Защита информации в экономических информационных системах

К основным средствам  защиты, используемым для создания механизма защиты, относятся следующие:

1. Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.
2. Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций зашиты информации.
3. Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).
4. Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США.
5. Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Для реализации мер безопасности используются различные механизмы  шифрования (криптографии). Криптография — это наука об обеспечении  секретности и/или аутентичности (подлинности) передаваемых сообщений.

Сущность криптографических  методов заключается в том, что  для предотвращения несанкционированного доступа к какому-либо сообщению  оно зашифровывается. Когда санкционированный  пользователь получает это сообщение, он дешифрует или раскрывает его посредством обратного преобразования криптограммы.

Криптографическая система  основывается на использовании специального алгоритма, который запускается  уникальным числом, называемым шифрующим  ключом. Для обмена зашифрованными сообщениями, как отправителю, так и получателю необходимо знать правильную ключевую установку и хранить ее в тайне.

Наряду с шифрованием  используются и другие механизмы  безопасности:

- цифровая (электронная)  подпись;

- контроль доступа;

- обеспечение целостности данных;

- обеспечение аутентификации;

- управление маршрутизацией;

- арбитраж или освидетельствование. 

  Механизмы цифровой подписи основываются на алгоритмах ассиметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем.

Механизмы контроля доступа осуществляют проверку полномочий объектов ИТ (программ и пользователей) на доступ к ресурсам сети.

Механизмы обеспечения целостности данных  реализуются выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке.

Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по физически ненадежным каналам.

Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами ИТ, третьей стороной (арбитром).

Для обеспечения непрерывной  защиты информации в АИС целесообразно

создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.

 

 

Глава 3. Принципы построения системы информационной

безопасности  и основные виды защиты информации в экономических информационных системах.

 

Неоднородность сферы  деятельности различных организаций, фирм, банков делает объективно необходимым конкретизацию стратегий  защиты информации и управления ими в случае серьёзного нарушения или кризиса.  Так подход побуждает разрабатывать различные концепции информационной безопасности в зависимости от размеров организации (малый, средний, крупный бизнес), сфер деятельности (финансовая, производственная, внешнеторговая и пр.), национальных и региональных особенностей.

Для крупных корпораций характерна сложная, территориально-распределённая структура с многоуровневым и  многозвенным построением. Масштабы деятельности и объёмы выпускаемой продукции, услуг могут носить региональный, глобальный характер.

Информационный ресурс корпоративного управления особенно уязвим и требует качественной и надёжной защиты, так как информационная структура  организаций разнородна.

Для целей информационной безопасности информации в экономических системах, создаётся необходимая инфраструктура, используются надёжные программы взаимодействия с интернетом.

Однако в наше время  работа с интернетом не безопасна. Интернет является главным разносчиком вирусов, червей и прочих вредоносных программ, которые нарушают безопасность информации любой экономической информационной системы.

Рассмотрим некоторые  аспекты защиты информации в Сети. Определим основные требования к  проведению операций в Сети — конфиденциальность, целостность, аутентификацию, авторизацию, гарантии сохранения тайны. Для обеспечения безопасности и конфиденциальности информации в Интернет необходима целенаправленная политика, основанная на межгосударственных договоренностях.

Основные вероятные  угрозы для информации в Интернете и имеющиеся способы их устранения приведены в таблице 3.1. 

Угроза	Решение	Действие	Технология
Данные преднамеренно  перехватываются, читаются или изменяются	Шифрование	Кодирование данных, препятствие к их прочтению или искажению	Симметричное или асимметричное шифрование
Пользователи неправильно идентифицируют себя (с мошенническими целями)	Аутентификация	Проверка подлинности  отправителя и получателя	Цифровые подписи
Пользователь получает несанкционированный доступ из одной  сети в другую	Брандмауэр	Фильтрация графика, поступающего в сеть или на сервер	Брандмауэры, виртуальные  частные сети

 

 

Таблица 3.1. Угрозы безопасности и методы их устранения.

(Адамадзиев К.Р., Асхабова А.Н. Информационные системы в экономике: Учебное пособие. – Махачкала: 2002. - 138с.)

Иногда в работе экономических  информационных сетях требуется  обмен документами или любыми иными данными, которые осуществляются через интернет. При этом возникают  угрозы для сетевых компьютеров,  вследствие чего подвергаются угрозе и документы и иная необходимая информация на компьютере.

