблюдения.

§ Строгий контроль соблюдения сотрудниками правил работы с конфиденциальной информацией;

§ Контроль соблюдения правил хранения рабочей документации сотрудников предприятия;

§ Плановое проведение собраний, семинаров, обсуждений по вопросам информационной безопасности предприятия;

§ Регулярная (плановая) проверка и обслуживание всех информационных систем и информационной инфраструктуры на работоспособность.

§ Назначить системного администратора на постоянной основе.

Программно-технические меры защиты информации.

Программно-технические средства являются одними из важнейших компонентов в реализации информационной защите предприятия, поэтому для повышения уровня защиты информации необходимо ввести и применить следующие мероприятия:

[1]

§ Введение паролей пользователей;

Для регулирования доступа пользователей к информационным ресурсам предприятия необходимо ввести список пользователей, которые будут входить в систему под своим логином. С помощью ОС Windows Server 2003 Std, установленной на сервере, можно создать список пользователей с соответствующими паролями. Пароли раздать работникам с соответствующим инструктажем их использования. Также необходимо ввести срок действия пароля, по истечению которого пользователю будет предложено поменять пароль. Ограничить число попыток входа в систему с неверным паролем (например, до трех).

§ Введение запроса паролей в программе 1С: Предприятии при работе с БД, при изменении данных. Это можно выполнить с помощью программных средств ПК и программы.

§ Разграничение доступа к файлам, каталогам, дискам.

Разграничение доступа к файлам и каталогам будет осуществляться системным администратором, который разрешит доступ к соответствующим дискам, папкам и файлам для каждого пользователя конкретно.

§ Регулярное сканирование рабочих станций и обновление баз антивирусной программы.

Позволит обнаруживать и нейтрализовать вредоносные программы, ликвидировать причины заражений. Необходимо выполнить работы по установке, настройке и обеспечению функционирования средств и систем антивирусной защиты.

Для этого необходимо настроить программу антивируса на регулярное сканирование ПК и регулярное обновление баз с сервера.

§ Установка на компьютер-сервер сетевого экрана Agnitum Outpost FireWall, который блокирует атаки из сети Интернет.

Преимущества использования сетевого экрана Agnitum Outpost FireWall:

ѕ контролирует соединения компьютера с другими, блокируя хакеров и предотвращая несанкционированный внешний и внутренний доступ к сети.

ѕ локальная безопасность отслеживает поведение программ и их взаимодействие для обеспечения проактивной защиты от несанкционированной активности, блокируя троянцев, шпионские программы и все изощренные хакерские методики взлома компьютеров и кражи личных данных.

Читайте так же:  Расторжение брака при наличии несовершеннолетних детей документы

ѕ эффективный сканер вредоносных программ автоматически обнаруживает и изолирует или удаляет вирусы, шпионские программы и другое вредоносное ПО.

ѕ встроенный антиспам.

§ Анализ защищенности объектов вычислительной сети

Возможно использование программы «Сканер-ВС», предназначенной для анализа защищенности вычислительных сетей от внутренних и внешних угроз.

«Сканер-ВС» выполняет следующие функции:

Анализ защищенности сети или отдельных ее сегментов от различных внешних и внутренних угроз

Аудит защищенности сети

Инвентаризация сетевых ресурсов — сбор информации об отдельных узлах сети (зарегистрированные пользователи, рабочая группа/домен, IP-адрес, сервисы и многое другое)

Максимальное снижение вероятности успешной атаки на защищаемые объекты

Тестирование сети на устойчивость к взлому с учетом выявленных и устраненных уязвимостей

Основные возможности системы:

ѕ обеспечение загрузки доверенной среды на основе ОС МСВС

ѕ автоматическое определение сетевого оборудования, подключенного к вычислительной сети

ѕ поиск остаточной информации на накопителях, подключенных к узлам сети (поддерживаются различные кодировки)

ѕ сетевой и локальный аудит паролей

ѕ инвентаризация ресурсов компьютерной сети (узлов, портов, сервисов)

ѕ поиск уязвимостей обнаруженных сервисов, проверка возможности осуществления типовых DoS-атак

ѕ анализ сетевого трафика (в т. ч. в коммутируемых сетях), извлечение из трафика парольной информации для множества протоколов

§ Программа защиты от спама.

