МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ТАВРІЙСЬКИЙ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ
ім. В.І. ВЕРНАДСЬКОГО
Навчально-науковий інститут управління, економіки та природокористування
РЕФЕРАТ
«Шляхи протистояння викраденню інформації на підприємстві.»
Виконав:Чебі Алі, ФБСС-31
Київ – 2020
ЗМІСТ
РЕФЕРАТ 1
ЗМІСТ 2
ВСТУП 3
Розділ 1. ПРОБЛЕМИ ЗАХИСТУ ІНФОРМАЦІЇ У СУЧАСНИХ ІС 5
Розділ 2. МЕТОДИ І ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЇ В ІНФОРМАЦІЙНИХ СИСТЕМАХ 9
Розділ 3. ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ РЕЖИМУ ЕЛЕКТРОННОГО ЦИФРОВОГО ПІДПИСУ 10
ВИСНОВКИ 12
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 14
ЗМІСТ 2
ВСТУП 3
Розділ 1. ПРОБЛЕМИ ЗАХИСТУ ІНФОРМАЦІЇ У СУЧАСНИХ ІС 5
Розділ 2. МЕТОДИ І ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЇ В ІНФОРМАЦІЙНИХ СИСТЕМАХ 9
Розділ 3. ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ РЕЖИМУ ЕЛЕКТРОННОГО ЦИФРОВОГО ПІДПИСУ 10
ВИСНОВКИ 12
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 14
ВСТУП
Створення систем інформаційної безпеки (СІБ) в ІС і IT ґрунтується на таких принципах:
Системний підхід до побудови системи захисту означає оптимальне поєднання взаємозв'язаних організаційних, програмних, апаратних, фізичних та інших властивостей, підтверджених практикою створення вітчизняних і зарубіжних систем захисту і вживаних на всіх етапах технологічного циклу оброблення інформації.
Принцип безперервного розвитку системи є одним з основоположних для комп'ютерних інформаційних систем та актуальним для СІ Б. Способи уникнення загроз інформації в IT безперервно вдосконалюються, тому гарантування безпеки ІС не може бути одноразовим актом. Це безперервний процес, що полягає у:
* обґрунтуванні та реалізації найбільш раціональних методів, способів і шляхів удосконалення СІ Б;
* безперервному контролі;
* виявленні її вузьких і слабких місць;
* установленні потенційних каналів просочування інформації;
* визначенні нових способів несанкціонованого доступу. Розмежування і мінімізація повноважень з доступу до оброблюваної
Повнота контролю і реєстрації спроб несанкціонованого доступу означає необхідність точно встановлювати ідентичність кожного користувача і протоколювання його дій для проведення можливого розслідування, а також неможливість здійснювати будь-яку операцію з оброблення і інформації в ІТ без її попередньої реєстрації.
Забезпечення надійності системи захисту полягає в неможливості зниження рівня надійності у разі виникнення в системі збоїв, відмов, навмисних дій зломлювача або ненавмисних помилок користувачів та обслуговуючого персоналу.
Забезпечення контролю за функціонуванням системи захисту - це створення засобів і методів контролю працездатності механізмів захисту.
Забезпечення економічної доцільності використання системи захисту, що виражається в перевищенні можливого збитку ІС і ІТ від реалізації загроз над вартістю розроблення й експлуатації СІ Б.
Розділ 1. ПРОБЛЕМИ ЗАХИСТУ ІНФОРМАЦІЇ У СУЧАСНИХ ІС
Інформація цінувалася у всі часи. Щоб володіти нею відбувалися вбивства, війни. В наші дні вона має не меншу цінність. Ця цінність може визначатися не тільки кількістю праці витраченої на її створення, але і кількістю прибутку, отриманого від її можливої реалізації.
Проблема захисту інформації: надійне забезпечення її збереження і встановлення статусу використовування - є однією з найважливіших проблем сучасності.
