ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Інформаційна безпека
         

     

    Інформатика, програмування

    Інформаційна безпека.

    Введення.

    Інформаційна Ера призвела до драматичних змін у способі виконання своїх обов'язків для великої кількості професій. Тепер нетехнічний спеціаліст середнього рівня може виконувати роботу, яку раніше робив висококваліфікований програміст. Службовець має у своєму розпорядженні стільки точної та оперативної інформації, скільки ніколи не мав.

    Але використання комп'ютерів і автоматизованих технологій приводить до появи низки проблем для керівництва організацією. Комп'ютери, часто об'єднані в мережі, можуть надавати доступ до колосальної кількості найрізноманітніших даних. Тому люди турбуються про безпеку інформації і наявність ризиків, пов'язаних з автоматизацією і наданням набагато більшого доступу до конфіденційним, персональним чи іншим критичним даними. Все збільшується число комп'ютерних злочинів, що може призвести в кінцевому підсумку до підриву економіки. І тому повинно бути ясно, що інформація - це ресурс, який треба захищати.

    Відповідальність за захист інформації лежить на нижчому ланці керівництва. Але також хтось повинен здійснювати загальне керівництво цією діяльністю, тому в організації повинно матися особа у верхній ланці керівництва, яке відповідає за підтримання працездатності інформаційних систем.

    І так як автоматизація призвела до того, що тепер операції з обчислювальною технікою виконуються простими службовцями організації, а не спеціально підготовленим технічним персоналом, потрібно, щоб кінцеві користувачі знали про свою відповідальності за захист інформації.

    Метою цього документу є дати основи комп'ютерної безпеки для нижчої ланки управління, тобто для начальників відділів, керівників груп і т.п.

    При пограбуванні банку втрати в середньому становлять 19 тисяч доларів, а при комп'ютерному злочині - 560 тисяч доларів

    Кількість комп'ютерних злочинів зростає - також збільшуються масштаби комп'ютерних зловживань. За оцінкою фахівців США, збиток від комп'ютерних злочинів збільшується на 35 відсотків у рік і становить близько 3.5 мільярдів доларів. Однією з причин є сума грошей, що отримується в результаті злочину: у той час як збиток від середнього комп'ютерного злочину становить 560 тисяч доларів, при пограбуванні банку - всього лише 19 тисяч доларів.

    Шансів бути спійманим у комп'ютерного злочинця набагато менше, ніж у грабіжника банку - і навіть при затриманні у нього менше шансів потрапити до в'язниці. Виявляється в середньому 1 відсоток комп'ютерних злочинів. І вірогідність того, що за комп'ютерне шахрайство злочинець потрапить до в'язниці, менше 10 відсотків.

    Умисні комп'ютерні злочини складають помітну частину злочинів. Але зловживань комп'ютерами і помилок ще більше. Як висловився один експерт, "ми втрачаємо через помилки більше грошей, ніж могли б украсти". Ці втрати підкреслюють важливість і серйозність збитків, пов'язаних з комп'ютерами.

    Основною причиною наявності втрат, пов'язаних з комп'ютерами, є недостатня освіченість у галузі безпеки. Тільки наявність деяких знань в галузі безпеки може припинити інциденти і помилки, забезпечити ефективне застосування заходів захисту, запобігти злочину або своєчасно виявити підозрюваного. Обізнаність з кінцевим користувачем про заходи безпеки забезпечує чотири рівні захисту комп'ютерних та інформаційних ресурсів.

    1. Заходи захисту: чотири рівні захисту

    Запобігання - тільки авторизований персонал має доступ до інформації та технології

    Виявлення - забезпечується раннє виявлення злочинів і зловживань, навіть якщо механізми захисту були обійдені

    Обмеження - зменшується розмір втрат, якщо злочин все-таки відбулося незважаючи на заходи щодо його запобігання та виявлення

    Відновлення - забезпечується ефективне відновлення інформації при наявності документованих і перевірених планів з відновлення

    Вчора контроль за технологією роботи був турботою технічних адміністраторів. Сьогодні контроль за інформацією став обов'язком кожного нетехнічного кінцевого користувача. Контроль за інформацією вимагає нових знань і навичок для групи нетехнічних службовців. Хороший контроль за інформацією вимагає розуміння можливостей здійснення комп'ютерних злочинів та зловживань, щоб можна було в подальшому вжити контрзаходи проти них.

