Защита информационной системы от несанкционированного доступа.




Опасное воздействие на информационную систему можно подразделить

  • Случайное -
  • Преднамеренное

Причинами случайных воздействий при эксплуатации информационной системы могут быть аварийные ситуации из-за стихийных бедствий и отключений электропитания/отказы и сбои аппаратуры/ошибки в программном обеспечении/ошибки в работе персонала/помехи в линиях связи из-за воздействия внешней среды.

Преднамеренное воздействие - целенаправленное действие нарушителя, в качестве нарушителя могут выступать служащие, посетители, конкуренты, наемник.

Действия нарушителя могут быть обусловлены разными мотивами:

  1. Недовольство служащего своей карьерой;
  2. Взяткой
  3. Конкурентной борьбой
  4. Стремлением самоутвердиться любой ценой
  5. И иные

Гипотетическая модель потенциального нарушителя:

  1. Квалификация нарушителя на уровне разработчика данной системы
  2. Нарушителем может быть как постороннее лицо, так и законный пользователь системы.
  3. Нарушителю известна информация о принципах работы системы.
  4. Нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным видом компьютерных нарушений является несанкционированный доступ к информации.

Несанкционированный доступ - это чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.

К перечню каналов несанкционированного доступа относятся:

  1. Через человека
    1. Хищение носителя информации
    2. Чтение информации с экрана/клавиатуры
    3. Чтение информации из распечатки
  2. Через программы
    1. Копирование информации с носителя
    2. Перехват паролей
    3. Дешифровка зашифрованной информации
  3. Через аппаратуру
    1. Подключение спец. Средств
    2. Перехват побочных излучений, фотоаппаратуры, линий связи и сетей электропитания

Для защиты информации применяются организационные мероприятия, технические средства, программные средства и криптография.

Организационные мероприятия - пропускной режим/ограничение доступа лиц в компьютерное помещение/хранение носителей и устройств в сейфе.

Технические средства - фильтры и экраны на аппаратуру/ключи для блокировки клавиатуры/устройства аутентификации для чтения отпечатков пальцев, радужки глаз, скорости и приемов работы на клавиатуре/ электронные ключи на микросхемах.

Программные средства- парольный доступ/ блокировка экрана и клавиатуры с помощью комбинации клавиш/ использование средств парольной защиты на BIOS.

Криптографический способ - ее шифрование при вводе и выводе в компьютерную систему/ цифровая подпись.

 

Системы защиты конфиденциальной информации:

Категории конфиденциальной информации

 

Состав сведений, составляющих конфиденциальную информацию должен приводиться в документе, который называется перечень сведений ограниченного распространения, который утверждается руководителем организации.

В коммерческих организациях можно выделить категории данной информации

  1. Сведения составляющие коммерческую тайну организации
  2. Персональные данные сотрудников организации
  3. Сведения, составляющие конфиденциальную информацию третьих лиц (партнеров, клиентов, подрядчиков)

Предметом зашиты коммерческой информации являются все особенности и детали коммерческой деятельности компании, деловые связи, закупка сырья и материалов, сведения о поставщиках, предполагаемые прибыли, методика установления цен, результаты маркетинговых исследований.

Система предотвращения утечки конфиденциальной информации состоит из

  1. Работа с персоналом
  2. Политика безопасности
  3. Сервисы безопасности

работа с персоналом:

Основным источником утечки информации из организации является ее персонал, который способен свести на нет все самые изощренные способы защиты.

Основные принципы и правила управления персоналом, с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17799:2000

Соблюдение этих правил помогает существенно снизить влияние человеческого фактора, избежать характерных ошибок и предотвратить утечку информации.

При работе с персоналом необходимо соблюдать требования

  • Ответственность за информационную безопасность должна быть включена в должностные инструкции сотрудника
  • Должны выполняться проверки сотрудников при приеме на работу
  • При приеме на работу необходимо подписание соглашения о неразглашении конфиденциальной информации

Меры пресечения

На основании статьи 192 ТК, сотрудники, нарушившие требования политики информационной безопасности могут быть подвержены дисциплинарному взысканию.

Сотрудники несут материальную ответственность в пределах своего месячного заработка, а за умышленное разглашение сведений, составляющих коммерческую тайну, сотрудники несут ответственность в полном размере причиненного ущерба. 243

В основе системы защиты информации на предприятии должны лежать внутренние нормативные документы, написанные в соответствии с международным стандартом:

  • Правило работы пользователей в корпоративной сети
  • Руководство по защите конфиденциальной информации
  • Инструкция по защите от компьютерных вирусов
  • Правила использования мобильных устройств для работы в корпоративной сети
  • Правила работы в сети интернет.