Обеспечение защиты от спама пользователей и технической поддержке средств, осуществляющих данную защиту. Защита осуществляется путем маркировки нежелательных почтовых сообщений приходящих на почтовый ящик пользователя.

Возможно использование программы antispam СПАМОЕД, программа позволяющая блокировать спам на компьютере. Spamoed — это ПО для борьбы со спамом, обеспечивающее фильтрацию почты. Основные принципы работы программы заключается в том, что программа Spamoed может как сама удалять ненужную пользователю электронную почту, так и вкупе с TheBat, Outlook и другими почтовыми клиентами; а также работать совместно с небольшими (до 50 почтовых ящиков) почтовыми серверами.

§ Применение источников бесперебойного питания;

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания (UPS). Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение какого-то промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. В противном случае используется следующая функция подобных устройств — компьютер получает сигнал, что UPS перешел на работу от собственных аккумуляторов и время такой автономной работы ограничено. Тогда компьютер выполняет действия по корректному завершению всех выполняющихся программ и отключается (команда SHUTDOWN). Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства — серверы, концентраторы, мосты и т.д. — оснащены собственными дублированными системами электропитания.

§ Криптографическое преобразование информации.

Криптографическая защита информации предоставляется с целью обеспечения режима конфиденциальности и целостности информации при ее передачи по каналам передачи данных.

Помогите выбрать конкретное программное средство. Ну надо шифрование какое-либо применять или необязательно — запуталась я, ваще запуталась…вот в этом главный вопрос!)

§ Протоколирование и аудит.

Протоколирование и аудит является неотъемлемой частью обеспечения информационной безопасности. Эти понятия подразумевают сбор, накопление и анализ событий происходящих в информационной системе в реальном времени.

Реализация протоколирования и аудита решает следующие задачи:

· обеспечение подотчетности пользователей и администраторов;

· обеспечение возможности реконструкции последовательности событий;

· обнаружение попыток нарушений информационной безопасности;

· предоставление информации для выявления и анализа проблем.

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:

ѕ дата и время события;

Видео (кликните для воспроизведения).

ѕ уникальный идентификатор пользователя — инициатора действия;

ѕ результат действия (успех или неудача);

ѕ источник запроса (например, имя терминала);

ѕ имена затронутых объектов (например, открываемых или удаляемых файлов);

[3]

ѕ описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

Эффективность предложенных мероприятий

Эффективность системы ИБ и труда администраторов средств информационной безопасности будет чрезвычайно низкой при отсутствии средств сбора, анализа, хранения информации о состоянии системы ИБ, централизованного управления всеми ее составляющими. Дело в том, что каждое средство защиты реализует некоторую составляющую политики безопасности, которая на уровне подсистем задается набором параметров и требований. Политике ИБ должны соответствовать не только каждая подсистема или средство защиты, но и система ИБ в целом. Отслеживание работоспособности компонентов системы, примененных правил и других событий в системе ИБ требует наличия средств мониторинга и управления. Для проведения анализа собираемых данных, построения отчетов и принятия управляющих решений необходимы средства мониторинга, аудита и генерации отчетов.

В рамках курсового проекта была проанализирована информационная безопасность предприятия, были предложены мероприятия по ее улучшению. Реализация мероприятий позволит:

§ Разграничить права доступа в систему.

§ Повысить уровень защищенности информации каждого пользователя в отдельности и системы в целом.

§ Разработать и внедрить политику информационной безопасности, которая будет направлена на защиту информации и ассоциированных с ней ресурсов.

По вопросу оформления товаров с повышенным уровнем ионизирующих излучений

В последнее время участились случаи выявления в ходе таможенного оформления и таможенного контроля товаров, не относящихся к делящимся и радиоактивным материалам, но имеющих повышенный уровень ионизирующего излучения (ИИ), которое по гамма-излучению зачастую в разы превышает уровень естественного радиационного фона.

Указанные товары рассматриваются как товары, оказывающие вредное воздействие на человека и окружающую природную среду, имеющие признаки радиоактивных отходов (ввоз которых на территорию Российской Федерации запрещен) и подпадающие под действие запретов и ограничений.