    Коли комп'ютери вперше з'явилися, вони були доступні лише невеликій кількості людей, які вміли їх використовувати. Зазвичай вони містилися у спеціальних приміщеннях, територіально віддалених від приміщень, де працювали службовці. Сьогодні всі змінилося. Комп'ютерні термінали і настільні комп'ютери використовуються скрізь. Комп'ютерне обладнання стало дружнім до користувача, тому багато людей можуть швидко й легко навчитися тому, як його використовувати.

    Число службовців в організації, що мають доступ до комп'ютерного обладнання та інформаційної технології, постійно зростає. Доступ до інформації більше не обмежується лише вузьким колом осіб з верхнього керівництва організації. Цей процес призвів до того, що відбулася "демократизація злочину ". Чим більше людей отримувало доступ до інформаційної технології та комп'ютерного обладнання, тим більше виникало можливостей для здійснення комп'ютерних злочинів.

    Важко узагальнювати, але тепер комп'ютерним злочинцем може бути ...

    кінцевий користувач, не технічний службовець і не хакер

    той, хто не стоїть на керівній посаді

    той, у кого немає судимостей

    розумний, талановитий співробітник

    той, хто багато працює

    той, хто не розбирається в комп'ютерах

    той, кого ви підозрювали б в останню чергу

    саме той, кого ви взяли б на роботу

    Комп'ютерним злочинцем може бути будь-який

    Типовий комп'ютерний злочинець - це не молодий хакер, який використовує телефон та домашню комп'ютер для отримання доступу до великих комп'ютерів. Типовий комп'ютерний злочинець - це службовець, якому дозволено доступ до системи, нетехнічних користувачем якої він є. У США комп'ютерні злочини, вчинені службовцями, складають 70-80 відсотків щорічного збитку, пов'язаного з комп'ютерами. Решта 20 відсотків дають дії нечесних і незадоволених співробітників. І відбуваються вони з цілої низки причин.

    Чому люди скоюють комп'ютерні злочини

    особиста або фінансова вигода

    розвага

    помста

    спроба домогтися розташування будь-кого до себе

    самовираження

    випадковість

    вандалізм

    Але значно більшої шкоди, близько 60 відсотків усіх втрат, завдають помилки людей та інциденти. Запобігання комп'ютерних втрат, як з-за умисних злочинів, так і з-за ненавмисних помилок, вимагає знань в області безпеки. Опитування, що проводяться періодично в США, показують, що саме службовці, які мали знання в області комп'ютерної безпеки, були основною причиною виявлення комп'ютерних злочинів.

    Ознаки комп'ютерних злочинів :

    Звертайте увагу на:

    неавторизоване використання комп'ютерного часу

    неавторизовані спроби доступу до файлів даних

    крадіжки частин комп'ютерів

    крадіжки програм

    фізичне руйнування обладнання

    знищення даних або програм

    неавторизоване володіння дискетами, стрічками або роздруківками

    І це лише найбільш очевидні ознаки, на які слід звернути увагу при виявленні комп'ютерних злочинів. Іноді ці ознаки говорять про те, що злочин вже вчинено, або що не виконуються заходи захисту. Вони також можуть свідчити про наявність вразливих місць - вказати, де знаходиться діра в захисті - і допомогти намітити план дій з усунення уразливого місця. У той час як ознаки можуть допомогти виявити злочин або зловживання - заходи захисту можуть допомогти запобігти його.

    Заходи захисту - це заходи, введені керівництвом, для забезпечення безпеки інформації - адміністративні керівні документи (накази, положення, інструкції), апаратні пристрої або додаткові програми - основною метою яких є запобігти злочину і зловживання, не дозволивши їм відбутися. Заходи захисту можуть також виконувати функцію обмеження, зменшуючи розмір збитку від злочину.

