انواع، روش ها و ابزار حفاظت اطلاعات در IP

ایجاد سیستم های امنیت اطلاعات در IS بر اساس اصول زیر است:

· رویکرد سیستم ها؛

· اصل توسعه مستمر سیستم.

· تفکیک و به حداقل رساندن قوا.

· کامل بودن کنترل و ثبت تلاش ها.

· اطمینان از قابلیت اطمینان سیستم حفاظتی.

· تضمین کنترل بر عملکرد سیستم حفاظتی.

· ارائه انواع ابزارهای مبارزه با برنامه های مخرب.

· تضمین دوام اقتصادی.

در نتیجه حل مشکلات امنیت اطلاعات، IS و IT مدرن باید دارای ویژگی های اصلی زیر باشد:

· در دسترس بودن اطلاعات با درجات مختلف محرمانه بودن؛

· فراهم آوردن حفاظت رمزنگاریاطلاعات با درجات مختلف محرمانگی هنگام انتقال داده ها؛

· سلسله مراتب اختیارات موضوعات دسترسی به برنامه ها و مؤلفه های IS و IT (به فایل-سرورها، کانال های ارتباطی و غیره).

· کنترل اجباری جریان اطلاعات هم در شبکه های محلی و هم در حین انتقال از طریق کانال های ارتباطی از راه دور.

· در دسترس بودن مکانیزمی برای ثبت و حسابداری تلاش های دسترسی غیرمجاز، رویدادها در IS و اسناد چاپ شده.

· یکپارچگی اجباری نرم افزار و اطلاعات در فناوری اطلاعات.

· در دسترس بودن وسایل بازیابی سیستم حفاظت اطلاعات.

· حسابداری اجباری حامل های مغناطیسی.

· وجود حفاظت فیزیکی از تجهیزات کامپیوتری و رسانه های مغناطیسی.

· دسترسی خدمات ویژهسیستم امنیت اطلاعات

روش ها و ابزارهای امنیت اطلاعات در شکل 92 ارائه شده است.

اجازه دهید- روش مسدود کردن فیزیکی مسیر مهاجم به اطلاعات محافظت شده (به تجهیزات، رسانه ذخیره سازی).

کنترل دسترسی- روش های حفاظت از اطلاعات با تنظیم استفاده از کلیه منابع IS و IT. این روش ها باید در برابر همه راه های ممکن دسترسی غیرمجاز به اطلاعات مقاومت کنند. این روش شامل انواع حفاظت زیر است:

· شناسایی کاربران، پرسنل و منابع سیستم (تخصیص یک شناسه شخصی به هر شی).

· احراز هویت برای شناسایی، تعیین اصالت کاربر توسط شناسه ارائه شده توسط وی.

· تأیید صلاحیت (تأیید انطباق هفته، ساعت روز، منابع و روشهای درخواستی با مقررات تعیین شده).

· مجوز و ایجاد شرایط کار در چارچوب مقررات مقرر.

· ثبت ( ثبت ) تماس با منابع حفاظت شده .

· پاسخ (سیگنال دادن، خاموش شدن، تاخیر در کار، رد درخواست) هنگام اقدام به اقدامات غیرمجاز.

شکل 92 روش ها و ابزارهای امنیت اطلاعات

در حال حاضر، یک رویکرد ترکیبی برای حذف ورود غیرمجاز به یک شبکه کامپیوتری استفاده شده است: رمز عبور + شناسایی کاربر توسط یک کلید شخصی. کلید یک کارت پلاستیکی (مغناطیسی یا با یک ریزمدار داخلی - یک کارت هوشمند) یا دستگاه های مختلف برای شناسایی یک فرد با ویژگی های بیومتریک - اثر انگشت (شکل 93)، طرح کلی دست، عنبیه چشم، و صدا

شکل 93 عناصر سیستم بیومتریک

رمزگذاری- بسته شدن اطلاعات رمزنگاری این روش‌های حفاظتی هم هنگام پردازش اطلاعات و هم در هنگام ذخیره آن در رسانه‌های مغناطیسی استفاده می‌شوند. هنگام انتقال اطلاعات از طریق کانال های ارتباطی از راه دور، این روش تنها روش قابل اعتماد است.

مقابله با حملات بدافزار -مجموعه ای از اقدامات مختلف سازمانی و استفاده از برنامه های ضد ویروس. اهداف اقدامات انجام شده: کاهش احتمال عفونت AIS. شناسایی حقایق عفونت سیستم؛ کاهش عواقب آلودگی اطلاعات؛ محلی سازی و تخریب ویروس ها؛ بازیابی اطلاعات در IS

مقررات -ایجاد چنین شرایطی برای پردازش خودکار، ذخیره سازی و انتقال اطلاعات محافظت شده، که در آن هنجارها و استانداردهای حفاظت تا حد زیادی رعایت می شود.

اجبار- روش حفاظتی که کاربران و پرسنل IS را تشویق می کند تا از قوانین پردازش، انتقال و استفاده از اطلاعات محافظت شده تحت تهدید مسئولیت مادی، اداری یا کیفری پیروی کنند.

انگیزه- یک روش حفاظتی که کاربران و پرسنل IS را تشویق می کند که تخلف نکنند رویه های تعیین شدهبا توجه به رعایت موازین اخلاقی و اخلاقی مقرر.

کل مجموعه وسایل فنیبه دو دسته سخت افزاری و فیزیکی تقسیم می شود.

سخت افزار- دستگاه هایی که مستقیماً در تجهیزات محاسباتی تعبیه شده اند یا دستگاه هایی که از طریق یک رابط استاندارد با آن ارتباط برقرار می کنند. نمونه ای از حفاظت سخت افزاری اطلاعات در برابر دستکاری که قبل از بارگذاری سیستم عامل اجرا می شود، «قفل های الکترونیکی» هستند.

کمک های بدنیشامل دستگاه ها و سازه های مهندسی مختلف است که از ورود متجاوزان به اشیاء حفاظتی و حفاظتی پرسنل (تجهیزات امنیتی شخصی)، منابع مادی و مالی، اطلاعات از اقدامات غیرقانونی جلوگیری می کند. نمونه هایی از وسایل فیزیکی: قفل درب، میله پنجره، دزدگیر الکترونیکی.

نرم افزار -برنامه های تخصصی و بسته های نرم افزاری. طراحی شده برای محافظت از اطلاعات در IP. اینها شامل ابزارهای نرم افزاری است که مکانیسم های رمزگذاری را پیاده سازی می کنند.

وسایل سازمانیمقررات پیچیده خود را انجام دهند فعالیت های تولیدیدر IP و ارتباط مجریان بر اساس مقررات، به طوری که افشا، نشت و دسترسی غیرمجاز به اطلاعات محرمانه غیرممکن می شود یا به طور قابل توجهی توسط اقدامات سازمانی مختل می شود.

وسایل تشریعیحمایت ها توسط قوانین قانونی کشور تعیین می شود که قوانین استفاده، پردازش و انتقال اطلاعات با دسترسی محدود را تنظیم می کند و اقدامات مسئولیت را برای نقض این قوانین تعیین می کند.

ابزارهای اخلاقی و اخلاقیحفاظت ها شامل انواع هنجارهای رفتاری است که به طور سنتی قبلاً توسعه یافته اند، با گسترش IP و IT در کشور و جهان تکامل یافته اند یا به طور خاص توسعه یافته اند. اخلاقی و اخلاقیهنجارها می توانند نانوشته باشند (مثلاً صداقت) یا در مجموعه ای (منشور) از قوانین یا مقررات رسمیت یافته باشند. این هنجارها، به عنوان یک قاعده، از نظر قانونی تایید نمی شوند، اما از آنجایی که عدم رعایت آنها منجر به سقوط می شود اعتبارسازمان ها، الزام آور تلقی می شوند. نمونه ای از چنین مقرراتی، آیین نامه رفتار حرفه ای انجمن کاربران کامپیوتر ایالات متحده است.

کنترل سوالاتبرای خودآموزی دانش آموزان

1. اصطلاح تهدید امنیت اطلاعات را توضیح دهید؟

2. انواع تهدیدها را فهرست کنید.

3. «بمب منطقی» چگونه اجرا می شود؟

4. تهدید اسب تروجان چگونه اجرا می شود؟

5. راه های پیاده سازی نشت اطلاعات؟

6. شناسایی چیست؟

7. احراز هویت چیست؟

8. تهدید "بالماسکه" چیست؟

9. چرا دریچه ها در برنامه ها خطرناک هستند؟

10. راه های حفاظت از اطلاعات چیست؟

11. ابزارهای سازمانی تضمین امنیت اطلاعات را فهرست و توضیح دهید؟

12. ابزار فنی امنیت اطلاعات را فهرست کنید.

13. اجبار و اجبار از نظر حفاظت اطلاعات چیست؟

علوم کامپیوتر، سایبرنتیک و برنامه نویسی

توسعه فناوری های اطلاعاتی جدید با پدیده های منفی مانند جاسوسی صنعتی، جرایم رایانه ای و دسترسی غیرمجاز (NSD) به اطلاعات طبقه بندی شده و محرمانه همراه است. بنابراین حفاظت از اطلاعات مهمترین وظیفه دولتی در هر کشوری است.

دانشگاه دولتی بشردوستانه روسیه

موسسه علوم اطلاعاتو فناوری های امنیتی

انشا

طبقه بندی و ویژگی های گونه,

روش ها و وسایل حفاظت از اطلاعات

و رابطه آنها با اشیاء حفاظتی

رشته تحصیلی: مبانی امنیت اطلاعات

معلم: Rusetskaya I.A.

تکمیل شده توسط: گلادون یا.

دوره: 1

گروه: 1 IB

مسکو -

2015

معرفی

1-سیستم امنیت اطلاعات

2. تهدید امنیت اطلاعات در سیستم های کامپیوتری ah و طبقه بندی آنها

3. انواع حفاظت از اطلاعات.

4. روش های حفاظت از اطلاعات.

5. طبقه بندی روش های مدرنو ابزارهای امنیت اطلاعات

6-منابع

معرفی

توسعه فناوری های اطلاعاتی جدید با پدیده های منفی مانند جاسوسی صنعتی، جرایم رایانه ای و دسترسی غیرمجاز (NSD) به اطلاعات طبقه بندی شده و محرمانه همراه است. بنابراین حفاظت از اطلاعات مهمترین وظیفه دولتی در هر کشوری است. نیاز فوری به حفاظت از اطلاعات در روسیه در ایجاد سیستم حفاظت اطلاعات دولتی (NISP) و در توسعه چارچوب قانونی برای امنیت اطلاعات بیان شده است. قوانین "در مورد اسرار دولتی"، "در مورد اطلاعات، اطلاعات و حفاظت از اطلاعات"، "در مورد حفاظت قانونی از برنامه ها برای رایانه های الکترونیکی و پایگاه های داده"، "دکترین امنیت اطلاعات فدراسیون روسیه" و دیگران تصویب و اجرا شد.

حفاظت از اطلاعات باید از جلوگیری از آسیب در نتیجه از دست دادن (سرقت، از دست دادن، تحریف، جعل) هر نوع اطلاعات اطمینان حاصل کند. سازماندهی اقدامات حفاظت از اطلاعات باید با رعایت کامل قوانین و مقررات مربوط به امنیت اطلاعات، منافع کاربران اطلاعات انجام شود. برای تضمین درجه بالایی از حفاظت از اطلاعات، لازم است به طور مداوم مشکلات علمی و فنی پیچیده توسعه و بهبود وسایل حفاظت از آن حل شود.

تعاریف اطلاعات و انواع خاص آن در قانون فدراسیون روسیه مورخ 27 ژوئیه 2006 N 149-FZ "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات" و در هنر آمده است. 2 قانون فدرال "در مورد مشارکت در تبادل اطلاعات بین المللی":

- اطلاعات - اطلاعات در مورد افراد، اشیاء، حقایق، رویدادها، پدیده ها و فرآیندها، صرف نظر از شکل ارائه آنها.

- اطلاعات مستند (سند) - اطلاعات ثبت شده در یک حامل مواد با جزئیاتی که امکان شناسایی آن را فراهم می کند.

- اطلاعات در مورد شهروندان (داده های شخصی) - اطلاعات در مورد حقایق، رویدادها و شرایط زندگی یک شهروند، به شما امکان می دهد هویت او را شناسایی کنید.

- اطلاعات محرمانه - اطلاعات مستند که دسترسی به آنها مطابق با قوانین فدراسیون روسیه محدود است.

یک تعریف کلی تر از اطلاعات ممکن است به صورت زیر باشد:

اطلاعات اطلاعاتی در مورد دنیای اطراف است که موضوع ذخیره سازی، تبدیل، انتقال و استفاده برای اهداف خاص است. طبق این تعریف، فرد در یک میدان اطلاعاتی دائماً در حال تغییر است که بر سبک زندگی و اعمال او تأثیر می گذارد.

اطلاعات محافظت شده دارای ویژگی های زیر است:

سطح دسترسی به آن، محدودیت در ترتیب توزیع و

استفاده فقط می تواند توسط مالک یا افراد خاصی که چنین حقی دارند ایجاد شود.