Читайте так же:  Распределение денежных средств в сводном исполнительном производстве

Таможенное оформление, а также пропуск указанных товаров на таможенную территорию Российской Федерации осуществляется на основании разрешительных документов, выданных государственными органами, компетентными в соответствующей области, и подтверждающих радиационную безопасность товаров с повышенным уровнем ИИ.

В связи с тем, что при принятии решений в отношении товаров с повышенным уровнем ИИ должностные лица таможенных органов должны четко представлять, каким документом в каждом конкретном случае подтверждается радиационная безопасность указанных товаров, ФТС России обратилась в Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) за пояснениями по наиболее часто возникающим вопросам.

В соответствии с разъяснениями, изложенными в письме Роспотребнадзора (от 24.07.2008 N 01/7947-8-23), прошу довести до подчиненных таможенных органов позицию данного федерального органа исполнительной власти по следующим вопросам:

1. Каким документом должна подтверждаться радиационная безопасность товаров с повышенным уровнем ИИ, ввозимых на территорию Российской Федерации с целью транзита через ее территорию (помещаемых под таможенный режим международного таможенного транзита)?

По мнению Роспотребнадзора, продукция, поступающая на территорию Российской Федерации с целью транзита через ее территорию, не подлежит санитарно-эпидемиологической оценке, т.к. ее использование на территории страны не предполагается. Радиационная безопасность транспортировки регламентируется СанПиН 2.6.1.1281-03 «Санитарные правила по радиационной безопасности персонала и населения при транспортировании радиоактивных материалов (веществ)». Документом, подтверждающим ее радиационную безопасность, является протокол измерения радиационных параметров.

При оформлении товаров с повышенным уровнем ИИ в режиме международного таможенного транзита должностные лица таможенных органов проводят таможенный осмотр товаров и транспортных средств, в ходе которого контролируется соответствие фактических радиационных параметров груза значениям, содержащимся в протоколе измерения, а также соответствие условий транспортирования данного товара пункту 1.6 СанПиН 2.6.1.1281-03.

В случае выявления каких-либо несоответствий либо отсутствия документа, подтверждающего радиационную безопасность транспортирования товара с повышенным уровнем ИИ, необходимо в письменной форме запросить орган санитарно-карантинного контроля в пункте пропуска (в случае его отсутствия — территориальный орган Роспотребнадзора) о возможности перемещения данного товара через таможенную границу, с приложением к запросу копий сопроводительных документов на товар и копии акта таможенного осмотра.

2. Каким документом должна подтверждаться радиационная безопасность товаров с повышенным уровнем ИИ в случаях, когда указанные товары не входят в перечень товаров, на которые должны быть оформлены санитарно-эпидемиологические заключения или свидетельства о государственной регистрации при таможенном оформлении (совместное письмо Роспотребнадзора и ФТС России от 27.03.2008 N 01-11/11534)?

В соответствии с позицией Роспотребнадзора продукция, не вошедшая в указанный перечень товаров, но имеющая повышенный уровень ИИ, подлежит оценке, и ее радиационная безопасность подтверждается письмом Роспотребнадзора или санитарно-эпидемиологическим заключением.

Таким образом, таможенное оформление товаров, имеющих повышенный уровень ИИ, но не вошедших в указанный перечень, может осуществляться только на основании письма Роспотребнадзора, а не его территориальных органов, в котором содержится оценка радиационной безопасности продукции, либо на основании санитарно-эпидемиологического заключения, выданного государственным органом, который обладает соответствующими полномочиями.

3. Каким документом должна подтверждаться радиационная безопасность товаров с повышенным уровнем ИИ в случаях, когда на указанные товары (например, пестициды и агрохимикаты) представлено санитарно-эпидемиологическое заключение, однако санитарно-эпидемиологическая оценка продукции проводилась по иным (отличным от радиационного) критериям безопасности?

В соответствии с разъяснениями Роспотребнадзора в случаях, когда на товары с повышенным уровнем ИИ представлено санитарно-эпидемиологическое заключение, в котором не оценены показатели радиационной безопасности, документом, подтверждающим радиационную безопасность указанных товаров, является письмо Роспотребнадзора, в котором содержится оценка радиационной безопасности товаров с повышенным уровнем ИИ.

4. Каким документом должна подтверждаться радиационная безопасность ввозимого на территорию Российской Федерации табака и табачного сырья с повышенным уровнем ИИ?