    2.Інформаціонная безпека

    Те, що в 60-і роки називалося комп'ютерною безпекою, а в 70-ті - безпекою даних, зараз більш правильно іменується інформаційною безпекою. Інформаційна безпека підкреслює важливість інформації в сучасному суспільстві - розуміння того, що інформація - це цінний ресурс, щось більше, ніж окремі елементи даних.

    Інформаційної безпекою називають заходи щодо захисту інформації від несанкціонованого доступу, руйнування, модифікації, розкриття і затримок у доступі . Інформаційна безпека включає в себе заходи по захисту процесів створення даних, їх введення, обробки і виводу. Метою інформаційної безпеки є убезпечити цінності системи, захистити і гарантувати точність і цілісність інформації, і мінімізувати руйнування, які можуть мати місце, якщо інформація буде модифікована або зруйнована. Інформаційна безпека вимагає врахування всіх подій, в ході яких інформація створюється, модифікується, до неї забезпечується доступ або вона поширюється.

    Інформаційна безпека дає гарантію того, що досягаються наступні цілі:

    конфіденційність критичної інформації

    цілісність інформації та пов'язаних з нею процесів (створення, введення, обробки і виведення)

    доступність інформації, коли вона потрібна

    облік усіх процесів, пов'язаних з інформацією

    Деякі технології по захисту системи і забезпечення обліку всіх подій можуть бути вбудовані в сам комп'ютер. Інші можуть бути вбудовані в програми. Деякі ж виконуються людьми і є реалізацією вказівок керівництва, що містяться в відповідних керівних документах. Прийняття рішення про вибір рівня складності технологій для захисту системи вимагає встановлення критичності інформації і наступного визначення адекватного рівня безпеки.

    Що ж таке критичні дані? Під критичними даними будемо розуміти дані, які вимагають захисту через імовірність нанесення (ризику) шкоди та її величини в тому випадку, якщо відбудеться випадкове або навмисне розкриття, зміна, або руйнування даних. Цей термін включає в себе дані, чиє неправильне використання або розкриття може негативно відбитися на здатності організації вирішувати свої завдання, персональні дані та інші дані, захист яких потрібно указами Президента РФ, законами РФ та іншими підзаконними документами.

    Злочини та зловживання

    Аналіз зарубіжних і вітчизняних звітів про виявлені комп'ютерних злочинах дозволяє описати основні технології їх здійснення. Лише деякі з них включають руйнування комп'ютерів або даних. Тільки у 3 відсотках шахрайств і 8 відсотках зловживань відбувалося спеціальне обладнання руйнування, знищення програм або даних. У більшій частині випадків шахрайств і зловживань використовувалася інформація - нею маніпулювали, її створювали, її використовували.

    П'ять основних технологій, що використовувалися при скоєнні комп'ютерних злочинів :

    Шахрайства

    Введення неавторизованої інформації

    Маніпуляції дозволеної для введення інформацією

    Маніпуляції або неправильне використання файлів з інформацією

    Створення неавторизованих файлів з інформацією

    Обхід внутрішніх заходів захисту

    Зловживання

    Крадіжка комп'ютерного часу, програм, інформації та обладнання

    Введення неавторизованої інформації

    Створення неавторизованих файлів з інформацією

    Розробка комп'ютерних програм для неслужбовий використання

    Маніпулювання або неправильне використання можливостей з проведення робіт на комп'ютерах

    З іншого боку варто розглянути основні методи, що використовувалися для їх здійснення. Вони включають:

    Надувательство з даними. Напевно, найпоширеніший метод при здійсненні комп'ютерних злочинів, так як він не вимагає технічних знань і відносно безпечний. Інформація змінюється в процесі її введення в комп'ютер або під час виводу. Наприклад, при введенні документи можуть бути замінені фальшивими, замість робочих дискет підсунуті чужі, і дані можуть бути сфальсифіковані.