هرچه اطلاعات برای مالک ارزشمندتر باشد، به طور کامل محافظت می شود و افراد کمتری به این اطلاعات دسترسی خواهند داشت.

اطلاعات در مورد شکل ارائه، روش های رمزگذاری و ذخیره سازی می تواند اطلاعات گرافیکی، صوتی، متنی، دیجیتالی (رایانه ای)، ویدئویی و غیره باشد.

ویژگی های مهم اطلاعات، اول از همه، قابلیت اطمینان، کامل بودن، عینی بودن، به موقع بودن، اهمیت آن است. حامل های اطلاعات محافظت شده به عنوان اسناد طبقه بندی می شوند. محصولات (اقلام)؛ مواد و مواد؛ تابش الکترومغناطیسی، حرارتی، تشعشع و سایر تشعشعات؛ میدان‌های هیدروآکوستیک، لرزه‌ای و سایر میدان‌های فیزیکی که انواع خاصی از ماده را نشان می‌دهند. خودم

یک شی با ویژگی های خاص خود و غیره

حامل اطلاعات محافظت شده نیز می تواند یک شخص باشد.

با توسعه جامعه اطلاعاتی، مشکلات مربوط به حفاظت از اطلاعات محرمانه اهمیت فزاینده ای پیدا می کند.

اطلاعات به عنوان مقوله ای که دارای ارزش است توسط صاحب آن در برابر افراد و سازمان هایی که سعی در تصاحب آن دارند محافظت می شود. هرچه سطح محرمانه بودن اطلاعات بالاتر باشد، سطح حفاظت از آن بالاتر باشد، بودجه بیشتری برای حفاظت از آن صرف می شود.

هر ایالت از منابع اطلاعاتی خود محافظت می کند.

V مورد کلیاهداف امنیت اطلاعات می تواند

فرموله شده به صورت:

جلوگیری از نشت، سرقت، گم شدن، تحریف، جعل اطلاعات

تشکیلات؛

جلوگیری از تهدید امنیت فرد، جامعه، دولت؛

جلوگیری از اقدامات غیرمجاز برای تخریب، تغییر، تحریف، کپی، مسدود کردن اطلاعات؛

جلوگیری از سایر اشکال دخالت غیرقانونی در منابع اطلاعاتی و سیستم های اطلاعاتی، تضمین رژیم قانونی اطلاعات مستند به عنوان موضوع مالکیت.

حفاظت از حقوق قانونی شهروندان برای حفظ رازداری شخصی و محرمانه بودن داده های شخصی موجود در سیستم های اطلاعاتی؛

حفظ اسرار دولتی، محرمانه بودن اطلاعات مستند مطابق با قانون؛

تضمین حقوق افراد در فرآیندهای اطلاعاتی و در توسعه، تولید و استفاده از سیستم‌های اطلاعاتی، فناوری‌ها و ابزارهای پشتیبانی از آنها.

اثربخشی حفاظت از اطلاعات با به موقع بودن، فعالیت، تداوم و پیچیدگی آن تعیین می شود. بسیار مهم است که اقدامات حفاظتی را به صورت جامع انجام دهیم، یعنی اطمینان از خنثی سازی تمام کانال های خطرناک نشت اطلاعات. باید به یاد داشته باشیم که حتی یک و تنها یکی هم نیست کانال بستهنشت می تواند اثربخشی کل سیستم حفاظتی را نفی کند.

اهداف اصلی حفاظت از اطلاعات هستند :

منابع اطلاعاتی حاوی اطلاعات مربوط به اسرار دولتی و اطلاعات محرمانه.

ابزارها و سیستم‌های اطلاعاتی (فناوری رایانه، شبکه‌ها و سیستم‌ها)، نرم‌افزار (سیستم‌های عامل، سیستم‌های مدیریت پایگاه داده، نرم‌افزارهای کاربردی)، سیستم‌های کنترل خودکار، سیستم‌های ارتباطی و انتقال داده، ابزارهای فنی دریافت، انتقال و پردازش اطلاعات با دسترسی محدود (صدا) ضبط، تقویت صدا، بازتولید صدا، اتاق جلسات و دستگاه های تلویزیونیوسایل تولید، تکثیر اسناد و سایر ابزارهای فنی پردازش اطلاعات گرافیکی، معنایی و عددی).

آن ها سیستم ها و وسایلی که مستقیماً اطلاعات محرمانه و اطلاعات طبقه بندی شده به عنوان اسرار دولتی را پردازش می کنند.

این وسایل و سیستم ها را اغلب ابزارهای فنی دریافت، پردازش و ذخیره اطلاعات (TSPI) می نامند.

ابزارها و سیستم های فنی که بخشی از TSPI نیستند، اما از نظر جغرافیایی در محل پردازش اطلاعات طبقه بندی شده و محرمانه قرار دارند. به این گونه وسایل و سیستم های فنی، وسایل و سیستم های فنی کمکی (VTSS) گفته می شود.

اینها عبارتند از: وسایل فنی تلفن، ارتباطات بلندگو، سیستم های اعلام حریق و سرقت، پخش رادیویی، سیستم های ساعت، وسایل و سیستم های انتقال داده در یک سیستم ارتباط رادیویی، ابزار دقیق، لوازم برقی خانگی و غیره و همچنین خود محل هایی که برای پردازش اطلاعات محدود در نظر گرفته شده اند.

TSPI را می توان سیستمی در نظر گرفت که شامل تجهیزات ثابت, لوازم جانبی، خطوط اتصال، دستگاه های توزیع و ارتباط، سیستم های منبع تغذیه، سیستم های زمین.

ابزارهای فنی در نظر گرفته شده برای پردازش اطلاعات محرمانه، از جمله محل هایی که در آن قرار دارند، نشان دهنده هدف TSPI هستند.

روش‌ها و ابزارهای موجود برای حفاظت از اطلاعات در سیستم‌های خودکار کاملاً متنوع است که بدون شک نشان‌دهنده تنوع روش‌ها و ابزارهای احتمالی اقدامات غیرمجاز است. نقطه ضعف اصلی روش ها و ابزارهای موجود برای حفاظت از اطلاعات، از جمله امکانات مدرنجستجوی آسیب‌پذیری‌های سیستم‌های خودکار و شناسایی اقدامات غیرمجاز به این صورت است که در اکثر موارد به شما امکان می‌دهند حفاظت اطلاعات را فقط در برابر تهدیدات شناسایی شده سازماندهی کنید، که نشان‌دهنده درجه خاصی از انفعال دفاع است.

سطح مناسبی از امنیت اطلاعات تنها با یک رویکرد یکپارچه فراهم می‌شود که استفاده هدفمند از قوانین سنتی سازمانی و نرم‌افزاری و سخت‌افزاری را برای تضمین امنیت بر مبنای مفهومی واحد با جستجوی همزمان و مطالعه عمیق روش‌ها و ابزارهای جدید فرض می‌کند. حفاظت

بنابراین، برای حفاظت از اشیاء اطلاعاتی، ایجاد یک سیستم امنیتی قابل اعتماد (SSS) ضروری است.

1. سیستم امنیت اطلاعات

سیستم امنیت اطلاعات مجموعه ای از اقدامات سازمانی و فنی با هدف تضمین امنیت اطلاعات یک شرکت است. هدف اصلی حفاظت داده هایی است که در یک سیستم کنترل خودکار (ACS) پردازش می شوند و در اجرای فرآیندهای کاری نقش دارند.

سیستم امنیت اطلاعات (ISS) می تواند در بهترین موردبرای تهدیدات بالقوه مناسب است. بنابراین، هنگام برنامه ریزی حفاظت، لازم است درک کنیم که چه کسی و چه نوع اطلاعاتی ممکن است مورد علاقه باشد، ارزش آن چیست و یک مهاجم چه قربانی های مالی می تواند برای آن انجام دهد.

سیستم امنیت اطلاعات باید جامع باشد، یعنی نه تنها از ابزارهای فنی حفاظت، بلکه اداری و قانونی استفاده کند. ISS باید انعطاف پذیر و سازگار با شرایط متغیر باشد. نقش اصلی در این امر توسط اقدامات اداری (یا سازمانی) مانند تغییر منظم رمزها و کلیدها، نظم دقیق ذخیره سازی آنها، تجزیه و تحلیل گزارش رویدادها در سیستم، توزیع صحیح حقوق کاربر و موارد دیگر ایفا می شود. . مسئول تمام این اقدامات نه تنها باید یک کارمند فداکار، بلکه یک متخصص بسیار ماهر در زمینه وسایل فنی حفاظت و به طور کلی در زمینه محاسبات باشد.

حوزه های اصلی حفاظت و ابزار فنی مربوطه عبارتند از:

محافظت در برابر دسترسی غیرمجاز (NSD) به منابع رایانه های شخصی مستقل و شبکه ای. این تابع توسط نرم افزار، سفت افزار و سخت افزار پیاده سازی می شود که در ادامه با مثال های خاص به آن پرداخته خواهد شد.

حفاظت از سرورها و کاربران فردی شبکه های اینترنتیاز نفوذ هکرهای مخرب از خارج. برای این کار از فایروال های ویژه (دیوار آتش) استفاده می شود که اخیراً گسترش بیشتری یافته است (رجوع کنید به "PC World"، شماره 11/2000، ص 82).

حفاظت از اطلاعات محرمانه، محرمانه و شخصی از خواندن توسط افراد غیرمجاز و تحریف هدفمند آن اغلب با کمک ابزارهای رمزنگاری که به طور سنتی به یک کلاس جداگانه اختصاص داده می شود انجام می شود. این همچنین شامل تأیید صحت پیام ها با استفاده از امضای دیجیتال الکترونیکی (EDS) می شود. استفاده از سیستم های رمزنگاری با کلیدهای عمومی و EDS چشم اندازهای زیادی در بانکداری و تجارت الکترونیک دارد. این نوع حفاظت در این مقاله در نظر گرفته نشده است.

در سال های اخیر، حفاظت نرم افزار در برابر کپی غیرقانونی با استفاده از کلیدهای الکترونیکی بسیار گسترده شده است. در این بررسی با مثال های مشخصی نیز مورد توجه قرار گرفته است.

محافظت در برابر نشت اطلاعات از طریق کانال های جانبی (از طریق مدارهای قدرت، کانال تابش الکترومغناطیسی از یک کامپیوتر یا مانیتور). در اینجا، از ابزارهای اثبات شده استفاده می شود، مانند محافظ اتاق و استفاده از یک تولید کننده نویز، و همچنین مجموعه ای خاص از مانیتورها و قطعات کامپیوتری که کمترین ناحیه تشعشع را در آن دارند. محدوده فرکانسکه برای گرفتن و رمزگشایی سیگنال از راه دور توسط متجاوزان راحت تر است.

حفاظت در برابر دستگاه های جاسوسی نصب شده مستقیماً در اجزای رایانه و همچنین اندازه گیری ناحیه تشعشع توسط سازمان های خاصی انجام می شود که دارای مجوزهای لازم از مقامات ذیصلاح هستند.

یکی از اهداف مهم تیم هجومی در شرایط تضاد اطلاعاتیکاهش شاخص های به موقع، قابلیت اطمینان و امنیت تبادل اطلاعات در سیستم مقابل به سطحی است که منجر به از دست دادن کنترل می شود.

در کار "اصول اساسی تضمین امنیت اطلاعات در حین عملکرد عناصر شبکه های کامپیوتری" A.A. گلادکیخ و وی. دمنتیوا توصیفی ساختاری و شماتیک از تقابل اطلاعاتی ارائه می دهد.

نویسندگان می نویسند که محتوای رویارویی اطلاعاتی شامل دو جزء است که کل مجموعه اقداماتی را پوشش می دهد که امکان دستیابی به برتری اطلاعاتی بر دشمن را فراهم می کند. اولین مؤلفه مقابله با پشتیبانی اطلاعاتی فرماندهی و کنترل دشمن (تقابل اطلاعاتی) است. این شامل اقداماتی برای نقض محرمانه بودن اطلاعات عملیاتی، معرفی اطلاعات نادرست، مسدود کردن استخراج اطلاعات، پردازش و تبادل اطلاعات (از جمله تخریب فیزیکی حامل های اطلاعات) و مسدود کردن حقایق معرفی اطلاعات نادرست در تمام مراحل است. پشتیبانی اطلاعاتکنترل دشمن اقدامات متقابل اطلاعاتی از طریق مجموعه ای از اقدامات، از جمله شناسایی فنی سیستم های ارتباطی و کنترل، رهگیری اطلاعات عملیاتی ارسال شده از طریق کانال های ارتباطی انجام می شود. نمودار نشان داده شده است (شکل 1.1.):

برنج. 1.1. ساختار تقابل اطلاعاتی

بخش دوم شامل اقداماتی برای محافظت از اطلاعات، وسایل ذخیره سازی، پردازش، انتقال و اتوماسیون این فرآیندها از نفوذ دشمن است. حفاظت از اطلاعات)، از جمله اقداماتی برای رفع انسداد اطلاعات (از جمله محافظت از حامل های اطلاعات از). تخریب فیزیکی) لازم برای حل مشکلات مدیریتی و جلوگیری از اطلاعات نادرست منتشر و وارد سیستم مدیریت می شود.