Позиция Роспотребнадзора по данному вопросу заключается в том, что содержание радионуклидов в табаке и табачных изделиях не нормируется. Однако в каждом случае выявления повышенной мощности дозы гамма-излучения от данного вида продукции необходимо проводить санитарно-эпидемиологическое расследование для выявления причин повышенного уровня ИИ, по результатам которого оформляется письмо Роспотребнадзора или санитарно-эпидемиологическое заключение.

5. Каким документом должна подтверждаться радиационная безопасность товаров с повышенным уровнем ИИ в месте ввоза (прибытия) в случаях, когда данный товар следует для основного таможенного оформления в другой субъект Российской Федерации (отличный от места прибытия)?

По мнению Роспотребнадзора, в месте ввоза продукции должна подтверждаться безопасность транспортирования данного вида товара (в соответствии с требованиями СанПиН 2.6.1.1281-03). Вопрос оценки безопасности продукции решается на месте таможенного оформления.

Таким образом, если на товар с повышенным уровнем ИИ не представлено санитарно-эпидемиологическое заключение либо свидетельство о государственной регистрации, решение о его помещении под процедуру внутреннего таможенного транзита принимается на основании письменного подтверждения территориальных органов Роспотребнадзора о возможности ввоза данного товара на таможенную территорию Российской Федерации, а оценка безопасности его использования проводится в месте его таможенного оформления.

Главного управления информационных технологий

Основы защиты информации

10.1. Защита информации как закономерность развития компьютерных систем

Защита информации – это применение различных средств и методов, использование мер и осуществление мероприятий для того, чтобы обеспечить систему надежности передаваемой, хранимой и обрабатываемой информации.

Защита информации включает в себя:

обеспечение физической целостности информации, исключение искажений или уничтожения элементов информации;

недопущение подмены элементов информации при сохранении ее целостности;

отказ в несанкционированном доступе к информации лицам или процессам, которые не имеют на это соответствующих полномочий;

приобретение уверенности в том, что передаваемые владельцем информационные ресурсы будут применяться только в соответствии с обговоренными сторонами условиями.

Процессы по нарушению надежности информации подразделяют на случайные и злоумышленные (преднамеренные). Источниками случайных разрушительных процессов являются непреднамеренные, ошибочные действия людей, технические сбои. Злоумышленные нарушения появляются в результате умышленных действий людей.

Читайте так же:  Порядок установления наличия острого профессионального заболевания

Проблема защиты информации в системах электронной обработки данных возникла практически одновременно с их созданием. Ее вызвали конкретные факты злоумышленных действий над информацией.

Важность проблемы по предоставлению надежности информации подтверждается затратами на защитные мероприятия. Для обеспечения надежной системы защиты необходимы значительные материальные и финансовые затраты. Перед построением системы защиты должна быть разработана оптимизационная модель, позволяющая достичь максимального результата при заданном или минимальном расходовании ресурсов. Расчет затрат, которые необходимы для предоставления требуемого уровня защищенности информации, следует начинать с выяснения нескольких фактов: полного перечня угроз информации, потенциальной опасности для информации каждой из угроз, размера затрат, необходимых для нейтрализации каждой из угроз.

Если в первые десятилетия активного использования ПК основную опасность представляли хакеры, подключившиеся к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушение надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.

Имеется достаточно много способов несанкционированного доступа к информации, в том числе:

копирование и подмена данных;

ввод ложных программ и сообщений в результате подключения к каналам связи;

чтение остатков информации на ее носителях;

прием сигналов электромагнитного излучения и волнового характера;

использование специальных программ.

Для борьбы со всеми этими способами несанкционированного доступа необходимо разрабатывать, создавать и внедрять многоступенчатую непрерывную и управляемую архитектуру безопасности информации. Защищать следует не только информацию конфиденциального содержания. На объект защиты обычно действует некоторая совокупность дестабилизирующих факторов. При этом вид и уровень воздействия одних факторов могут не зависеть от вида и уровня других.

Возможна ситуация, когда вид и уровень взаимодействия имеющихся факторов существенно зависят от влияния других, явно или скрыто усиливающих такие воздействия. В этом случае следует применять как независимые с точки зрения эффективности защиты средства, так и взаимозависимые. Для того чтобы обеспечить достаточно высокий уровень безопасности данных, надо найти компромисс между стоимостью защитных мероприятий, неудобствами при использовании мер защиты и важностью защищаемой информации. На основе детального анализа многочисленных взаимодействующих факторов можно найти разумное и эффективное решение о сбалансированности мер защиты от конкретных источников опасности.