Цілями системи захисту інформації підприємства є:
- запобігання витоку, розкраданню, втраті, спотворенню, підробці інформації;
- запобігання погрозам безпеці особи, підприємства, суспільства, держави;
- запобігання несанкціонованим діям із знищення, модифікації, спотворення, копіювання, блокування інформації;
- запобігання іншим формам незаконного втручання в інформаційні ресурси і системи, забезпечення правового режиму документованої інформації як об'єкту власності;
- захист конституційних прав громадян на збереження особистої таємниці і конфіденційності персональних даних, наявних в інформаційних системах;
- збереження, конфіденційності документованої інформації відповідно до законодавства.
Причини втрати і пошкодження інформації можуть бути різними. Найчастіше це зараження вірусами. Сьогодні нікого не здивуєш існуванням комп'ютерних вірусів. Якщо звернутися до історії, то можна побачити, що одним з перших був створений вірус, який розповсюджувався по глобальній мережі, був створений в 1988 році. Його написав аспірант факультету інформатики Корнелльського університету Роберт Моррисан. У перебігу декількох годин 2 листопада 1988 року були заражені більше 6000 комп'ютерів.
Подібні програми створюються і зараз. І для розповсюдження, також використовують проломи в системах захисту серверів. Окрім програм, які займаються псуванням, знищенням даних, псуванням апаратного забезпечення, уповільненням роботи комп'ютера, існують віруси, які стараються нічим не видати своєї присутності, а потихеньку збирають інформацію, наприклад, паролі, ведуть контроль за натисненням клавіш користувача ПЕВМ, а потім передають знайдену інформацію на заздалегідь певну адресу, або здійснюють які-небудь певні дії. Ці віруси відносяться до так званих “троянским коням”.
Основним засобом захисту від вірусів можна вважати використання антивірусів, краще якщо це буде дві незалежні програми, наприклад Dr.Web, AVP. Антивірусні засоби рекомендується встановити на ЄОМ і на поштовому сервері, або змусити сканувати весь трафік, а також правильна політика безпеки, що включає оновлення використовуваних програм і антивірусних засобів, оскільки антивірусні засоби пасивні і не в змозі гарантувати 100 % захист від невідомих вірусів, допоможе уникнути вірусного зараження.
На сьогоднішній день найменш контрольована область – це інформація, що надсилається за допомогою електронної пошти. Цим активно користуються інсайдери і несумлінні працівники, і левова частка конфіденційної або небажаної інформації витікає саме через Інтернет, за допомогою повідомлень електронної пошти. Наприклад, такі системи, як E-NIGMA, Secure, Altell використовують в своїх програмах методи розмежування прав доступу до e-mail повідомлень, за допомогою яких дотримується інформаційна безпека підприємства. Контроль за якістю роботи співробітників є важливим процесом в організації роботи цілого підприємства. Однією з складових цього контролю є моніторинг листування співробітників. Використовуючи одну з програм приведених вище систем можна легко відстежувати листування кожного із співробітників, не вмонтовуючи собі їх ящики, оскільки вона перехоплює всю пошту на рівні протоколу.
Радіовипромінювання монітора. Перехоплення зображення монітора достатньо поширений спосіб розкрадання інформації. Це стає можливим у зв'язку з його паразитним випромінюванням, прийом якого можливий до 50 м. Основним захистом можна вважати екранування приміщення, металевий корпус ПЕВМ, а також використання пристроїв тих, що маскують побічне електромагнітне випромінювання, наприклад, генератор радіошуму ГШ-1000, який зашумляє діапазон частот від 0,1 до 1000 Мгц.
Сьогодні існують пристрої, здатні розкодувати факс-модемную передачу, із запису її на магнітофон, або безпосередньо з телефонної лінії. Заборонити це не можливо, оскільки підключитися до телефонної лінії можна на будь-якій ділянці проходження телефонного з'єднання. Єдиний захист - це не передавати за допомогою подібного устаткування відомостей не бажаних для розголошування.