حفاظت از اطلاعات اقدامات مربوط به شناسایی، حفاظت از مصادره عناصر سیستم های اطلاعاتی و همچنین حفاظت الکترونیکی را مستثنی نمی کند. همانطور که می دانید، حملات می توانند هم از خارج از شبکه (حملات از طریق شبکه) و هم از طریق کانال های داخلی (حملات فیزیکی) انجام شوند. بنابراین امنیت اطلاعات نیز به دو نوع خارجی و داخلی تقسیم می شود. مهاجم برای رسیدن به اهداف خود سعی می کند از هر دو نوع حمله استفاده کند. سناریوی اقدامات آن این است که با استفاده از حملات فیزیکی، اطلاعاتی را در مورد شبکه در اختیار داشته باشد و سپس با استفاده از حملات شبکه، دسترسی غیرمجاز (NA) به اجزای کل شبکه سیستم را انجام دهد. طبق آمار، سهم حملات فیزیکی 70 درصد از کل حملات است. شکل 1.2 ارزیابی حملات غیرمجاز انجام شده در جریان حملات فیزیکی به شبکه های رایانه ای را ارائه می دهد، در حالی که برای وضوح، داده های مقایسه ای برای دسته های مختلف تخلفات در مقیاس ده درجه ای ارائه شده است. قابل توجه است که جایگاه پنجم در همه رده ها برتری دارد.

رایج ترین تخلفات شبکه عبارتند از: جمع آوری نام و رمز عبور، حدس زدن رمز عبور، انجام اقدامات سرریز دستگاه های بافرو غیره.

برنج. 1.2. ارزیابی NSD در جریان حملات فیزیکی به شبکه های کامپیوتری بر اساس یک سیستم ده نقطه ای

در واقع، در صورت دسترسی به تجهیزات اداری، دسکتاپ کارمندان، سیستم‌های کامپیوتری و دستگاه‌های شبکه، مهاجم به‌منظور بررسی آسیب‌پذیری‌های امنیتی و انجام یک حمله مؤثر، شانس موفقیت را به‌طور چشمگیری افزایش می‌دهد.

در کتاب «ع.ا. گلادکیخ و وی. Dementieva یک روش ریاضی برای محاسبه ضریب حفاظت ارائه می دهد:

جستجوی آسیب‌پذیری‌ها در مجموعه اطلاعات و تسویه حساب (ICS) یک بازه زمانی معین طول می‌کشد، در حالی که حمله در این فاصله انجام می‌شود. در اینجا >>، در حالی که بسیار کوچک است، a> 0. اجازه دهید آن را به عنوان یک عامل حفاظتی تعریف کنیم. اگر KFM آسیب ناپذیر در نظر گرفته شود، مهاجم از اطلاعات پیشینی برای غلبه بر دفاع و انجام حمله به سیستم استفاده می کند. زمانی که منابع سیستم چندین برابر افزایش یابد، سیستم حفاظت را غیرفعال فرض خواهیم کرد.

مقدار پارامتر به دلیل تغییر به موقع در پیکربندی حفاظت یا آماده سازی به جای پارامترهای واقعی KFM، نادرست، فریبنده ارائه می شود. توصیه می شود برای اطمینان از امنیت KFM، تهیه چنین پارامترهایی را به عنوان یک منطقه حفاظتی مستقل، بدون پیوند دادن آن با تعدادی از وظایف پس زمینه، مشخص کنید.

2. تهدیدات امنیت اطلاعات در سیستم های کامپیوتری و طبقه بندی آنها.

تهدید امنیت اطلاعات به عنوان یک رویداد، فرآیند یا پدیده بالقوه درک می شود که می تواند منجر به تخریب، از دست دادن یکپارچگی، محرمانه بودن یا در دسترس بودن اطلاعات شود.

کل مجموعه تهدیدات بالقوه برای امنیت اطلاعات در سیستم های اطلاعات خودکار (AIS) یا در سیستم های کامپیوتری (CS) را می توان به دو دسته تقسیم کرد: تهدیدات تصادفی و تهدیدهای عمدی. تهدیدهایی که مربوط به اقدامات عمدی مزاحمان نیست و در زمان های تصادفی اجرا می شوند، تصادفی یا غیرعمدی نامیده می شوند.

تهدیدات تصادفی عبارتند از: بلایای طبیعی و حوادث، خرابی و خرابی وسایل فنی، خطا در توسعه AIS یا CS، خطاهای الگوریتمی و نرم افزاری، خطاهای کاربران و پرسنل خدمات.

اجرای تهدیدات این کلاس منجر به بیشترین از دست دادن اطلاعات می شود (طبق داده های آماری تا 80 درصد آسیب وارد شده به منابع اطلاعاتی CS توسط هر گونه تهدید). در این صورت، تخریب، نقض یکپارچگی و در دسترس بودن اطلاعات ممکن است رخ دهد. محرمانه بودن اطلاعات کمتر نقض می شود، با این حال، این امر پیش نیازهایی برای نفوذ مخرب بر اطلاعات ایجاد می کند. بر اساس همین آمار، تا 65 درصد از نقض امنیت اطلاعات تنها در نتیجه خطاهای کاربر و پرسنل خدمات رخ می دهد.

لازم به ذکر است که مکانیسم اجرای تهدیدات تصادفی به خوبی مورد مطالعه قرار گرفته و تجربیات قابل توجهی در مقابله با این تهدیدات انباشته شده است. فن آوری پیشرفتهتوسعه سخت‌افزار و نرم‌افزار، یک سیستم موثر برای بهره‌برداری از سیستم‌های اطلاعاتی خودکار، از جمله پشتیبان‌گیری اجباری اطلاعات، می‌تواند به میزان قابل توجهی از تلفات ناشی از اجرای تهدیدات این کلاس بکاهد.

تهدیدهایی که با اقدامات مخرب افراد مرتبط است و این اقدامات نه تنها تصادفی نیستند، بلکه معمولاً غیرقابل پیش بینی هستند، عمدی نامیده می شوند. تهدیدهای عمدی عبارتند از:

جاسوسی و خرابکاری سنتی یا جهانی،

دسترسی غیرمجاز به اطلاعات،

تشعشعات و تداخل الکترومغناطیسی،

اصلاح غیر مجاز سازه ها،

برنامه های مخرب

روش ها و ابزارهای جاسوسی و خرابکاری همچنان به عنوان منابع تأثیر نامطلوب بر منابع اطلاعاتی مرتبط هستند. روش‌های جاسوسی و خرابکاری عبارتند از: استراق سمع، نظارت بصری، سرقت اسناد و رسانه‌های ذخیره‌سازی ماشینی، سرقت برنامه‌ها و ویژگی‌های سیستم‌های امنیتی، رشوه و باج‌گیری از کارکنان، جمع‌آوری و تجزیه و تحلیل ضایعات رسانه‌ای ماشینی، آتش‌سوزی، انفجار، حملات مسلحانه. توسط گروه های خرابکار یا تروریستی.

دسترسی غیرمجاز به اطلاعات نقض قوانین تمایز دسترسی با استفاده از تجهیزات کامپیوتری استاندارد یا سیستم های خودکار است. دسترسی غیرمجاز ممکن است:

در غیاب سیستمی برای تفکیک دسترسی؛

در صورت خرابی یا خرابی در سیستم های کامپیوتری؛

در اقدامات اشتباهکاربران یا پرسنل تعمیر و نگهداری سیستم های کامپیوتری؛

در صورت بروز خطا در سیستم توزیع دسترسی؛

با جعل اقتدار

فرآیند پردازش و انتقال اطلاعات توسط ابزارهای فنی سیستم های کامپیوتری با تابش الکترومغناطیسی به فضای اطراف و هدایت همراه است. سیگنال های الکتریکیدر خطوط ارتباطی، سیگنالینگ، زمین و سایر هادی ها. همه اینها نام گرفته است: "تابش و تداخل الکترومغناطیسی جانبی" (PEMIN). تابش و تداخل الکترومغناطیسی می تواند توسط متجاوزان، هم برای به دست آوردن اطلاعات و هم برای از بین بردن آن استفاده شود.

اصلاح غیرمجاز الگوریتمی، نرم افزاری و ساختار فنی سیستم، امنیت اطلاعات در سیستم های کامپیوتری را تهدید بزرگی می کند.

یکی از منابع اصلی تهدید امنیت اطلاعات در CS، استفاده از برنامه های خاصی به نام «برنامه های ویرانگر» است. بسته به مکانیسم عمل، برنامه های خرابکاری به چهار کلاس تقسیم می شوند:

بمب های منطقی؛

"کرم ها"؛

اسب تروا؛

"ویروس های کامپیوتری".

بمب های منطقی- اینها برنامه ها یا قطعات آنها هستند که به طور دائم در رایانه یا سیستم های رایانه ای (CS) هستند و تنها در صورت رعایت شرایط خاص اجرا می شوند. نمونه هایی از چنین شرایطی ممکن است عبارتند از: توهین آمیز تاریخ داده شده، انتقال COP به حالت خاصی از عملکرد، وقوع برخی از رویدادها در تعداد معینی بار و موارد مشابه.

کرم ها - اینها برنامه هایی هستند که هر بار که سیستم بوت می شود، قابلیت جابجایی را دارند سیستم های محاسباتی(خورشید) یا نسخه های آنلاین و خود تکراری. تکثیر بهمن مانند برنامه ها منجر به بارگذاری بیش از حد کانال های ارتباطی، حافظه و مسدود شدن سیستم می شود.

اسب های تروا برنامه هایی هستند که با اصلاح یا اضافه کردن دستورات به برنامه های کاربر به دست می آیند. در طول اجرای بعدی برنامه های کاربر همراه با توابع داده شدهعملکردهای غیرمجاز، اصلاح شده یا جدید انجام می شود.

ویروس های کامپیوتریبرنامه‌های کوچکی هستند که پس از وارد شدن به رایانه، با ایجاد نسخه‌های خود به‌طور مستقل توزیع می‌شوند و در صورت برآورده شدن شرایط خاص، ارائه می‌کنند. تاثیر منفیدر COP

همه ویروس های کامپیوتری بر اساس معیارهای زیر طبقه بندی می شوند:

1. بر اساس زیستگاه؛
2. با روش عفونت؛
3. با توجه به درجه خطر تأثیرات مضر؛
4. با توجه به الگوریتم عملکرد

ویروس های کامپیوتری با توجه به محل زندگی خود به دو دسته تقسیم می شوند:

1. شبکه؛
2. فایل؛
3. قابل بوت شدن
4. ترکیب شده.

شبکه زیستگاه ویروس ها عناصر شبکه های کامپیوتری هستند.فایل ویروس ها در فایل های اجرایی قرار دارند.چکمه ویروس ها در بخش بوت دستگاه های ذخیره سازی خارجی قرار دارند.ترکیب شدهویروس ها در چندین زیستگاه زندگی می کنند. به عنوان مثال، ویروس های بوت فایل.

با توجه به روش آلوده کردن زیستگاه، ویروس های کامپیوتری به دو دسته تقسیم می شوند:

1. مقیم؛
2. غیر ساکن.

ویروس های مقیم پس از فعال شدن به طور کامل یا جزئی از محیط خود به رم کامپیوتر منتقل می شوند. این ویروس ها، به عنوان یک قاعده، از حالت های عملیات ممتاز استفاده می کنند، فقط مجاز هستند سیستم عاملزیستگاه را آلوده کرده و در صورت تحقق شرایط خاص، عملکرد آفتی را انجام دهد.

ویروس های غیر مقیم فقط در طول مدت فعالیت خود وارد رم کامپیوتر می شوند و در طی آن عملکرد مضر و عفونی انجام می دهند. سپس آنها به طور کامل RAM را ترک می کنند و در زیستگاه باقی می مانند.

با توجه به درجه خطر برای منابع اطلاعاتی کاربر، ویروس ها به موارد زیر تقسیم می شوند:

1. بی ضرر؛
2. خطرناک؛
3. بسیار خطرناک.

1. مصرف منابع سیستم کامپیوتری؛
2. ممکن است حاوی خطاهایی باشد که عواقب خطرناکی برای منابع اطلاعاتی ایجاد کند.
3. ویروس‌هایی که قبلاً ایجاد شده‌اند می‌توانند منجر به نقض الگوریتم عملکرد منظم سیستم هنگام ارتقاء سیستم عامل یا سخت‌افزار شوند.

ویروس های خطرناک باعث کاهش قابل توجهی در کارایی یک سیستم کامپیوتری می شوند، اما منجر به نقض یکپارچگی و محرمانه بودن اطلاعات ذخیره شده در دستگاه های ذخیره سازی نمی شوند.

خیلی ویروس های خطرناکدارای اثرات مضر زیر است:

1. باعث نقض محرمانه بودن اطلاعات شود؛
2. از بین بردن اطلاعات؛
3. ایجاد تغییر برگشت ناپذیر (از جمله رمزگذاری) اطلاعات؛
4. مسدود کردن دسترسی به اطلاعات؛
5. منجر به خرابی سخت افزار شود
6. به سلامت کاربران آسیب برساند.