    Сканування. Інший поширений метод отримання інформації, що може призвести до злочину. Службовці, які читають файли інших, можуть знайти там персональну інформацію про своїх колег. Інформація, що дозволяє отримати доступ до комп'ютерних файлів або змінити їх, може бути знайдена після перегляду сміттєвих кошиків. Дискети, залишені на столі, можуть бути прочитані, скопійовані, і вкрадені. Дуже хитрий скануючий може навіть переглядати залишкову інформацію, що залишилася на комп'ютері або на носії інформації після виконання співробітником завдання і видалення своїх файлів.

    Троянський кінь. Цей метод передбачає, що користувач не помітив, що комп'ютерна програма була змінена таким чином, що включає в себе додаткові функції. Програма, що виконує корисні функції, пишуться таким чином, що містить додаткові приховані функції, які будуть використовувати особливості механізмів захисту системи (можливості користувача, що запустив програму, за доступу до файлів)

    Люк. Цей метод заснований на використанні прихованого програмного або апаратного механізму, що дозволяє обійти методи захисту в системі. Цей механізм активується деяким неочевидним чином. Іноді програма пишеться таким чином, що специфічне подія, наприклад, число транзакцій, оброблених в певний день, викличе запуск неавторизованого механізму.

    Технологія салямі Названа так через те, що злочин відбувається поволі, невеликими частинами, настільки маленькими, що вони непомітні. Зазвичай ця технологія супроводжується зміною комп'ютерної програми. Наприклад, платежі можуть заокруглюватимуть до декількох центів, і різниця між реальною та округленої сумою вступати на спеціально відкритий рахунок зловмисника.

    Суперотключеніе . Названа на ім'я програм, що використовувалася в ряді комп'ютерних центрів, що обходили системні заходів захисту і використовувалася при аварійних ситуаціях. Володіння цим "майстер-ключем" дає можливість у будь-який час отримати доступ до комп'ютера і інформації, що знаходиться в ньому.

    Ознаки

    Наступні ознаки можуть свідчити про наявність вразливих місць в інформаційній безпеки.

    Не розроблено положень про захист інформації або вони не дотримуються. Чи не призначено відповідальний за інформаційну безпеку.

    Паролі пишуться на комп'ютерних терміналах, зберігаються в загальнодоступні місця, ними діляться з іншими, або вони з'являються на комп'ютерному екрані при їх введенні

    Віддалені термінали і мікрокомп'ютери залишаються без нагляду в робочі і неробочі годинник. Дані відображаються на комп'ютерних екранах, залишених без нагляду.

    Не існує обмежень на доступ до інформації, або на характер її використання. Усі користувачі мають доступ до всієї інформації і можуть використовувати всі функції системи.

    Не ведеться системних журналів, і не зберігається інформація про те, хто і для чого використовує комп'ютер.

    Зміни до програми можуть вноситися без їх попереднього затвердження керівництвом.

    Відсутня документація або вона не дозволяє робити наступне: розуміти одержувані звіти і формули, за якими виходять результати, модифікувати програми, готувати дані для введення, виправляти помилки, робити оцінку заходів захисту, і розуміти самі дані - їх джерела, формат зберігання, взаємозв'язку між ними.

    Робляться численні спроби увійти в систему з неправильними паролями.

    вводяться дані не перевіряються на коректність та точність, або при їх перевірці багато даних відкидається через помилки в них, потрібно зробити багато виправлень уданих, що не робиться записів в журналах про відкинутих транзакції.

    Мають місце виходи з ладу системи, що приносять великі збитки

    Не проводився аналіз інформації, що обробляється в комп'ютері, з метою визначення необхідного для неї рівня безпеки

    Мало уваги приділяється інформаційної безпеки. Хоча політика безпеки і існує, більшість людей вважає, що насправді вона не потрібна.

    3. Заходи захисту інформації .

    1. Контролюйте доступ як до інформації в комп'ютері, так і до прикладних програм. Ви повинні мати гарантії того, що лише авторизовані користувачі мають доступ до інформації і додатків.