Существуют  четыре основных источника возникновения  угрозы для сетевых компьютеров:

- выбор законным пользователем  неудачного пароля;

- привнесение (импорт) разрушающего программного обеспечения;

- проникновение незаконных пользователей в системы, которое происходит вследствие ошибок в конфигурации программных средств;

- проникновение в системы  незаконных пользователей, которое  происходит вследствие дефектов  в средствах обеспечения безопасности  операционных систем.

Одним из простых средств  защиты является парольная система. Большинство пользователей выбирают пароли, удобные для себя. По данным CERT 80% взломов компьютеров обусловлено  неудачным выбором паролей.

Рекомендуются следующие правила выбора пароли:

- составлять его не менее из шести символов;

-  включать в него  как строчные, так и прописные  буквы и цифры;

-  регулярно менять  пороли.   

Распространенным источником проблем безопасности является импорт программного обеспечения.

Переписывая программное  обеспечение на свой компьютер, пользователь подвергает его опасности. Коллективное использование программ выгодно, но при этом возникает серьезный риск. Чтобы свести его к минимуму, следует стараться приобретать серийное программное обеспечение у надежных фирм, а также соблюдать некоторые правила:

- пользоваться официальными  источниками; 

- если это возможно, следует постараться добыть исходные  тексты программ и изучить  их перед установкой, а также  убедиться в том, что программа  не делает ничего странного;

- перед установкой  программного обеспечения на  важный, интенсивно используемый  компьютер, следует проверить  это программное обеспечение  сначала на другом, менее критичном; 

- перед тем как использовать  полученное программное обеспечение,  следует сделать резервные копии всех своих файлов.    

Очень опасными в информационных системах являются ошибки в конфигурации программного обеспечения, а также  дефекты защиты в системном программном  обеспечении. Если обнаруживаются дефекты  в операционных системах, они либо оперативно устраняются, либо быстро разрабатываются обходные процедуры.

Если у  пользователя возникли подозрения, что  защита компьютера нарушена, необходимо сделать следующее:

-  проверить файл  паролей  на предмет наличия  в нем необычных элементов;

- получить список всех задач и посмотреть, не выполняются ли в данный момент какие-нибудь необычные системные задачи;

- получить расширенный  список файлов своего рабочего  каталога и всех остальных  каталогов, которые кажутся слишком  большими или измененными;

- найти незнакомые файлы или подозрительные даты изменения.

Если периодически производить  такую проверку, то подозрительные симптомы (если таковые возникнут) сразу  могут броситься в глаза.                   

При обнаружении чего-то подозрительного, следует обратиться за помощью в отдел компьютерной безопасности своей фирмы или обратиться к фирме-поставщику.

Очень важную роль в  защите информации экономических систем играет законодательный уровень, который  основан на  законах, указах и других нормативно-правовых актах, регламентирующие правила обращения с информацией.

В рамках обеспечения  информационной безопасности следует  рассмотреть на законодательном  уровне две группы мер:

· меры, направленные на создание и поддержание в обществе негативного (в

том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;

· направляющие и координирующие меры, способствующие повышению

образованности общества в области информационной безопасности, помогающие в разработке и распространении  средств обеспечения информационной безопасности принять адекватные меры по борьбе с этим видом противоправных деяний, в т.ч. и уголовно-правовых. Главным является вступление в законную силу с 1 января 1997 г.

нового Уголовного кодекса  РФ, в который впервые включена глава «преступления в сфере компьютерной информации».

Преступлениями в сфере  компьютерной информации являются: неправомерный  доступ к компьютерной информации (ст. 272 УК); создание, использование и  распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (274 УК). На рисунке 3.1. представлена объективная сторона преступления по статье 272.

Рис. 3.1 Объективная сторона  преступления.

На рисунке 3.2. представлена объективная сторона преступления по статье 274.

Рис . 3.2. объективная сторона  преступления.

Кроме законодательного не менее важным является управленческий уровень. На данном уровне осуществляется выработка политики обеспечения  информационной безопасности. Для осуществления  такой политики выделяются определённые виды защиты информации.

Виды защиты в экономических  информационных системах классифицируются по направлениям защиты. К основным из них относятся:

- защита информации  от несанкционированного доступа;

- защита информации  в системах связи;

- защита юридической  значимости электронных документов;

- защита конфиденциальной  информации от утечки по каналам  побочных электромагнитных излучений  и наводок;

- защита информации  от компьютерных вирусов и  других опасных воздействий по  каналам распространения программ;