بر اساس الگوریتم عملکرد، ویروس ها به موارد زیر تقسیم می شوند:

1. که در طول پراکنش، زیستگاه را تغییر نمی دهند.
2. تغییر زیستگاه در هنگام گسترش.

سازمان امنیت اطلاعات باید جامع و مبتنی بر تحلیل عمیقعواقب منفی احتمالی در انجام این کار، مهم است که از هیچ جنبه مهمی غافل نشوید. تجزیه و تحلیل پیامدهای منفی مستلزم شناسایی اجباری منابع احتمالی تهدیدات، عوامل مؤثر در بروز آنها و در نتیجه شناسایی تهدیدهای واقعی برای امنیت اطلاعات است. در جریان چنین تحلیلی، لازم است اطمینان حاصل شود که همه منابع احتمالی تهدید شناسایی، شناسایی و با منابع تهدید مقایسه شده اند، همه عوامل احتمالی (آسیب پذیری) ذاتی شی محافظت شده، همه منابع و عوامل شناسایی شده در مقایسه با تهدیدات امنیت اطلاعات

بر اساس این اصل، مدل سازی و طبقه بندی منابع تهدید و تظاهرات آنها، توصیه می شود بر اساس تجزیه و تحلیل تعامل زنجیره منطقی انجام شود:

منبع تهدید - عامل (آسیب پذیری) - تهدید (عمل) - پیامدها (حمله).

این اصطلاحات را باید به صورت زیر درک کرد:

منبع تهدید - اینها حاملان بالقوه انسانی، ساخته دست بشر یا طبیعی تهدیدهای امنیتی هستند.

تهدید (اقدام) خطر احتمالی (بالقوه یا واقعی) از ارتکاب هر عمل (عمل یا عدم اقدام) علیه هدف حفاظتی (منابع اطلاعاتی)، آسیب رساندن به مالک، مالک یا کاربر است که در خطر تحریف و از دست دادن اطلاعات ظاهر می شود.

عامل (آسیب پذیری) - اینها دلایل ذاتی در موضوع اطلاعات سازی است که منجر به نقض امنیت اطلاعات در یک شی خاص می شود و به دلیل کاستی های روند عملکرد شی اطلاعات سازی، ویژگی های معماری خودکار سیستم، پروتکل های تبادل و رابط های مورد استفاده توسط پلت فرم نرم افزاری و سخت افزاری، شرایط عملیاتی.

عواقب (حمله)- آی تی عواقب احتمالیاجرای تهدید (اقدامات ممکن) زمانی که منبع تهدید از طریق عوامل موجود (آسیب پذیری) در تعامل باشد.

همانطور که از تعریف مشخص است، یک حمله همیشه یک جفت "منبع - عامل" است که یک تهدید را اجرا می کند و منجر به آسیب می شود. در عین حال، تجزیه و تحلیل پیامدها شامل تجزیه و تحلیل آسیب های احتمالی و انتخاب روش هایی برای مقابله با تهدیدات امنیت اطلاعات است.

تهدیدات زیادی برای امنیت اطلاعات وجود ندارد. تهدید، همانطور که از تعریف بر می آید، خطر ایجاد خسارت است، یعنی این تعریف ارتباط قوی بین مشکلات فنی و مقوله حقوقی که «خسارت» است، آشکار می کند.

بیایید مفهوم "خسارت" را به عنوان یک دسته بندی از تهدیدها در نظر بگیریم.

آسیب بالقوه می تواند به روش های مختلف ظاهر شود:

آسیب معنوی و مادی به شهرت تجاری سازمان؛

خسارت معنوی، فیزیکی یا مادی مرتبط با افشای اطلاعات شخصی افراد؛

خسارت مادی (مالی) ناشی از افشای اطلاعات محافظت شده (محرمانه)؛

خسارت مادی (مالی) ناشی از نیاز به بازیابی منابع اطلاعاتی محافظت شده نقض شده؛

خسارت مادی (زیان) ناشی از ناتوانی در انجام تعهدات متعهد به شخص ثالث؛

خسارات معنوی و مادی ناشی از بی نظمی در فعالیت های سازمان؛

خسارات مادی و معنوی ناشی از نقض روابط بین الملل.

آسیب می تواند ناشی از هر موضوعی باشد و در این صورت جرمی متوجه شخص باشد و همچنین نتیجه تظاهراتی مستقل از موضوع باشد (مثلاً رویدادهای طبیعی یا تأثیرات دیگر مانند جلوه هایی از ویژگی های فن آوری تمدن). در مورد اول، تقصیر موضوعی وجود دارد که ضرر ناشی از آن را جرم ارتکابی با نیت سوء (عمداً یعنی عملی که با قصد مستقیم یا غیرمستقیم انجام شده است2) یا از روی سهل انگاری (عملی که از روی سهل انگاری، سهل انگاری انجام شده است) تعریف می کند. ، در نتیجه آسیب بی گناه4) و خسارت وارده باید طبق قوانین کیفری جرم محسوب شود.

در حالت دوم، خسارت ماهیت احتمالی دارد و باید حداقل با خطری که در قانون مدنی، اداری یا داوری موضوع رسیدگی تعیین شده است، سنجیده شود.

در تئوری حقوق، خسارت به عنوان پیامدهای مالکیت نامطلوب برای مالک، که در نتیجه یک جرم به وجود آمده است، تلقی می شود. خسارت به صورت کاهش دارایی یا از دست دادن درآمد بیان می شود که در صورت عدم وجود جرم (از دست دادن سود) دریافت می شد.

وقتی به عنوان موضوعی تلقی می شود که به هر شخصی ضرر وارد کرده است، مقوله «خسارت» تنها زمانی معتبر است که بتوان اثبات کرد که موجب آن شده است، یعنی اعمال شخص باید از نظر اعمال حقوقی واجد شرایط باشد. یک جسم ظلمی بنابراین، هنگام طبقه‌بندی تهدیدات امنیت اطلاعات در این مورد، توصیه می‌شود الزامات قانون کیفری فعلی را در نظر بگیریم که بدنه جرم را تعیین می‌کند.

در اینجا چند نمونه از جنایات قانونی تعریف شده توسط قانون جنایی فدراسیون روسیه آورده شده است.

سرقت - متعهد با هدف خودخواهانهتوقیف بلاعوض غیرقانونی و (یا) گردش اموال شخص دیگری به نفع شخص مقصر یا اشخاص دیگر که باعث خسارت به مالک یا صاحب مال می شود.

کپی کردن اطلاعات کامپیوتر- تکرار و چاپ پایدار اطلاعات روی یک ماشین یا رسانه دیگر

از بین رفتن ه - تأثیر خارجی بر دارایی که در نتیجه آن از نظر فیزیکی وجود ندارد یا برای هدف مورد نظر خود کاملاً غیرقابل استفاده می شود. اموال تخریب شده با تعمیر یا مرمت قابل ترمیم نیست و به طور کامل از گردش اقتصادی خارج می شود.

تخریب اطلاعات کامپیوتری- پاک کردن آن در حافظه کامپیوتر

خسارت - تغییر در خواص اموال که در آن وضعیت آن به طور قابل توجهی بدتر می شود، بخش قابل توجهی از خواص مفید آن از بین می رود و به طور کامل یا جزئی برای استفاده مورد نظر نامناسب می شود.

اصلاح اطلاعات کامپیوتری- ایجاد هر گونه تغییر، به جز تغییرات مربوط به انطباق یک برنامه کامپیوتری یا پایگاه داده

مسدود کردن اطلاعات کامپیوتر- انسداد مصنوعی دسترسی کاربران به اطلاعات، غیر مرتبط با تخریب آن.

تخریب غیر مجاز، مسدود کردن، اصلاح، کپی کردن اطلاعات- هرگونه اقدام مشخص شده با اطلاعاتی که توسط قانون، مالک یا یک کاربر ذیصلاح مجاز نیست.

فریب (انکار اصالت، تحمیل اطلاعات نادرست) - تحریف یا کتمان عمدی حقیقت به منظور گمراه کردن مسئول مال و در نتیجه گرفتن انتقال داوطلبانه اموال از وی و همچنین پیامی برای این منظور آگاهانه. اطلاعات غلط

اگرچه لازم نیست در مورد قصد سوء فرد در از بین بردن اطلاعات در نتیجه بلایای طبیعی صحبت شود و همچنین این واقعیت که بلای طبیعی می تواند از اطلاعات محرمانه برای کسب منافع خود استفاده کند. «آسیب به اموال» قانوناً در اینجا قابل اجرا است. در عین حال، ما در مورد مسئولیت کیفری برای تخریب یا آسیب به دارایی شخص دیگری صحبت نمی کنیم، بلکه در مورد مواردی که تحت قانون مدنی قرار می گیرند از نظر جبران خسارت وارده (خطر از دست دادن تصادفی دارایی - یعنی خطر) صحبت نمی کنیم. آسیب احتمالی ناشی از از دست دادن یا آسیب به اموال به دلایلی مستقل از موضوعات نرم افزاری قانون کلیدر این مورد، خسارات مربوط به از دست دادن یا آسیب به مال به عهده مالک است، با این حال، قانون مدنی گزینه های دیگری را برای جبران خسارت وارده پیش بینی می کند.

بنابراین، با جمع بندی موارد فوق، می توان استدلال کرد که تهدیدات امنیت اطلاعات عبارتند از:

سرقت (کپی) اطلاعات؛

تخریب اطلاعات؛

اصلاح (تحریف) اطلاعات؛

نقض در دسترس بودن (مسدود کردن) اطلاعات؛

انکار صحت اطلاعات؛

تحمیل اطلاعات نادرست

منابع تهدید، حامل تهدیدات برای امنیت اطلاعات هستند. هم سوژه ها (شخصیت) و هم تظاهرات عینی می توانند به عنوان منابع تهدید عمل کنند. علاوه بر این، منابع تهدید را می توان هم در داخل سازمان محافظت شده - منابع داخلی و هم در خارج از آن - منابع خارجی قرار داد. تقسیم منابع به ذهنی و عینی بر اساس ملاحظات قبلی در مورد گناه یا خطر آسیب به اطلاعات توجیه می شود. و تقسیم به منابع داخلی و خارجی موجه است زیرا برای تهدید یکسان، روش های مقابله با منابع خارجی و داخلی می تواند متفاوت باشد.

تمام منابع تهدید کننده امنیت اطلاعات را می توان به سه گروه اصلی تقسیم کرد:

I. ناشی از اعمال سوژه (منابع انسانی تهدید).

II. به دلیل ابزارهای فنی (منابع تهدید انسان ساخت).

III. مشروط توسط منابع خود به خود.

هنگام انتخاب روشی برای رتبه بندی منابع تهدید، از روش مندرج در استانداردهای بین المللی19 و همچنین تجربه عملی کارشناسان روسی در زمینه امنیت اطلاعات استفاده شد.

همه منابع تهدید دارای درجه متفاوتی از خطر (Cp) i هستند که با رتبه بندی آنها می توان مقدار آن را تعیین کرد.

3. انواع حفاظت از اطلاعات.

اطلاعات و سیستم های اطلاعاتی توسط خطوط مختلفکه می توان آن را انواع حفاظت تعریف کرد. هر یک از آنها شامل روش ها و ابزارهای خاص خود است که نشان دهنده ویژگی های حفاظت است. بنابراین، انواع حفاظت اطلاعات عبارتند از:

1. اقدامات و روشهای سازمانی و فنی و امنیتی.

این نوع با ساخت به اصطلاح سیاست امنیت اطلاعات یا سیاست امنیتی سیستم اطلاعاتی در نظر گرفته شده مشخص می شود. سیاست امنیتی (اطلاعات در یک سازمان) (سیاست امنیتی سازمانی انگلیسی) - مجموعه ای از قوانین مستند، رویه ها، تکنیک های عملییا دستورالعمل های امنیت اطلاعات که سازمان را در عملیات خود راهنمایی می کند.

خط مشی امنیتی فناوری اطلاعات و مخابرات (سیاست امنیتی فناوری اطلاعات و ارتباطات) - قوانین، دستورالعمل ها، رویه های ایجاد شده که تعیین می کند چگونه در سازمان و فناوری های اطلاعاتی و مخابراتی آن، مدیریت، حفاظت و توزیع دارایی ها، از جمله اطلاعات حیاتی، انجام شود.

2. نرم افزارها و روش ها و ابزارهای فنی تضمین امنیت اطلاعات.

این خط دفاعی شامل توسعه روش ها و ابزارهایی است که می توان آنها را بسته به روش، هدف و هدف استفاده به شرح زیر طبقه بندی کرد:

ابزار محافظت در برابر دسترسی غیرمجاز (NSD).

سیستم‌های تحلیل و مدل‌سازی جریان‌های اطلاعاتی (CASE-systems).

سیستم های نظارت بر شبکه

ابزارهای آنتی ویروس

فایروال ها

ابزار رمزنگاری

سیستم های پشتیبان گیری

سیستم های منبع تغذیه بدون وقفه.

سیستم های احراز هویت

وسیله ای برای جلوگیری از ترک خوردگی کیس ها و سرقت تجهیزات.

ابزار کنترل دسترسی به محل.