    Ідентифікація користувачів


    Вимагайте, щоб користувачі виконували процедури входу в комп'ютер, і використовуйте це як засіб для ідентифікації на початку роботи. Щоб ефективно контролювати мікрокомп'ютер, може виявитися найбільш вигідним використовувати його як однокористувацький систему. Зазвичай у мікрокомп'ютера немає процедур входу в систему, право використовувати систему надається простим включенням комп'ютера.

    Аутентифікація користувачів


    Використовуйте унікальні паролі для кожного користувача, які не є комбінаціями особистих даних користувачів, для аутентифікації особи. Впровадити заходи захисту при адмініструванні паролів, і ознайомтеся користувачів з найбільш загальними помилками, що дозволяють здійснитися комп'ютерного злочину ..

    Інші заходи захисту:

    Паролі - тільки один з типів ідентифікації - щось, що знає тільки користувач. Двома іншими типами ідентифікації, які теж ефективні, є щось, чим володіє користувач (наприклад, магнітна карта), або унікальні характеристики користувача (його голос).

    Якщо в комп'ютері є вбудований стандартний пароль (пароль, який вбудований в програми і дозволяє обійти заходи з управління доступом), обов'язково змініть його.

    Зробіть так, щоб програми в комп'ютері після входу користувача в систему повідомляли йому час його останнього сеансу і число невдалих спроб встановлення сеансу після цього. Це дозволить зробити користувача складовою частиною системи перевірки журналів.

    Захищайте ваш пароль

    не ділитеся своїм паролем ні з ким

    вибирайте пароль важко вгадувані

    спробуйте використовувати рядкові і прописні букви, цифри, або виберіть знамените вислів і візьміть звідти кожну четверту літеру. А ще краще дозвольте комп'ютера самому згенерувати ваш пароль.

    не використовуйте пароль, який є вашою адресою, псевдонімом, іменем дружини, телефонним номером або чим-небудь очевидним.

    використовуйте довгі паролі, тому що вони більш безпечні, краще за все від 6 до 8 символів

    забезпечте неотображаемость пароля на екрані комп'ютера при його введенні

    забезпечте відсутність паролів в роздруківках

    не записуйте паролі на столі, стіні або терміналі. Тримайте його в пам'яті

    Серйозно ставитеся до адміністрування паролів

    періодично змінюйте паролі і робіть це не за графіком

    шифруйте або робіть що-небудь ще з файлами паролів, що зберігаються в комп'ютері, для захисту їх від несанкціонованого доступу.

    призначайте на посаду адміністратора паролів тільки самого надійного людини

    не використовуйте один і той самий пароль для всіх співробітників у групі

    змінюйте паролі, коли людина звільняється

    змушуйте людей розписуватися за отримання паролів

    встановіть і упровадите правила роботи з паролями і забезпечте, щоб всі знали їх

    Процедури авторизації

    Розробіть процедури авторизації, які визначають, хто з користувачів повинен мати доступ до тієї чи іншої інформації і додатків - і використовуйте відповідні заходи щодо впровадження цих процедур в організації.

    Встановіть порядок в організації, при якому для використання комп'ютерних ресурсів, отримання дозволу доступу до інформації і додатків, і отримання пароля потрібен дозвіл тих чи інших начальників.

    Захист файлів

    Крім ідентифікації користувачів і процедур авторизації розробіть процедури по обмеження доступу до файлів з даними:

    використовуйте зовнішні і внутрішні мітки файлів для вказівки типу інформації, який вони містять, і необхідного рівня безпеки

    обмежте доступ до приміщень, в яких зберігаються файли даних, такі як архіви і бібліотеки даних

    використовуйте організаційних заходів та програмно-апаратні засоби для обмеження доступу до файлів тільки авторизованих користувачів

    заходи при роботі

    відключайте невживані термінали

    закривайте кімнати, де знаходяться термінали

    розвертайте екрани комп'ютерів так, щоб вони не були видні з боку дверей, вікон і тих місць у приміщеннях, які не контролюються

    встановіть спеціальне устаткування, таке як пристрої, що обмежують число невдалих спроб доступу, або роблять зворотний дзвінок для перевірки особистості користувачів, що використовують телефони для доступу до комп'ютера

    програмуйте термінал відключатися після певного періоду невикористання

    якщо це можливо, вимикайте систему в неробочі години

    2. Захищайте цілісність інформації. Введена інформація повинна бути авторизуємо, повна, точна і повинна піддаватися перевіркам на помилки.