10.2. Объекты и элементы защиты в компьютерных системах обработки данных

Объект защиты – это такой компонент системы, в котором находится защищаемая информация. Элементом защиты является совокупность данных, которая может содержать необходимые защите сведения.

При деятельности компьютерных систем могут возникать:

отказы и сбои аппаратуры;

системные и системотехнические ошибки;

ошибки человека при работе с компьютером.

Несанкционированный доступ к информации возможен во время технического обслуживания компьютеров в процессе прочтения информации на машинных и других носителях. Незаконное ознакомление с информацией разделяется на пассивное и активное. При пассивном ознакомлении с информацией не происходит нарушения информационных ресурсов и нарушитель может лишь раскрывать содержание сообщений. В случае активного несанкционированного ознакомления с информацией есть возможность выборочно изменить, уничтожить порядок сообщений, перенаправить сообщения, задержать и создать поддельные сообщения.

Для обеспечения безопасности проводятся разные мероприятия, которые объединены понятием «система защиты информации».

Система защиты информации – это совокупность организационных (административных) и технологических мер, программно-технических средств, правовых и морально-этических норм, которые применяются для предотвращения угрозы нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Организационно-административными средствами защиты называется регламентация доступа к информационным и вычислительным ресурсам, а также функциональным процессам систем обработки данных. Эти средства защиты применяются для затруднения или исключения возможности реализации угроз безопасности. Наиболее типичными организационно-административными средствами являются:

• допуск к обработке и передаче охраняемой информации только проверенных должностных лиц;

• хранение носителей информации, которые представляют определенную тайну, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;

• учет применения и уничтожения документов (носителей) с охраняемой информацией;

• разделение доступа к информационным и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.

Технические средства защиты применяются для создания некоторой физически замкнутой среды вокруг объекта и элементов защиты. При этом используются такие мероприятия, как:

• ограничение электромагнитного излучения через экранирование помещений, в которых осуществляется обработка информации;

• реализация электропитания оборудования, отрабатывающего ценную информацию, от автономного источника питания или общей электросети через специальные сетевые фильтры.

Программные средства и методы защиты являются более активными, чем другие применяемые для защиты информации в ПК и компьютерных сетях. Они реализуют такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и изучение протекающих процессов; предотвращение возможных разрушительных воздействий на ресурсы; криптографическая защита информации.

Под технологическими средствами защиты информации понимаются ряд мероприятий, органично встраиваемых в технологические процессы преобразования данных. В них также входят:

[2]

создание архивных копий носителей;

ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера;

автоматическая регистрация доступа пользователей к различным ресурсам;

выработка специальных инструкций по выполнению всех технологических процедур и др.

Правовые и морально-этические меры и средства защиты включают в себя действующие в стране законы, нормативные акты, регламентирующие правила, нормы поведения, соблюдение которых способствует защите информации.

10.3. Средства опознания и разграничения доступа к информации

Идентификацией называется присвоение тому или иному объекту или субъекту уникального имени или образа. Аутентификация – это установление подлинности объекта или субъекта, т. е. проверка, является ли объект (субъект) тем, за кого он себя выдает.

Читайте так же:  Задержка заработной платы трудовой кодекс

Конечная цель процедур идентификации и аутентификации объекта (субъекта) заключается в допуске его к информации ограниченного пользования в случае положительной проверки либо отказе в допуске при отрицательном результате проверки.

Объекты идентификации и аутентификации включают в себя: людей (пользователей, операторов); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки); магнитные носители информации; информацию на экране монитора.

К наиболее распространенным методам аутентификации относятся присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Паролем называется совокупность символов, которая определяет объект (субъект).

Пароль как средство обеспечения безопасности способен использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.