ابزارهای تجزیه و تحلیل سیستم های حفاظتی:

3. حفاظت سازمانی از اشیاء اطلاعات

حفاظت سازمانی از اطلاعات در یک شرکت تنظیم فعالیت های تولیدی و روابط بین نهادها (کارکنان یک شرکت) بر اساس مبنای قانونی است، به استثنای یا کاهش خسارت به این شرکت.

اولین تعاریف ارائه شده تا حد زیادی ماهیت حفاظت سازمانی از اطلاعات را نشان می دهد. دوم، ساختار خود را در سطح سازمانی نشان می دهد. با این حال، هر دو تعریف بر اهمیت هنجاری تأکید دارند مقررات قانونیمسائل امنیت اطلاعات همراه با رویکردی یکپارچه برای استفاده از نیروها و وسایل موجود برای این منظور. جهت های اصلی حفاظت سازمانی اطلاعات در زیر آورده شده است.

حفاظت از اطلاعات سازمانی:

سازماندهی کار با پرسنل؛

سازمان کنترل و امنیت درون تأسیسات و دسترسی.

سازماندهی کار با حامل های اطلاعات؛

برنامه ریزی جامع اقدامات حفاظت از اطلاعات؛

سازماندهی کار تحلیلی و کنترل.

در رابطه با سیستم های اطلاعاتی موارد زیر از اهمیت بالایی برخوردار است:

سازماندهی کار با اسناد و اطلاعات مستند، از جمله سازماندهی توسعه و استفاده از اسناد و رسانه های اطلاعات محرمانه، حسابداری، اجرا، بازگشت، ذخیره و تخریب آنها.

سازماندهی استفاده از ابزارهای فنی برای جمع آوری، پردازش، انباشت و ذخیره اطلاعات محرمانه؛

سازماندهی کار بر روی تجزیه و تحلیل تهدیدات داخلی و خارجی برای اطلاعات محرمانه و توسعه اقدامات برای اطمینان از حفاظت از آن.

4. حفاظت قانونی از اطلاعات.

برای حفاظت از اطلاعات، یک سیستم حفاظت از اطلاعات ایجاد می شود، متشکل از مجموعه ای از ارگان ها و (یا) مجریان، تکنیک های حفاظتی که آنها استفاده می کنند، سازماندهی شده و مطابق با قوانین تعیین شده توسط اسناد قانونی، نظارتی و نظارتی در زمینه حفاظت از اطلاعات کار می کنند. .

حمایت حقوقی از امنیت اطلاعات عبارت است از اجرای قوانین، مقررات، مصوبات و دستورالعمل‌های موجود یا معرفی جدید حاكم بر مسئولیت قانونی مقامات، مدیران، كاربران و پرسنل فنی تعمیر و نگهداری در قبال نشت، گم شدن یا اصلاح اطلاعاتی كه به آنها سپرده شده است، مشروط به حفاظت، از جمله برای تلاش برای انجام اقدامات مشابه خارج از اختیارات خود، و همچنین مسئولیت افراد غیرمجاز برای تلاش برای دسترسی غیرمجاز عمدی به وسایل و اطلاعات فنی.

در بین کلیه قوانین بین المللی هنجاری در زمینه امنیت اطلاعات در کشور ما، اسناد سازمانی و فنی به ویژه استانداردها بیشترین کاربرد را دارد. اکثر آنها به عنوان استانداردهای ملی در زمینه امنیت اطلاعات پذیرفته شده اند.

در فدراسیون روسیه، اقدامات قانونی نظارتی در زمینه امنیت اطلاعات عبارتند از

قانون فدرال:

1. معاهدات بین المللی فدراسیون روسیه؛
2. قانون اساسی فدراسیون روسیه؛
3. قوانین سطح فدرال (از جمله قوانین قانون اساسی فدرال، کدها)؛
4. احکام رئیس جمهور فدراسیون روسیه؛
5. تصمیمات دولت فدراسیون روسیه؛
6. قوانین قانونی هنجاری وزارتخانه ها و ادارات فدرال؛
7. قوانین قانونی هنجاری نهادهای تشکیل دهنده فدراسیون روسیه، مقامات محلی و غیره.

اسناد تنظیمی و روش شناختی عبارتند از:

1. اسناد روش شناختی ارگان های دولتی روسیه:
2. دکترین امنیت اطلاعات RF;
3. دستورالعمل های FSTEC (کمیسیون فنی دولتی روسیه)؛
4. سفارشات FSB؛
5. استانداردهای امنیت اطلاعات, که متمایز می شوند:
6. استانداردهای بین المللی;
7. استانداردهای ایالتی (ملی) فدراسیون روسیه؛
8. توصیه هایی برای استانداردسازی؛
9. دستورالعمل های روشی

چارچوب نظارتی داخلی فدرال و دپارتمان برای حفاظت از اطلاعات در حال حاضر شامل بیش از صد سند نظارتی مرتبط با مسائل امنیت اطلاعات در سطوح ایالتی، منطقه ای، محلی و دپارتمان است. با توجه به هدف و محتوای آنها می توان آنها را به سه گروه تقسیم کرد:

1. اسناد مفهومی که مبنای حفاظت از اطلاعات در روسیه را تعریف می کند.

2. قوانین فدرال تعریف سیستم حفاظت از اطلاعات در روسیه.

3. اقدامات هنجاری کمکی در قالب احکام رئیس جمهور فدراسیون روسیه، احکام دولت فدراسیون روسیه، دستورالعمل ها و استانداردهای بین بخشی و اداراتی که بر روند و مکانیسم های اجرای مقررات و الزامات سیستم ارائه اطلاعات حاکم است. .ملی امنیت کشورها

4. روش های حفاظت از اطلاعات

ز حفاظت از اطلاعات در سیستم های کامپیوتری با ایجاد یک سیستم حفاظتی یکپارچه تضمین می شود. سیستم حفاظت جامع شامل:

1. روش های قانونی حفاظت؛
2. روش های حفاظت سازمانی؛
3. روش های محافظت در برابر تهدیدات تصادفی؛
4. روشهای حفاظت در برابر جاسوسی و خرابکاری سنتی؛
5. روش های محافظت در برابر تابش الکترومغناطیسیو وانت؛
6. روشهای محافظت در برابر دسترسی غیرمجاز؛
7. روش های حفاظت رمزنگاری؛
8. روش های محافظت در برابر ویروس های کامپیوتری

در بین روش های حفاظت، روش های جهانی نیز وجود دارد که در ایجاد هر سیستم حفاظتی اساسی هستند. اینها، اول از همه، روش های قانونی حفاظت از اطلاعات هستند که به عنوان مبنایی برای ساخت و استفاده قانونی از یک سیستم حفاظتی برای هر هدفی عمل می کنند. روش‌های سازمانی که بدون استثنا در هر سیستم حفاظتی مورد استفاده قرار می‌گیرند و قاعدتاً در برابر چندین تهدید محافظت می‌کنند نیز می‌توانند در زمره روش‌های جهانی طبقه‌بندی شوند.

روش های حفاظت در برابر تهدیدات تصادفی در مراحل طراحی، ایجاد، اجرا و بهره برداری از سیستم های کامپیوتری توسعه یافته و اجرا می شود. این شامل:

1. ایجاد قابلیت اطمینان بالای سیستم های کامپیوتری؛
2. ایجاد سیستم های کامپیوتری مقاوم به خطا؛
3. مسدود کردن عملیات اشتباه؛
4. بهینه سازی تعامل کاربران و پرسنل خدمات با سیستم کامپیوتری؛
5. به حداقل رساندن خسارات ناشی از حوادث و بلایای طبیعی؛
6. تکراری بودن اطلاعات

هنگام محافظت از اطلاعات در سیستم های رایانه ای در برابر جاسوسی و خرابکاری سنتی، از همان ابزار و روش های محافظتی استفاده می شود که برای محافظت از سایر اشیاء که از سیستم های رایانه ای استفاده نمی کنند استفاده می شود. این شامل:

1. ایجاد یک سیستم امنیتی برای تاسیسات؛
2. سازماندهی کار با منابع اطلاعاتی محرمانه؛
3. مقابله با نظارت و استراق سمع؛
4. محافظت در برابر اقدامات مخرب پرسنل

تمام روش های محافظت در برابر تشعشعات الکترومغناطیسی و تداخل را می توان به غیرفعال و فعال تقسیم کرد. روش های غیرفعال باعث کاهش سطح سیگنال خطرناک یا کاهش محتوای اطلاعات سیگنال ها می شود. روش‌های حفاظت فعال با هدف ایجاد تداخل در کانال‌های تشعشعات الکترومغناطیسی جعلی و تداخل است که دریافت و انتخاب را دشوار می‌کند. اطلاعات مفیداز سیگنال های رهگیری شده توسط مهاجم. قطعات الکترونیکی و دستگاه های ذخیره مغناطیسی می توانند تحت تاثیر پالس های الکترومغناطیسی خارجی قدرتمند و تابش فرکانس بالا... این تأثیرات می تواند منجر به نقص در عملکرد قطعات الکترونیکی و پاک کردن اطلاعات از رسانه های ذخیره سازی مغناطیسی شود. برای جلوگیری از تهدید چنین ضربه ای، از محافظ وسایل محافظت شده استفاده می شود.

برای محافظت از اطلاعات در برابر دسترسی غیرمجاز، موارد زیر ایجاد شده است:

1. سیستم تمایز دسترسی به اطلاعات؛
2. سیستم حفاظت در برابر تحقیق و کپی کردن نرم افزار.

اطلاعات اولیه برای ایجاد یک سیستم کنترل دسترسی، تصمیم مدیر سیستم کامپیوتری است که به کاربران اجازه دسترسی به منابع اطلاعاتی خاص را می دهد. از آنجایی که اطلاعات در سیستم های کامپیوتری توسط فایل ها (بخش هایی از فایل ها) ذخیره، پردازش و منتقل می شود، دسترسی به اطلاعات در سطح فایل تنظیم می شود. در پایگاه‌های داده، دسترسی به بخش‌های جداگانه آن طبق قوانین خاصی قابل تنظیم است. هنگام تعریف مجوزهای دسترسی، مدیر عملیاتی را که کاربر مجاز به انجام آن است تنظیم می کند. عملیات فایل زیر وجود دارد:

1. خواندن (R)؛
2. ضبط؛
3. اجرای برنامه ها (E).

عملیات نوشتن دو تغییر دارد:

1. با تغییر محتوای فایل (W) می توان به موضوع دسترسی حق نوشتن داد.
2. اجازه اضافه کردن به فایل بدون تغییر محتوای قدیمی (A).

سیستم حفاظت در برابر تحقیق و کپی نرم افزار شامل روش های زیر است:

1. روش هایی که خواندن اطلاعات کپی شده را دشوار می کند.
2. روش های جلوگیری از استفاده از اطلاعات

حفاظت رمزنگاری از اطلاعات به عنوان چنین تغییر شکلی در اطلاعات اصلی درک می شود که در نتیجه برای آشنایی و استفاده توسط افرادی که صلاحیت انجام این کار را ندارند در دسترس نمی شود. با توجه به نوع تأثیر بر اطلاعات اولیه، روش‌های تبدیل رمزنگاری اطلاعات به گروه‌های زیر تقسیم می‌شوند:

1. رمزگذاری؛
2. کوتاه نویسی;
3. کدگذاری؛
4. فشرده سازی

برنامه های مخرب و بالاتر از همه، ویروس ها تهدید بسیار جدی برای اطلاعات در سیستم های کامپیوتری هستند. آگاهی از مکانیسم های عمل ویروس ها، روش ها و روش های مبارزه با آنها به شما امکان می دهد تا به طور موثر مقاومت در برابر ویروس ها را سازماندهی کنید، احتمال عفونت و تلفات ناشی از تأثیر آنها را به حداقل برسانید.

ویروس های کامپیوتریبرنامه‌های کوچک قابل اجرا یا تفسیری هستند که خود را در سیستم‌های کامپیوتری منتشر و بازتولید می‌کنند. ویروس ها می توانند نرم افزار یا داده های ذخیره شده در سیستم های کامپیوتری را تغییر داده یا از بین ببرند. ویروس ها می توانند در حین انتشار خود را تغییر دهند.

برای مبارزه با ویروس های رایانه ای، از ابزارهای ضد ویروس خاص و روش های کاربرد آنها استفاده می شود. ابزارهای آنتی ویروس وظایف زیر را انجام می دهند:

1. شناسایی ویروس ها در سیستم های کامپیوتری؛
2. مسدود کردن عملکرد برنامه های ویروسی؛
3. از بین بردن پیامدهای قرار گرفتن در معرض ویروس ها.

شناسایی ویروس و مسدود کردن برنامه های ویروس با روش های زیر انجام می شود:

1. اسکن؛
2. تشخیص تغییرات؛
3. تحلیل اکتشافی؛
4. استفاده از نگهبانان ساکن؛
5. برنامه های واکسیناسیون؛
6. حفاظت سخت افزاری و نرم افزاری

از بین بردن پیامدهای قرار گرفتن در معرض ویروس ها با روش های زیر انجام می شود:

1. بازیابی سیستم پس از قرار گرفتن در معرض ویروس های شناخته شده؛
2. بازیابی سیستم پس از قرار گرفتن در معرض ویروس های ناشناخته.