    Цілісність інформації

    перевірки точність інформації за допомогою процедур порівняння результатів обробки з передбачуваними результатами обробки. Наприклад, можна порівнювати суми або перевіряти послідовні номери.

    перевірки точність даних, що вводяться, вимагаючи від службовців виконувати перевірки на коректність, такі як:

    перевірки на знаходження символів в допустимому діапазоні символів (числовому або буквеному)

    перевірки на знаходження числових даних в допустимому діапазоні чисел

    перевірки на коректність зв'язків з іншими даними, що порівнює вхідні дані з даними в інших файлах

    перевірки на розумність, які порівнюють вхідні дані з очікуваними стандартними значеннями

    обмеження на транзакції, які порівнюють вхідні дані з адміністративно встановленими обмеженнями на конкретні транзакції

    трасують транзакції в системі

    Робіть перехресні перевірки вмісту файлів за допомогою зіставлення кількості записів або контролю суми значень поля запису.

    3. Захищайте системні програми. Якщо програмне забезпечення використовується спільно, захищайте його від прихованої модифікації за допомогою політики безпеки, заходів захисту при його розробці та контроль за ним в його життєвому циклі, а також навчання користувачів в області безпеки.

    Заходи захисту при розробці програм та відповідні політики повинні включати процедури внесення змін до програми, її приймання та тестування до введення в експлуатацію. Політики повинні вимагати дозволу відповідальної особи з керівництва для внесення змін до програми, обмеження списку осіб, кому дозволено вносити зміни і явно описувати обов'язки співробітників з ведення документації.

    Повинен бути розроблений і підтримуватися каталог прикладних програм.

    Повинні бути впроваджені заходи захисту щодо запобігання отримання, зміни або додати програм неавторизованими людьми через віддалені термінали.

    4. Зробіть заходи захисту більш адекватними за допомогою залучення організацій, що займаються тестуванням інформаційної безпеки, при розробці заходів захисту у прикладних програмах і консультуйтеся з ними при визначенні необхідності тестів і перевірок при обробці критичних даних. Контрольні журнали, вбудовані в комп'ютерні програми, можуть запобігти або виявити комп'ютерне шахрайство та зловживання.

    повинна мати контрольні журнали для спостереження за тим, хто з користувачів оновлював критичні інформаційні файли

    Якщо критичність інформації, що зберігається в комп'ютерах, вимагає контрольних журналів, то важливі як заходи фізичного захисту, так і заходи з управління доступом.

    У комп'ютерній мережі журнали повинні зберігатися на хості, а не на робочій станції.

    Контрольні журнали не повинні відключатися для підвищення швидкості роботи.

    Роздруківки контрольних журналів повинні проглядатися досить часто і регулярно.

    5. Розгляньте питання про комунікаційної безпеки. Дані, що передаються по незахищеним лініях, можуть бути перехоплені.

    4.Мери фізичної безпеки

    1.Предотвратіть зловмисні руйнування, неавторизоване використання або крадіжку

    ПЕОМ можуть бути замкнені в кімнатах і доступ до них може бути обмежений за допомогою пристроїв блокування клавіатури і т.п. Переконайтеся, що люди дотримують свої обов'язки по використанню комп'ютерів і їх можна проконтролювати.

    Якщо інформація обробляється на великому обчислювальному центрі, перевірте, як контролюється фізичний доступ до обчислювальної техніки. Можуть виявитися доречними такі методи, як журнали, замки і пропуску, а також охорона.