Забезпечення інформаційної безпеки традиційно розглядається як сукупність чисто оборонних заходів. Характерними прикладами оборонних заходів, використовуваних для захисту комунікаційних мереж, є міжмережеві екрани, шифрування і системи виявлення вторгнень (Intrusion Detection Systems, IDS). Стратегія будується на класичній парадигмі забезпечення безпеки "захищай, виявляй, виправляй". При такому підході виникає проблема, пов'язана з тим, що ініціатива належить атакуючому, який завжди виявляється на крок попереду. За останні декілька років стає все більш очевидним, що традиційні прийоми мережевого захисту ефективні лише в певних межах. Відповідно необхідні нові методи посилення захисту мереж. Одним з перспективних підходів є використовування приманок - комп'ютерних ресурсів, що знаходяться під постійним спостереженням, які ми дозволяємо випробовувати на міцність, атакувати і зламувати. Точніше кажучи, приманка є "елементом інформаційної системи, цінність якого полягає у тому, що він дозволяє вести моніторинг несанкціонованого або протиправного використовування даного елементу". Моніторинг даних, що поступають на приманку і покидають її, дозволяє зібрати відомості, які не можна добути за допомогою IDS. Приманки можуть працювати під управлінням будь-якої операційної системи і на будь-якій кількості серверів. За допомогою налаштувань задаються доступні супротивнику способи злому або перевірки стійкості системи. Приманки володіють двома додатковими перевагами: масштабованістю і легкістю в обслуговуванні.
Таким чином, на сьогоднішній день пропонується безліч способів забезпечення безпеки інформації, але не всі вони є ефективними. Відомо, що тільки «комплексна система може гарантувати досягнення максимальної ефективності захисту інформації, оскільки системність забезпечує необхідні складові захисту і встановлює між ними логічний і технологічний зв'язок, а комплексність, що вимагає повноти цих складових, всеосяжності захисту, забезпечує її надійність»
Розділ 2. МЕТОДИ І ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЇ В ІНФОРМАЦІЙНИХ СИСТЕМАХ
Сукупність методів і засобів захисту інформації включає програмні й апаратні засоби, захисні перетворення та організаційні заходи (рис. 8.1).
Апаратний, або схемний, захист полягає в тому, що в приладах ЕОМ та інших технічних засобах обробки інформації передбачається наявність спеціальних схем, що забезпечують захист і контроль інформації, наприклад, схеми контролю на чесність, які контролюють правильність передачі інформації між різними приладами ЕОМ, а також екрануючими приладами, що локалізують електромагнітні випромінювання.
Програмні методи захисту — це сукупність алгоритмів і програм, які забезпечують розмежування доступу та виключення несанкціонованого використання інформації.
Сутність методів захисних перетворень полягає в тому, що інформація, яка зберігається в системі та передається каналами зв'язку, подається в деякому коді, що виключає можливість її безпосереднього використання.
Організаційні заходи із захисту інформації містять сукупність дій з підбору та перевірки персоналу, який бере участь у підготовці й експлуатації програм та інформації, чітке регламентування процесу розробки та функціонування інформаційної системи.
Розділ 3. ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ РЕЖИМУ ЕЛЕКТРОННОГО ЦИФРОВОГО ПІДПИСУ
Закон України "Про електронний цифровий підпис", прийнятий 22 травня 2003 р. № 852-IV (далі — Закон № 852), набрав чинності 1 січня 2004 р. Цей закон визначає правовий статус електронного цифрового підпису і регулює відносини, що виникають під час використання електронного цифрового підпису.
У ст. 1 цього Закону подаються такі визначення.
Електронний цифровий підпис — вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа.
Особистий ключ — параметр криптографічного алгоритму формування електронного цифрового підпису, доступний тільки підписувачу.
Відкритий ключ — параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний суб'єктам відносин у сфері використання електронного цифрового підпису.
Підписувач — особа, яка на законних підставах володіє особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладає електронний цифровий підпис під час створення електронного документа.