С учетом важности пароля как средства повышения безопас – ности информации от несанкционированного использования необходимо соблюдать следующие меры предосторожности:

1) не хранить пароли в вычислительной системе в незашифрованном месте;

2) не печатать и не отображать пароли в открытом виде на терминале пользователя;

3) не применять в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения, номер домашнего или служебного телефона, название улицы);

4) не применять реальные слова из энциклопедии или толкового словаря;

5) использовать длинные пароли;

6) применять смесь символов верхнего и нижнего регистров клавиатуры;

7) применять комбинации из двух простых слов, соединенных специальными символами (например, +,=,

Чтобы защита осуществлялась на повышенном уровне необходимо

Курс предназначен для базовой подготовки администраторов сайтов, созданных на «1С-Битрикс: Управление сайтом». Изучив курс, вы освоите основные методы администрирования системы, а также пополните знания по темам, изученным в курсе Контент-менеджер.

Если вы добросовестно изучите курс, то научитесь:

  • управлять доступом к системе, сайтами, пользователями, группами пользователей;
  • работать с инструментами системы;
  • использовать возможности интерфейса по управлению системой;
  • работать с модулями «1С-Битрикс: Управление сайтом», связанными с оптимизацией и безопасностью работы сайта;
  • выполнять работу по конфигурированию веб-системы для оптимальной работы.

Если вам предстоит самостоятельная установка системы или перенос сайта на хостинг, то без курса Установка и настройка Курс Установка и настройка предназначен для специалистов устанавливающих «1С-Битрикс: Управление сайтом» или «Битрикс24 в коробке».

Начальные требования

Необходимый минимум знаний для изучения курса:

  • базовые навыки компьютерной грамотности и навыков работы с ОС Windows;
  • базовые знания о WWW и организации доступа к веб-серверу;
  • знание системы в рамках курса Контент-менеджер Мы считаем, что вы этот курс уже прошли и знаете многое о Битриксе. Поэтому подсказок во всплывающих окнах будет намного меньше, чем в курсе Контент-менеджер. , чтобы банально не путаться в интерфейсе.

Неплохо было бы иметь базовые навыки установки и администрирования *nix-систем.

Тесты и сертификат

После изучения курса пройдите тесты на сертификацию. При успешной сдаче последовательности тестов на странице Моё обучение вы увидите результат обучения и там же — ваш сертификат в формате PDF.

Иконка успешно сданного вами курса отображается в вашем профиле на Freelance, если вы укажите ссылку на ваш профиль на сайте компании 1С-Битрикс.

Комментарии к урокам

На каждой странице курса авторизованный на сайте посетитель может дать комментарий к содержимому страницы. Комментарий — не форум, там не ведётся обсуждений или разъяснений. Это инструмент для сообщений нам об ошибках, неточностях. Для отправки комментария воспользуйтесь расположенной в правом нижнем углу окна браузера кнопкой:

Для преподавания оффлайн

Если данный курс берётся в качестве основы для оффлайного преподавания, то рекомендуемая продолжительность: 3 дня (24 академических часа).

Если нет интернета

Экономите время и учитесь по дороге на работу или в ВУЗ? Для этого нужны файлы. Мы предоставляем две возможности оффлайнового изучения: файлы в формате PDF и CHM, они открываются на любых устройствах. Программы для чтения доступны в AppStore и Play Market. Файлы обновляются периодически, но всё равно будут отставать от онлайновой версии курса. Поэтому, всё же, мы рекомендуем он-лайн версию курсов, тем более, что мобильный интернет сейчас не проблема.

Чтобы отключить подобное отношение к файлу необходимо:

    перейти в свойства файла на вкладку Общие. Внизу у Вас отобразится сообщение о том, что этот файл был заблокирован системой с целью защиты компьютера.

Видео (кликните для воспроизведения).

Отсутствие кнопки Разблокировать возможно в двух случаях:

  1. Файл лежит не локально, а на сетевом ресурсе.
  2. Если файл лежит на локальном диске, но путь к нему содержит спецсимволы (# и прочие).

Источники


  1. Фоменко, С.Е. Как уволить нерадивого сотрудника; М.: Бератор, 2013. — 160 c.

  2. Радько, Т. Н. Проблемы теории государства и права. Учебник / Т.Н. Радько. — Москва: СИНТЕГ, 2016. — 608 c.

  3. Чухвичев, Д. В. Законодательная техника / Д.В. Чухвичев. — М.: Юнити-Дана, Закон и право, 2012. — 416 c.
Чтобы защита осуществлялась на повышенном уровне необходимо
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here