    Введення критичної інформації вимагає правильного поводження з вихідними документами. Правильне звернення означає дотримання однакових правил роботи з документами, незалежно від того, використовуються вони в автоматизованій системі чи ні. Правила роботи можуть включати роботу у безпечному приміщенні, облік документів у журналах, гарантії того, що тільки люди, які мають відповідний допуск, можуть ознайомитися з цими документами, і використання пристроїв знищення документів (бумагорезок і т.п.).

    Уважно проаналізуйте розміщення комп'ютерів. Чи не занадто вони доступні неавторизованих людям або надмірно уразливі до стихійних лих?

    Ви повинні мати уявлення про основні схемах супроводу сторонніх. Наприклад, авторизований співробітник повинен супроводжувати в комп'ютерній зоні відвідувача з комп'ютерними роздруківками або людини, яка заявляє, що він технік з ремонту комп'ютерів.

    Ви повинні знати, хто має право доступу до приміщень з комп'ютерним обладнанням і виганяти звідти сторонніх осіб.

    Багато людей вважають, що двері, оснащені замками та охоронювані людьми, забезпечують фізичну безпеку. Але електромагнітні випромінювання від комп'ютерів можуть бути перехоплені і таким чином може бути прочитана інформація з екрану. Рекомендовані заходи захисту від цього повинні враховувати необхідний рівень безпеки і той факт, що такий перехоплення вкрай рідкісний, але може і відбутися.

    Можуть бути зроблені недорогі запобіжні заходи, які гарантуватимуть, що телефонні та комп'ютерні канали зв'язку в змозі виконувати свої функції і є безпечними. У мережі може бути потрібно виділений канал зв'язку - він не виконує інші функції. З іншого боку виділення персональної ЕОМ для роботи на ній однієї програми може виявитися найбільш ефективним засобом захисту.

    Для будь-якої з основних трьох технологій для передачі автоматизованої інформації існує технологія перехоплення: кабель (підключення до кабелю), супутник (антена прийому сигналу з супутника), радіохвилі (радіоперехоплення).

    Технології захисту, які можуть бути використані, включають шифрування інформації, використання виділених ліній, модеми з функцій безпеки, і використання скремблірованіе голосових переговорів.

    2. Стихійні лиха можуть завдати великої шкоди як для великих, так і маленьким компаніям.

    Прийміть заходи щодо запобігання, виявлення та мінімізації збитків від пожежі, повені, забруднення навколишнього середовища, високих температур і стрибків напруги.

    Захищайтеся від пожежі за допомогою регулярної перевірки пожежної сигналізації та систем пожежогасіння. Захищайте ПЕОМ за допомогою кожухів, щоб вони не були пошкоджені системою пожежогасіння. Не зберігайте горючі матеріали в цих приміщеннях.

    Статична електрика може очистити пам'ять в ПЕОМ. Антистатичні килимки можуть запобігти цьому. Користувачам слід нагадувати про зняття заряду з себе за допомогою дотику до заземленого об'єкту.

    Скачки напруги можуть очистити пам'ять, змінити програми і зруйнувати мікросхеми. Пристрій безперебійного живлення (УБП) дає достатньо часу, щоб вимкнути комп'ютер без втрати даних. Захистити комп'ютери від короткочасних кидків харчування можуть фільтри напруги. У грозу незахищені ПЕОМ можуть бути відключені і виключені з мережі.

    Температура в приміщенні може контролюватися кондиціонерами та вентиляторами, а також хорошою вентиляцією в приміщенні. Проблеми з надмірно високою температурою можуть виникнути в стійках периферійного обладнання або через закриття вентиляційного отвору в терміналах або ПЕОМ.

    Повітряні фільтри можуть очистити повітря від шкідливих речовин у ньому, що можуть завдати шкоду комп'ютерам і дисків. Слід заборонити палити біля ПЕОМ.

    Розміщуйте комп'ютери подалі від того, що може бути джерелом великої кількості води, наприклад трубопроводів, звичайно затоплювались приміщень або не використовуйте систему пожежогасіння, якщо є інші способи захисту від пожежі.

    Тримайте їжу і напої подалі від комп'ютера.