جلوگیری از عفونت توسط ویروس های سیستم های کامپیوتری

شرط اصلی کار ایمن در سیستم های کامپیوتری رعایت قوانینی است که در عمل آزمایش شده و کارایی بالای خود را نشان داده است.

قانون یک استفاده اجباری محصولات نرم افزاریقانونی به دست آمده است. از آنجایی که نسخه‌های غیرقانونی، چندین برابر بیشتر از نرم‌افزارهای دریافت‌شده رسمی، ویروس دارند.

قانون دوم. کپی کردن اطلاعات، یعنی ایجاد کپی از فایل های کاری روی رسانه های قابل جابجایی (فلاپی دیسک، سی دی، و غیره) با محافظت از نوشتن.

قانون سه به طور منظم از ابزارهای ضد ویروس استفاده کنید، یعنی قبل از شروع کار، اسکنرها و برنامه های حسابرسی (Aidstest و Adinf) را اجرا کنید. این ابزارهای آنتی ویروس باید به طور مرتب به روز شوند.

قانون چهارهنگام استفاده از رسانه های قابل جابجایی جدید و فایل های جدید مراقب باشید. فلاپی ها و سی دی های جدید باید از نظر قابل بوت شدن و بررسی شوند ویروس های فایلو فایل های دریافتی - برای وجود ویروس های فایل. بررسی توسط اسکنرها و برنامه هایی انجام می شود که تجزیه و تحلیل اکتشافی را انجام می دهند (Aidstest، Doctor Web، AntiVirus). اولین باری که فایل اجرایی اجرا می شود، از نگهبان های ساکن استفاده می شود. هنگام کار با اسناد و جداول دریافتی، لازم است اجرای ماکروها توسط ابزارهای داخلی متن و ویرایشگرهای صفحه گسترده (MS Word، MS Excel) تا تکمیل ممنوع شود. بررسی کاملاین فایل ها برای ویروس ها

قانون پنجم. هنگام کار در سیستم های استفاده جمعی، لازم است رسانه های قابل جابجایی جدید و فایل های وارد شده به سیستم در رایانه هایی که مخصوص این منظور اختصاص داده شده اند را بررسی کنید. این باید توسط مدیر سیستم یا شخصی که مسئول امنیت اطلاعات است انجام شود. فقط پس از جامع اسکن آنتی ویروسدیسک ها و فایل ها را می توان به کاربران سیستم منتقل کرد.

قانون ششم اگر قصد ثبت اطلاعات روی حامل را ندارید، باید اجرای این عملیات را مسدود کنید.

اجرای مستمر قوانین ذکر شده می تواند به میزان قابل توجهی احتمال ابتلا را کاهش دهد. ویروس های نرم افزاریو برای اطمینان از محافظت از کاربر در برابر از دست دادن غیرقابل جبران اطلاعات.

در سیستم‌های حیاتی، از ابزارهای سخت‌افزاری و نرم‌افزاری (مثلاً Sheriff) برای مبارزه با ویروس‌ها استفاده می‌شود.

رویه برای کاربر در هنگام شناسایی عفونت ویروسی سیستم کامپیوتری

با وجود رعایت دقیق کلیه قوانین برای جلوگیری از عفونت توسط ویروس ها در یک سیستم رایانه ای، امکان آلودگی آنها را نمی توان به طور کامل رد کرد. با این حال، اگر هنگام آلوده شدن به ویروس، به دنباله خاصی از اقدامات پایبند باشید، عواقب حضور ویروس ها در سیستم رایانه را می توان به حداقل رساند.

وجود ویروس ها را می توان با رویدادهای زیر قضاوت کرد:

1. ظاهر پیام هایی از ابزارهای آنتی ویروس در مورد عفونت یا عفونت مشکوک؛
2. تظاهرات آشکار وجود ویروس ها (پیام های نمایش داده شده بر روی مانیتور یا چاپگر، جلوه های صوتی، تخریب فایل ها و غیره)؛
3. تظاهرات ضمنی عفونت، که می تواند ناشی از خرابی یا خرابی سخت افزار و نرم افزار، "یخ زدن" سیستم، کاهش سرعت در اجرای برخی اقدامات، نقض آدرس دهی، خرابی دستگاه و سایر تظاهرات باشد.

هنگام دریافت اطلاعات در مورد عفونت مشکوک، کاربر باید از این موضوع مطمئن شود. شما می توانید این مشکل را با استفاده از طیف وسیعی از ابزارهای ضد ویروس حل کنید. اگر عفونت واقعا اتفاق افتاده باشد، کاربر باید دنباله اقدامات زیر را انجام دهد:

1. کامپیوتر را خاموش کنید تا ویروس های ساکن را از بین ببرید.
2. بارگیری سیستم عامل مرجع از یک رسانه قابل جابجایی که حاوی ویروس نیست.
3. صرفه جویی در رسانه قابل جابجاییاطلاعات فایل های مهمکه کپی مقیم ندارند؛
4. از ابزارهای آنتی ویروس برای حذف ویروس ها و بازیابی فایل ها، مناطق حافظه استفاده کنید. اگر عملکرد سیستم کامپیوتری بازیابی شد، بازیابی اطلاعات را با بررسی جامع سیستم کامپیوتری با استفاده از تمام ابزارهای ضد ویروسی که در دسترس کاربر است، کامل کنید. در غیر این صورت، به انجام اقدامات ضد ویروس ادامه دهید.
5. پاک کردن کامل و نشانه گذاری (قالب بندی) دستگاه های ذخیره سازی خارجی غیر قابل جابجایی. در رایانه های شخصی می توان از برنامه های MS-DOS FDISK و FORMAT برای این کار استفاده کرد. فرمت‌کننده FORMAT رکورد اصلی راه‌اندازی هارد دیسک را که ممکن است حاوی ویروس بوت باشد حذف نمی‌کند. بنابراین لازم است برنامه FDISK با پارامتر MBR بدون سند اجرا شود، پارتیشن ها و دیسک های منطقی روی هارد دیسک با استفاده از همان برنامه ایجاد شود. سپس اجرا شد برنامه FORMATبرای همه درایوهای منطقی;
6. بازیابی سیستم عامل، سیستم های نرم افزاری دیگر و فایل ها از پشتیبان گیریایجاد شده قبل از عفونت؛
7. فایل های ذخیره شده را پس از شناسایی عفونت به طور کامل بررسی کنید و در صورت لزوم ویروس ها را حذف کرده و فایل ها را بازیابی کنید.
8. بازیابی کامل اطلاعات با اسکن جامع سیستم کامپیوتری با استفاده از تمامی ابزارهای آنتی ویروس در دسترس کاربر.

ویژگی های حفاظت از اطلاعات در پایگاه های داده

پایگاه های داده به عنوان ذخیره سازی قابل اعتمادداده های ساخت یافته، مجهز به مکانیزم ویژه برای آنها استفاده موثربه نفع کاربران (فرایندها). چنین مکانیزمی یک سیستم مدیریت پایگاه داده (DBMS) است. سیستم مدیریت پایگاه داده به عنوان نرم افزار یا ابزارهای سخت افزاری و نرم افزاری شناخته می شود که عملکردهای مدیریت داده ها را اجرا می کند، مانند: مشاهده، مرتب سازی، نمونه برداری، اصلاح، انجام عملیات برای تعیین ویژگی های آماری و غیره.

پایگاه های داده قرار دارند:

1. در سیستم کامپیوتری کاربر؛
2. روی یک کامپیوتر اختصاصی (سرور).

در سیستم کامپیوتری کاربر، به عنوان یک قاعده، شخصی یا پایگاه های اطلاعاتی شخصیداده هایی که به فرآیندهای یک کاربر خدمت می کنند.

در سرورها، پایگاه های داده در شبکه های کامپیوتری محلی و شرکتی قرار دارند که معمولاً به صورت متمرکز استفاده می شوند. شبکه های کامپیوتری جهانی عمومی پایگاه های داده ای را توزیع کرده اند. در چنین شبکه هایی، سرورها در اشیاء مختلف شبکه قرار دارند. سرورها کامپیوترهای تخصصی هستند که برای ذخیره مقادیر زیادی داده و اطمینان از ایمنی و در دسترس بودن اطلاعات و همچنین کارایی پردازش درخواست های دریافتی سازگار شده اند. در پایگاه های داده متمرکز، حل مشکل محافظت از اطلاعات در برابر تهدیدات عمدی، حفظ ارتباط و سازگاری داده ها آسان تر است. مزیت پایگاه های داده توزیع شده امنیت بالای آنها در برابر بلایای طبیعی، حوادث، خرابی وسایل فنی و خرابکاری در صورت تکرار این داده ها است.

ویژگی های حفاظت از اطلاعات در پایگاه های داده:

1. نیاز به در نظر گرفتن عملکرد DBMS هنگام انتخاب مکانیسم های حفاظتی؛
2. تمایز دسترسی به اطلاعات نه در سطح فایل، بلکه در سطح بخش هایی از پایگاه های داده اجرا می شود.

هنگام ایجاد ابزارهایی برای محافظت از اطلاعات در پایگاه های داده، لازم است تعامل این ابزارها نه تنها با سیستم عامل، بلکه با DBMS در نظر گرفته شود. در این صورت امکان تعبیه مکانیسم های حفاظتی در DBMS یا استفاده از آنها به عنوان اجزای جداگانه وجود دارد. برای اکثر DBMS ها، دادن آنها توابع اضافیفقط در مرحله توسعه آنها ممکن است. اجزای اضافی را می توان با گسترش یا تغییر زبان کنترل به سیستم های مدیریت پایگاه داده عملیاتی شده اضافه کرد.

اقدامات قانونی فدراسیون روسیه که روابط حقوقی را در زمینه امنیت اطلاعات و حفاظت از اسرار دولتی تنظیم می کند.

دولت باید سیاست واحدی را در زمینه امنیت فناوری اطلاعات دنبال کند. این الزام در "مفهوم امنیت ملی فدراسیون روسیه" که با فرمان شماره 1300 رئیس جمهور فدراسیون روسیه در 17 دسامبر 1997 تصویب شد منعکس شد. این سند خاطرنشان می کند که در شرایط مدرن اطلاعات جهانی و توسعه فناوری اطلاعات، اهمیت تضمین امنیت ملی فدراسیون روسیه در حوزه اطلاعات به شدت در حال افزایش است. اهمیت تضمین امنیت دولت در حوزه اطلاعات نیز در "دکترین امنیت اطلاعات فدراسیون روسیه" تصویب شده در سپتامبر 2000 مورد تاکید قرار گرفته است. این اسناد مهمترین وظایف دولت را در زمینه امنیت اطلاعات مشخص می کند.

25 فوریه 1995 دومای دولتیقانون فدرال "در مورد اطلاعات، اطلاعات و حفاظت اطلاعات" تصویب شد. قانون اصطلاحات اساسی را تعریف می کند: اطلاعات، اطلاع رسانی، سیستم های اطلاعاتی، منابع اطلاعاتی، اطلاعات محرمانه، مالک و صاحب منابع اطلاعاتی، کاربر اطلاعات. دولت حقوق صاحب اطلاعات را بدون در نظر گرفتن شکل مالکیت، تضمین می کند که در محدوده تعیین شده توسط قانون از آن استفاده کند. صاحب اطلاعات حق دارد از منابع اطلاعاتی خود محافظت کند، نحوه دسترسی به آنها را تعیین کند. این قانون اهداف و رژیم های حفاظت از اطلاعات و همچنین نحوه حمایت از حقوق افراد در زمینه فرآیندهای اطلاعاتی و اطلاع رسانی را مشخص می کند.

یکی دیگر از اسناد حقوقی مهم حاکم بر حفاظت از اطلاعات در دادگاه قانون اساسی، قانون فدراسیون روسیه "در مورد اسرار دولتی" است که در 21 ژوئیه 1993 به تصویب رسید. قانون سطوح محرمانه بودن اطلاعات دولتی و درجه اهمیت اطلاعات مربوط به آن را مشخص می کند.

روابط مرتبط با ایجاد برنامه ها و پایگاه های داده تحت قانون فدراسیون روسیه مورخ 09.23.92 "در مورد حمایت قانونی از برنامه های رایانه ای و پایگاه های داده" و قانون فدراسیون روسیه مورخ 09.07.93 "در مورد حق چاپ و حقوق مرتبط" تنظیم می شود. "

مؤلفه مهم مقررات قانونی در حوزه فناوری اطلاعات، ایجاد مسئولیت است

شهروندان برای اقدامات غیرقانونی هنگام کار با COP. جرایمی که با استفاده از COP یا ایجاد خسارت به صاحبان COP انجام می شود، جرایم رایانه ای نامیده می شود.

قانون جزایی فدراسیون روسیه، مصوب 1 ژانویه 1997، شامل فصل 28 است که مسئولیت کیفری را برای جرایم در زمینه فناوری رایانه تعریف می کند.

در ماده 272 برای دسترسی غیرقانونی به اطلاعات رایانه ای مجازات تعیین شده است. مجازات این جرم از 200 حداقل مزد جزای نقدی تا 5 سال حبس است.