Документом, який засвідчує чинність і належність відкритого ключа підписувачу, є сертифікат відкритого ключа (далі — сертифікат ключа), виданий центром сертифікації ключів.
Сертифікати ключів можуть розповсюджуватися в електронній формі або у формі документа на папері та використовуватися для ідентифікації особи підписувача.
Сертифікат ключа, що засвідчує відкритий ключ підписувача, згідно зі ст. 6 Закону містить такі обов'язкові дані:
найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру);
— зазначення, що сертифікат виданий в Україні;
— унікальний реєстраційний номер сертифіката ключа;
— основні дані (реквізити) підписувача — власника особистого ключа;
— дату і час початку та закінчення строку чинності сертифіката;
— відкритий ключ;
— найменування криптографічного алгоритму, що використовується власником особистого ключа;
— інформацію про обмеження використання підпису.
ВИСНОВКИ
На рівні підприємства організаційні методи є стрижнем комплексної системи управління інформаційними ризиками. Тільки за допомогою цих методів можливе об'єднання на правовій основі економічних, технічних, програмних і криптографічних засобів і методів забезпечення безпеки інформації в єдину комплексну систему.
Організаційні методи управління інформаційними ризиками можуть бути розділені на наступні групи:
• методи застосування засобів управління;
• методи безпосереднього управління інформаційними ризиками;
• методи загального менеджменту.
Велику групу організаційних методів управління інформаційними ризиками становлять методи застосування засобів управління ризиками. Для реалізації даних методів управління розробляються методики, інструкції, графіки, схеми, правила, функціональні обов'язки, які дозволяють персоналу застосовувати засоби управління інформаційними ризиками. За своєю сутністю це методи, які забезпечують застосування коштів у рамках певних технологій управління інформаційними ризиками.
Управління окремими інформаційними ризиками може здійснюватися без застосування спеціальних засобів. Такі методи використовуються, якщо організаційні методи ефективніше методів з використанням спеціальних засобів або коли організаційні методи використовуються на додаток до інших механізмів. В якості прикладів організаційних методів управління інформаційними ризиками, що мають самостійне значення, можуть служити такі організаційні методи: організація зберігання носіїв інформації в спеціальних сховищах, спільне виконання і контроль особливо відповідальних операцій, допуск в приміщення за участю контролерів і т.п.
До методів загального менеджменту віднесені методи управління, які виконуються на будь-якому підприємстві, при управлінні будь-якою системою: планування робіт, створення документації, збір, обробка та передача керуючої інформації, контроль, аудит і т.п.
Економічні методи управління інформаційними ризиками використовуються для забезпечення економічної ефективності застосування системи управління інформаційними ризиками. До економічних методів управління можуть бути віднесені наступні методи:
• визначення витрат на систему управління інформаційними ризиками;
• оцінки збитків від інформаційних ризиків;
• оптимізації загальних витрат на управління інформаційними ризиками;
• страхування інформаційних ризиків;
• створення резервів для мінімізації збитків.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Богуш В. Інформаційна безпека держави/ Володимир Богуш, Олександр Юдін,; Гол. ред. Ю. О. Шпак. -К.: «МК-Прес», 2009. -432 с.
2. Гуцалюк М. Інформаційна безпека України: нові загрози // Бизнес и безопасность. - 2008. - № 5. - C. 2-3
3. Інформаційна безпека України: проблеми та шляхи їх вирішення // Національна безпека і оборона. - 2010. - № 1. - C. 60-69
4. Кормич Б. Інформаційна безпека: організаційно-правові основи: Навчальний посібник/ Борис Кормич,. -К.: Кондор, 2005. -382 с.
5. Система забезпечення інформаційної безпеки України // Національна безпека і оборона. - 2007. - № 1. - C. 16-28
6. Щербина В. М. Інформаційне забезпечення економічної безпеки підприємств та установ // Актуальні проблеми економіки. - 2006. - № 10. - C. 220 - 225.