    Утримайте обладнання в порядку. Слідкуйте й враховуйте в журналах ремонт техніки. Це дозволить проконтролювати, хто мав доступ до системи. Пам'ятайте, що бригади ремонтників повинні проводити правильну ідентифікацію себе.

    3. Захищайте всі носії інформації (вихідні документи, стрічки, картриджі, диски, роздруківки)

    ведіть, контролюйте і перевіряйте реєстри носіїв інформації

    навчайте користувачів правильним методам очищення і знищення носіїв інформації

    робіть мітки на носіях інформації, що відображають рівень критичності інформації, яка в них міститься.

    викидайте носії інформації відповідно до плану організації

    переконайтеся, що доступ до носіїв інформації для їх зберігання, передачі, нанесення міток, і знищення наданий тільки для авторизованих людям

    доведіть всі керівні документи до співробітників

    Подумайте про можливість опублікування наступних рекомендацій в загальнодоступному місці:

    Диски вразливі

    зберігайте їх у конвертах та коробках

    не пишіть на конвертах

    НЕ гнити їх

    не торкайтеся самих дисків

    обережно вставляйте їх у комп'ютер

    НЕ розливайте на них напої

    тримайте їх подалі від джерел магнітного поля

    зберігайте їх у металевих сейфах

    працюйте з дисками відповідно до маркування критичності на них

    Правильне звернення забезпечує захист

    прибирайте диски і стрічки, коли не працюєте з ними

    зберігайте їх розкладеними по полицях в певному порядку

    не давайте носії інформації з критичною інформацією неавторизованих людям

    віддавайте пошкоджені диски з критичною інформацією тільки після їх розмагнічування або аналогічної процедури

    викидайте критичну інформацію на дисках за допомогою їх розмагнічування або фізичної руйнування відповідно до порядку у вашій організації

    викидайте роздруку і фарбувальні стрічки від принтерів з критичною інформацією в відповідно до порядку у вашій організації.

    забезпечте безпеку роздруківок паролів і іншої інформації, що дозволяє отримати доступ до комп'ютера

    4. Переконайтеся, що існують адекватні плани дій при ПП (плани забезпечення безперервної роботи). Пам'ятайте, що метою цих планів є гарантії того, що користувачі зможуть продовжувати виконувати найголовніші свої обов'язки в разі неможливості роботи з інформаційної технології. Кінцеві користувачі інформаційної технології, а також обслуговуючий персонал, повинні знати, як їм діяти за цим планам.

    Плани забезпечення безперервної роботи і відновлення (ОНРВ) повинні бути написані, перевірені і регулярно доводиться до співробітників.

    ОНРВ повинні враховувати наявність операцій архівації, тобто як буде оброблятися інформація, якщо комп'ютери, на яких вона оброблялася звичайно, не можна використовувати, і необхідність відновлення втраченої або зруйнованої інформації.

    Особливо для ПЕОМ ОНРВ повинні враховувати вихід з ладу тієї чи іншої техніки, наприклад вихід з ладу мережного принтера.

    Процедури і техніка повинні плануватися з розрахунку на пожежу, зате?? ня і т.д.

    Зберігайте архівні копії, включаючи план ОНРВ, в надійному місці, віддаленому від основних приміщень, які займає комп'ютерами.

    Процедури плану повинні бути адекватні рівню безпеки і критичності інформації.

    Знайте, що робити у випадку НС, і будьте знайомі з планом ОНРВ
    Пам'ятайте, що план ОНРВ може застосовуватися в умовах плутанини і паніки. Тренування ваших співробітників життєво необхідні.

    Список літератури.

    Медведовский І.Д., Семьянов П.В., Леонов Д.Г. "Атака на інтернет"

    Видавничого дому "Відкриті Системи" (Lan Magazine/Журнал мережевих рішень, 1996, том 2, # 7)

    Видавничого дому "Відкриті Системи" (Мережі, 1997, # 8)

    "Office" N5 1999 Олександр Буров "Людський фактор і безпека"

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status