Основные правила обращения с конфиденциальной информацией:

  1. Маркирование документов - все документы, содержащие конфиденциальную информацию должны иметь соответствующий гриф
  2. Закрытое обсуждение - не обсуждать конфиденциальную информацию в присутствии посторонних лиц или в общественных местах, в том числе в столовой или курилке.
  3. Шифрование - электронный обмен конфиденциальной информацией с внешними респондетнами должен вестись в зашифрованном виде.
  4. Использование соглашения о конфиденциальности - Передача сведений, содержащих конфиденциальную информацию третьей стороне должна выполняться только после заключения подобного соглашения.
  5. Ограничение доступа к информации - требования не хранить электронные документы, содержащие конфиденциальную информацию в общедоступных местах.
  6. Информирование - Требуется не только владеть методами защиты информации, но и следить за их выполнением другими сотрудниками и обо всех фактах утечки информации следует незамедлительно сообщать.
Информационные технологии в юриспруденции (лекция от 6.12.12)

Система электронного документооборота (продолжение)

Классификация систем электронного документооборота

  1. Системы с развитыми средствами хранения и поиска информации (электронные архивы) - предназначен для эффективного хранения и поиска информации.
  2. Системы с развитыми средствами управления потоками.
  3. Системы ориентированные на поддержку управления организаций и накопление знаний. - эти системы активно используются в государственных структурах управления.
  4. Системы ориентированные на поддержку совместной работы - сервисы хранения и публикации документов в интранет. Используются в коммерческих компаниях и крупных фирмах.

Основные системы электронного документооборота, используемые в России.

  1. Docs Open - самый популярный электронный архив. Эффективно применяется как в крупных организациях, так и в небольших фирмах. Реализована на архитектуре "клиент-сервер" и не предназначена для территориально-распределенных организаций.
  2. Documentum - включает в себя маршрутизацию, утверждение, распределение, уведомление и контроль исполнения. Недостаток - высокая стоимость внедрения. Поэтому используется преимущественно в крупных корпорациях.
  3. Босс-Референт - разработана компанией "IТ". Относится к категории систем, ориентированных на поддержку управления организацией, эффективной работы сотрудников и накопление знаний. В ней реализованы функции контроля договоров, учет материальных ценностей, потоковое сканирование и распознавание, автоматизация деятельности бюро пропусков и генератор отчетов.
  4. Дело - разработчик - компания "Электронные офисные системы" эта система интересна для организаций, в которых необходимо внедрить централизованное делопроизводство для канцелярии, секретариата и общих отделов. Функции хранения и контроля исполнения.
  5. Евфрат - выполнена по архитектуре "Клиент-сервер" и представляет собой средство сканирования, распознавания, регистрации документов и полнотекстового поиска. В ней реализована функция контроля исполнения задания.

Правовая статистика.

Предметом правовой статистики служат количественная сторона качественно-однородных, массовых правовых и юридически-значимых явлений.

В составе правовой статистики выделяются 3 правовые части

  1. Уголовно-правовая статистика

 

      1. Объект - количественная сторона преступности, судимости и мероприятия по ее предупреждению.
  1. Гражданско-правовая статистика

 

      1. Задача - учет гражданско-правовых споров, находящихся на рассмотрении арбитражных судов и судов общей юрисдикции
  1. Административно-правовая статистика

 

      1. Объект - количественная сторона административных нарушений, по видам, причиненному ущербу и мероприятиям по борьбе с ними.

Самостоятельным разделом правовой статистики является статистика прокурорского надзора.

Отличают три метода правовой статистики.

  • Массовое статистическое наблюдение
  • Сводка и группировка
  • Обобщение и анализ собранных и сгруппированных данных, на основе применения обобщающих статистических показателей.

Статистический анализ позволяет выявить причинно-следственные связи, установить закономерности и зависимости и оценить эффективность борьбы с преступностью.

Наиболее распространенным способом изображения статистической информации являются диаграммы.

  1. Линейные диаграммы применяются для характеристики динамики, изменения, и оценки выполнения плановых заданий.
  2. Статистические карты представляют собой графические изображения статистических данных на схематических контурных картах.
  3. Картограмма - план местности на которой штриховкой различной частоты и расцветки показывается сравнительная интенсивность, какого показателя в пределах каждой единицы территориального деления.

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-26 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Что такое технологическая операция и каковы виды технологических операций?

Роль энергетики в жизни и развитии общества

Роль страхования в рыночной экономике

Что такое метод «Елочки»?

Обратная связь