ماده 273 مسئولیت ایجاد، استفاده و توزیع برنامه های رایانه ای مخرب را تعیین می کند. مجازات این جرم تا 7 سال جزای نقدی است.

ماده 274 مسئولیت تخلف از ضوابط عملکرد رایانه ها، سیستم های رایانه ای یا شبکه های آنها را تعریف می کند. اگر چنین عملی صدمات قابل توجهی را به همراه داشته باشد، مرتکبین با محرومیت از حق تصدی پست های خاص یا شرکت در فعالیت های خاص تا 5 سال مجازات می شوند. اگر همین اعمال عواقب سنگینی را به دنبال داشته باشد، تا 4 سال حبس در نظر گرفته می شود.

5. طبقه بندی روش ها و وسایل حفاظتی مدرن.

طبقه بندی اصلیروشها و وسایل حفاظتی مدرن:

1. روش های حفاظت از نرم افزار

2. کلیدهای الکترونیکی حفاظت

3. کارت های هوشمند

4. توکن های USB

5. ابزار شخصی حفاظت از اطلاعات رمزنگاری (PCDST)

6. درایوهای فلش ایمن

طبقه بندی روش های مدرن حفاظتی را می توان با توجه به پارامترهای زیر انجام داد:

- به هزینه برنامه ای که حفاظت از اطلاعات را فراهم می کند،

-با رواج روش حفاظتی و دامنه

-با درجه حفاظت در برابر سرقت، عیب یابی و جلوگیری از شکستگی یا سرقت.

طبقه بندی بر اساس ارزش وجوه

امروزه حفاظت از اطلاعات یکی از مواردی است که پول زیادی صرف آن می شود. و ارزشش را دارد، زیرا امروزه اطلاعات اهمیت زیادی دارد و می تواند به یک سلاح بسیار جدی تبدیل شود. هک کردن اطلاعات و همچنین محافظت از آن بسیار گران است، اما، به عنوان یک قاعده، کسانی که آماده هستند برای اجرای این حفاظت پول خرج کنند، نیاز به حفاظت از اطلاعات دارند. اهمیت اطلاعات به طور مستقیم با هزینه ای که برای محافظت از آن اطلاعات هزینه می شود، متناسب است. تصمیم بگیرید که آیا روش محافظت از اطلاعات ارزش پولی را دارد که برای آن درخواست می شود، صاحب اطلاعات

گران‌ترین و کاربردی‌ترین ابزار حفاظتی، کلیدهای امنیتی الکترونیکی و کارت‌های هوشمند هستند. سیستم حفاظتی در چنین برنامه هایی کاملاً منعطف است که به شما امکان می دهد داده ها را مجدداً برنامه ریزی کنید کاربر خاص... کلیدهای امنیتی الکترونیکی برای سفارش به صورت فردی توسعه یافته اند، بنابراین طرح هک آنها بسیار پیچیده تر از مثلاً در کارت های هوشمند است. یک سازمان پیچیده تر از روش حفاظت مستقیم تعیین می کند قیمت بالابرای برنامه

اگر در مورد هزینه برنامه هایی که حفاظت از اطلاعات را ارائه می دهند صحبت کنیم، شایان ذکر است که قیمت برخی از آنها با هزینه هک همان سیستم ها متناسب است. بنابراین، خرید چنین برنامه هایی بسیار نامناسب است - به هر حال، هک چنین برنامه هایی به سختی دشوارتر و گرانتر از نصب آنها است. به عنوان مثال، هزینه کرک یک کارت هوشمند حدود 50 هزار دلار است و آزمایشگاه های توسعه تضمینی برای محافظت در برابر هک نمی کنند.

PCDST، درایوهای فلش ویو اس بی -توکن ها از نظر ارزش در رتبه دوم قرار دارند. این حفاظت ها جدا از برنامه ای که نیاز به محافظت از داده ها دارد فروخته می شود، که در اصل از هک شدن اطلاعات جلوگیری می کند، زیرا هیچ طرح کلی هک وجود ندارد. درایوهای فلش ویو اس بی -توکن ها ابزار شخصی حفاظتی هستند، بنابراین برای دسترسی به اطلاعات، باید مستقیماً به دستگاه امنیتی دسترسی داشته باشید. به عنوان یک قاعده، هزینه چنین وسایل حفاظتی به اندازه قابلیت اطمینان و عملکرد آنها است.

در مقایسه با بقیه، روش های حفاظت از نرم افزار ارزان تر هستند. این به این دلیل است که داده های اولیه برای برنامه بلافاصله تنظیم می شوند، قابل تغییر نیستند و بخشی از خود برنامه هستند. حفاظت طبق همان طرح ها نصب می شود و حافظه را روی هارد دیسک اشغال می کند ، کاربر مستقیماً هزینه محافظت از اطلاعات را پرداخت نمی کند ، او خود اطلاعات را پرداخت می کند. همچنین، هزینه نسبتا پایین روش های حفاظت از نرم افزار با سهولت شکستن و / یا هک توضیح داده شده است. برای همه روش ها، طرح های یکسانی وجود دارد که بر اساس آن حفاظت پیکربندی می شود. فقط دانستن چنین طرحی کافی است و شکستن محافظ برای یک برنامه نویس خوب کار سختی نخواهد بود.

PCDST ها به دلیل انعطاف پذیری کمی گران تر هستند سیستم داخلیاجرای حفاظت، اما آنها همچنین ابزارهای حفاظتی نسبتاً خصوصی هستند و با توجه به قابلیت های عملکرد آنها، بسیار گرانتر از درایوهای فلش نیستند..

طبقه بندی بر اساس شیوع وجوه

حفاظت نرم افزاری رایج ترین نوع حفاظت است که با چنین ویژگی های مثبتی تسهیل می شود. این ابزاربه عنوان جهانی بودن، انعطاف پذیری، سهولت اجرا، امکانات تقریبا نامحدود برای تغییر و توسعه.

درایوهای فلش ایمن یکی دیگر از روش های حفاظتی پرکاربرد است. آنها برای هر کاربری در دسترس هستند، استفاده از آنها آسان است و برای استفاده نیازی به دانش خاصی ندارند. فقط در حال حاضر، هک چنین درایوهای فلش بسیار آسان است.

کلیدهای امنیتی الکترونیکی، فلش درایوهای امن، کارت های هوشمند ویو اس بی توکن ها - ابزارهای امنیتی رایج هم در میان کاربران خصوصی و هم در میان دستگاه های اداری مانند پایانه های پرداخت، ماشین های بانکی، صندوق های پول و غیره. درایوهای فلش ویو اس بی - توکن ها به راحتی برای محافظت از نرم افزار استفاده می شوند و هزینه نسبتا ارزان آنها امکان توزیع گسترده آنها را فراهم می کند. کلیدهای امنیتی الکترونیکی هنگام کار با دستگاه هایی استفاده می شود که حاوی اطلاعات یک کاربر خاص نیست، بلکه اطلاعات مربوط به آن است کل سیستم... چنین داده هایی معمولاً نیاز به حفاظت بیشتری دارند زیرا هم خود سیستم و هم بر بسیاری از کاربران آن تأثیر می گذارد. این سیستم که به گزینه های برنامه نویسی در کارت ها و کلیدهای هوشمند اجازه می دهد، به شما امکان می دهد تا با سفارشی کردن سیستم امنیتی برای سیستم عامل موجود، دامنه آنها را گسترش دهید. به عنوان مثال، باشگاه های خصوصی برای محافظت از کلید استفاده می کنند اطلاعات خصوصیمشمول اطلاعات نیست

حفاظت از اطلاعات در سرویس های امنیتی سازمان های مختلف از هم جداست. در اینجا تقریباً همه روش های حفاظت از اطلاعات کاربرد خود را پیدا می کنند و گاهی اوقات چندین روش حفاظتی با عملکردهای مختلف برای محافظت از اطلاعات همکاری می کنند. در اینجا، PCDST ها نیز کاربرد خود را پیدا می کنند، و نه به اندازه عملکرد حفاظت از اطلاعات، بلکه به طور کلی عملکرد حفاظت را انجام می دهند. PCDST همچنین، برای مثال، یک سیستم پاس را با استفاده از برچسب های رادیویی، با اشاره به سیستم عمومی، اجرا می کند، که اجازه می دهد یا، بر این اساس، اجازه دسترسی را نمی دهد.

طبقه بندی برای ضد دستکاری، عیب یابی و جلوگیری از شکستگی یا دستکاری

مستعد خرابی ها ابزارهای امنیتی اطلاعات خصوصی، درایوهای فلش، PCDST ها یا توکن ها هستند و اغلب این اتفاق به دلیل تقصیر کاربر رخ می دهد. در اصل، تمام این وجوه با استفاده از فناوری ایجاد می شود که از آسیب ناشی از تأثیرات خارجی محافظت می کند. اما متأسفانه به دلیل عملکرد نامناسب، چنین ابزارهایی اغلب خراب می شوند. اگر ما در مورد هک صحبت می کنیم، پس شایان ذکر است که هک سیستم های مشابهفقط در صورت سرقت فیزیکی رسانه انجام می شود که کار یک هکر را دشوار می کند. به عنوان یک قاعده، در هر یک از این حامل ها یک هسته (کریستال) وجود دارد که به طور مستقیم از خود محافظت می کند. شکستن کد برای چنین حامل یا هسته اصلی آن تقریباً به اندازه خود اپراتور هزینه دارد؛ برای یک متخصص ماهر، شکستن حامل های امنیتی متوسط ​​هیچ مشکل خاصی ایجاد نمی کند، بنابراین توسعه دهندگان در حال حاضر روی توسعه عملکرد چنین اپراتورها کار نمی کنند. سیستم های حفاظتی، اما در مورد محافظت در برابر هک. به عنوان مثال، توسعه دهندگان SHIPKA PCDST یک تیم کامل دارند که حدود دو سال است که فقط با مسائل محافظت در برابر هک سروکار دارند. باید بگویم که در این امر موفق بوده اند. هسته سیستم هم از نظر فیزیکی و هم در سطح برنامه نویسی محافظت می شود. برای رسیدن به آن، باید بر یک حفاظت اضافی دو مرحله ای غلبه کنید. با این حال، چنین سیستمی به دلیل استفاده گسترده ای ندارد هزینه بالافرآیند ساخت چنین رسانه هایی

روش‌های نرم‌افزاری برای تضمین حفاظت از اطلاعات نیز در معرض هک هستند. نوشته شده بر اساس همان الگوریتم، آنها دارای همان الگوریتم هک هستند که با موفقیت توسط سازندگان ویروس استفاده می شود. در چنین مواردی تنها با ایجاد یک یا چند مرحله ای می توان از هک جلوگیری کرد حفاظت اضافی... در مورد خرابی، در اینجا احتمال شکست الگوریتم و توقف کار روش تنها با ورود ویروس مشخص می شود، یعنی با شکستن الگوریتم. از نظر فیزیکی، روش های نرم افزاری برای محافظت از اطلاعات نمی توانند شکست بخورند، بنابراین، فقط با جلوگیری از شکست الگوریتم می توان از نقص در عملکرد جلوگیری کرد.

کارت های هوشمند به دلیل مقاوم بودن در برابر دستکاری، برای کارهای تایید هویت مناسب معرفی شده اند. یک تراشه کارت هوشمند تعبیه شده معمولاً از نوعی الگوریتم رمزنگاری استفاده می کند. با این حال، روش هایی برای بازیابی برخی از حالت های داخلی وجود دارد. کارت های هوشمند ممکن است از نظر فیزیکی آسیب ببینند مواد شیمیایییا با روش های فنی به گونه ای که بتوانید به تراشه حاوی اطلاعات دسترسی مستقیم داشته باشید. اگرچه چنین روش‌هایی می‌توانند به خود تراشه آسیب بزنند، اما امکان دسترسی به اطلاعات دقیق‌تر (مثلاً میکروگراف دستگاه رمزگذاری) را فراهم می‌کنند. طبیعتاً کارت‌های هوشمند نیز می‌توانند متفاوت باشند و بسته به سازنده و قیمتی که کارت هوشمند با آن توزیع می‌شود، محافظت در برابر هک می‌تواند متفاوت باشد. اما در هر کارت هنوز یک کد منحصر به فرد توسعه یافته وجود دارد که دسترسی به اطلاعات را به طور قابل توجهی پیچیده می کند.

کلیدهای الکترونیکی، درست مانند حامل های شخصی سیستم های امنیت اطلاعات، نیز مشمول آن هستند شکست فیزیکی... آنها هم توسط یک دستگاه خارجی (مورد پلاستیکی) و هم یک دستگاه داخلی در برابر این محافظت می شوند: اطلاعات در سیستمی است که می تواند به طور مستقل و در داخل کار کند.آفلاین ... کد امنیتی در حافظه قرار دارد که از قطع ناگهانی برق یا سایر تأثیرات خارجی محافظت می شود. در مورد هک، فقط به دو صورت می توان انجام داد: با شبیه سازی یک کلید یا با شکستن یک ماژول نرم افزار. شبیه سازی کلید فرآیندی بسیار وقت گیر است و به ندرت کسی موفق به هک شدن به این روش شده است. در سال 1999، مجرمان سایبری موفق به ایجاد یک شبیه ساز دانگل با عملکرد نسبتا خوب شدند. HASP 3 توسط علاءالدین ... این امر به دلیل پیاده سازی الگوریتم های کدگذاری در نرم افزار امکان پذیر شد. اما امروزه هکرها معمولا از روش دوم برای شکستن کلیدها استفاده می کنند. هک یک ماژول نرم افزار شامل غیرفعال کردن بخشی از کد است. برای جلوگیری از این اتفاق، توسعه‌دهندگان، اولاً از الگوریتم‌های خصوصی استفاده می‌کنند که به‌طور خاص برای یک کلید معین توسعه یافته‌اند و در دسترس عموم نیستند، و ثانیاً، آسیب‌پذیرترین بخش‌های کد را به‌علاوه رمزگذاری می‌کنند و دسترسی به حفاظت ساختاری را بسیار دشوار می‌کنند.

کارت های هوشمندی وجود دارند که به راحتی می توان آنها را هک کرد. و مواردی وجود دارند که فقط در صورتی می توانند هک شوند که داده های خاصی فقط در دسترس توسعه دهندگان باشد. در عین حال، این به هیچ وجه به این معنی نیست که هر چه وسیله حفاظتی گرانتر باشد، بهتر است. اما قضاوت در مورد عملکرد حتی یک نوع سیستم امنیتی، مثلاً همه کلیدهای الکترونیکی با هم، بدون در نظر گرفتن ویژگی های کار، غیرممکن است.

در نتیجه، برخی از وسیله موثرحفاظت از اطلاعات اخیرا توسعه یافته است. این:سیستم نرم افزاریStarForce، پلت فرم حفاظتی نرم افزار HASP SRM، شناسه های شخصی SafeNet iKey، سیستم حفاظت از اطلاعات صنعتی SafeNet eToken، بسته نرم افزاری Athena SmartCard Solutions، کارت RF Em-Marine، وجوه شخصیحفاظت رمزنگاری اطلاعات SHIPKA، دیسک Plexuscom با حفاظت بیومتریک.

6. منابع.

1. قانون فدراسیون روسیه "در مورد اسرار دولتی"، قانون مدنی فدراسیون روسیه در سال 1994، قانون فدراسیون روسیه "در مورد اطلاعات، اطلاعات و حفاظت از اطلاعات".

2. ابزار فنی و روش های حفاظت از اطلاعات: کتاب درسی برای دانشگاه ها / AP Zaitsev، AA Shelupanov، RV Meshcheryakov. و غیره.؛ ویرایش A.P. زایتسوا و A.A. شلوپانوا. - M .: LLC "انتشار خانه مهندسی مکانیک"

3. مبانی امنیت اطلاعاتBelov E.B.، Los V.P.، Meshcheryakov R.V.، Shelupanov A.A.کتاب درسی برای دانشگاه ها

4. Galatenko V.A. مبانی امنیت اطلاعات

5. وارفولومیف A.A. مبانی امنیت اطلاعات راهنمای مطالعه -M., 2008

6. اصول اولیه امنیت اطلاعات شبکه های کامپیوتری: کتاب درسی برای دانشجویانی که در رشته های تخصصی 08050565، 21040665، 22050165، 23040165 / А.А. گلادکیخ، وی. دمنتیف؛ - اولیانوفسک: UlSTU، 2009. - 156 ص.

7. وی ملنیکوف کتاب درسی دوره روشها و وسایل حفاظت از اطلاعات.

8. Melnikov, V. V. حفاظت از اطلاعات در سیستم های کامپیوتری

9. وب سرور شورای امنیت فدراسیون روسیه. http://www.scrf.gov.ru/

10. وب سرور آژانس فدرال ارتباطات و اطلاعات دولتی زیر نظر رئیس جمهور فدراسیون روسیه. http://www.fagci.ru/

11. وب سرور کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه. http://www.infotecs.ru/gtc/

12. وب سرور واحد کشف و سرکوب جرایم ارتکابی با استفاده از کارت های اعتباری تقلبی و جرایم ارتکابی از طریق دسترسی غیرمجاز به شبکه های رایانه ای و پایگاه های اطلاعاتی. http://www.cyberpolice.ru

13. http://www.osp.ru/pcworld/2001/05/161548/

14. http://www.rnbo.ru/catalog/7/166

و همچنین کارهای دیگری که ممکن است برای شما جالب باشد
79852.		حسابرسی وجوه و ذخایر	49 کیلوبایت
	دریافت واقعی سپرده های موسسین به اعتبار حساب 75 تسویه حساب نزد موسسین در مکاتبات با حساب های نقدی و سایر ارزش ها انجام می شود. در شرکت‌هایی که در قالب شرکت‌های سهامی ایجاد می‌شوند، حساب‌های فرعی سهام عادی و سهام ممتاز به حساب 85 ​​صندوق مجاز باز می‌شود. پس از ایجاد تغییرات مناسب در اسناد تشکیل دهنده شرکت و ثبت اندازه جدید صندوق قانونی، باید یک ثبت حسابداری انجام شود.
79853.		تأیید اعتبار محاسبه مبنای مشمول مالیات بر مالیات (بر ارزش افزوده و مالیات ویژه، مالیات بر سود، دارایی، و غیره) و انعکاس محاسبات مربوط به بودجه	332 کیلوبایت
	بنابراین، حسابرس بخش قابل توجهی از کار خود را به شناسایی این موضوع اختصاص می‌دهد که آیا این مالیات برای کلیه معاملات تجاری مشمول مالیات بر ارزش افزوده اخذ شده است و آیا محاسبات با بودجه صحیح است یا خیر. مالیات بر مصرف کننده مالیات بر ارزش افزوده مالیات بر ارزش افزوده مالیات ویژه ...
79854.		گزارشات حسابرس	53.5 کیلوبایت
	حسابرسی روش تهیه گزارش حسابرس در مورد صورتهای مالی این روش توسط کمیسیون حسابرسی زیر نظر رئیس جمهور فدراسیون روسیه در 9 تصویب شد. گزارش حسابرس در مورد صورتهای مالی یک واحد اقتصادی بیانگر نظر مؤسسه حسابرسی در مورد قابلیت اطمینان اظهارات نظر در مورد قابلیت اطمینان صورتهای حسابداری باید بیانگر ارزیابی موسسه حسابرسی AF از انطباق در تمام جنبه های با اهمیت صورتهای حسابداری با یک قانون نظارتی باشد. حسابداریو گزارش ...
79855.		مفهوم حسابرسی. اهداف و سازماندهی فعالیتهای حسابرسی	51.5 کیلوبایت
	تأیید حسابرسی و تأیید صحت صورت‌های حسابداری و شاخص‌های مالی، و همچنین تأیید انطباق سیاست حسابداری شرکت با استانداردهای عمومی پذیرفته شده قانونی و آیین‌نامه‌های قانونی تنظیم کننده روش حفظ حسابداری در شرکت، انجام شده است. توسط یک سازمان حسابرسی تخصصی به صورت قراردادی تجاری به هزینه شرکتها و سازمانهای مورد حسابرسی. هدف اصلی حسابرسی ایجاد انطباق ...
79856.		استانداردهای حسابرسی	296.5 کیلوبایت
	تعهدنامه موافقت سازمان حسابرسی برای انجام حسابرسی. استاندارد حسابرسی قوانین کنترل کیفیت حسابرسی داخلی مقررات کلی. این قانون استاندارد برای تنظیم فعالیت های حسابرسی تهیه شده است و مطابق با قوانین موقت حسابرسی در فدراسیون روسیه مصوب 2263 رئیس جمهور فدراسیون روسیه مورخ 22 دسامبر 1993 می باشد. استاندارد ایجاد الزامات برای سازماندهی و عملکرد داخلی ...
79857.		حسابرسی اسناد حسابداری	42 کیلوبایت
	تجزیه و تحلیل سازمان حسابداری و شکل گیری سیاست های حسابداری سازمان حسابداری در شرکت سیستمی برای ایجاد فرآیند حسابداری به منظور به دست آوردن اطلاعات قابل اعتماد و به موقع در مورد فعالیت های مالی و اقتصادی آن و کنترل استفاده منطقی از منابع تولیدی و مالی. خود و جذب سرمایه در گردش. این سیستم شامل: تهیه نمودار کاری حسابداری، انتخاب فرم های حسابداری، انتخاب ثبت ...
79858.		رویه حسابرسی دارایی های ثابت	303.5 کیلوبایت
	دارایی های ثابت. صندوق های دارایی های ثابت شرکت ها و سازمان های اقتصادی مجموعه ای از ابزارهای کار را نشان می دهد که به شکل طبیعی بدون تغییر برای مدت طولانی هم در حوزه تولید مادی و هم در حوزه غیر تولیدی عمل می کنند. دارایی های ثابت در فرآیند تولید مورد استفاده مجدد قرار می گیرند و اصل خود را حفظ می کنند ظاهرطی یک دوره طولانی و انتقال ارزش آنها به ارزش محصولات تولیدی در قطعات به میزان ...
79859.		حسابرسی از سهام تولید	161.5 کیلوبایت
	اسناد اولیه در مورد جابجایی مواد باید با دقت تنظیم شود و باید حاوی امضای افرادی باشد که عملیات را انجام داده اند و کدهای اشیاء حسابداری مربوطه را انجام داده اند. برای تامین مواد، شرکت ها با تامین کنندگان قراردادهایی منعقد می کنند که در آن حقوق، تعهدات و مسئولیت های طرفین برای تامین محصولات مشخص می شود. نظارت بر اجرای طرح ...
79860.		سازمان گردش پرداخت	6.73 مگابایت
	تسویه نقدی، تسویه نقدی از طریق درج در حساب های بانکی است که پول از حساب پرداخت کننده کسر می شود و به حساب ذینفع واریز می شود. و بر اساس اصول زیر است: 1 پرداخت های غیرنقدی در حساب های بانکی انجام می شود که برای نگهداری و انتقال وجوه به مشتریان، اشخاص حقوقی و حقیقی باز می شود. هر سازمان سازمانی ممکن است تنها یک حساب اصلی در بانک داشته باشد، جاری یا جاری. برای افتتاح حساب جاری مدارک زیر به بانک ارائه می شود: درخواست افتتاح ...

نوع حفاظت	روش حفاظتی
از خرابی های سخت افزاری	آرشیو فایل ها (با و بدون فشرده سازی)؛ پشتیبان گیری از فایل
از دست دادن یا تحریف تصادفی اطلاعات ذخیره شده در رایانه	درخواست تایید اجرای دستوراصلاح فایل ها؛ تنظیم ویژگی های خاص اسناد و برنامه ها؛ توانایی لغو یک عمل نادرست یا بازیابی یک فایل به اشتباه حذف شده؛ تمایز دسترسی کاربر به منابع سیستم فایل.
از تحریف عمدی، خرابکاری (ویروس های رایانه ای)	روش های عمومی حفاظت از اطلاعات؛ اقدامات پیشگیرانه استفاده از برنامه های ضد ویروس
از دسترسی غیرمجاز (غیرقانونی) به اطلاعات (استفاده، اصلاح، توزیع)	رمزگذاری؛ حفاظت از رمز عبور؛ "قفل های الکترونیکی"؛ مجموعه ای از اقدامات اداری و اجرای قانون.

هنگام مطالعه این موضوعات، باید تعاریفی از مفاهیمی مانند قرارداد مجوز، کپی رایت، قانون مالکیت ارائه شود. ارزش توجه به یک مفهوم نسبتاً جدید - یک اثر سمعی و بصری را دارد. این اثر متشکل از مجموعه ای ثابت از قاب های به هم پیوسته (با یا بدون همراهی صدا) است که برای ادراک دیداری یا شنیداری با کمک ابزارهای فنی مناسب در نظر گرفته شده است. آثار سمعی و بصری شامل آثار سینمایی و کلیه آثاری است که با ابزارهایی مشابه سینماتوگرافی بیان می شوند، صرف نظر از روش تثبیت اولیه یا بعدی آنها.

2.7 مدیریت اطلاعات

کلمه "کنترل"در دنیای مدرن به همان اندازه از کلمه "اطلاعات" استفاده می شود. کنترل – این یک فرآیند هدفمند است، باید از رفتار خاصی از شیء کنترلی، دستیابی به یک هدف خاص اطمینان حاصل کند.این به یک برنامه کنترل نیاز دارد که از طریق یک سری دستورات کنترلی که از طریق ارتباط مستقیم منتقل می شود، اجرا می شود. به این دنباله الگوریتم کنترل می گویند.

اجزای اصلی مدیریتهستند هدف مدیریت ,موضوعو شیء کنترلی، محیطی که فعالیت سوژه و شیء در آن انجام می شود، کنش کنترلی، مستقیم و بازخورد، نتیجه کنترل.

سایبرنتیک – «هنر مدیریت» که بنیانگذار آن N. Wiener است. جایگاه اصلی سایبرنتیک به شرح زیر است: اصول کلی و الگوهای کنترل برای سیستم های ماهیت متفاوت معتبر است... این اشتراک اساساً در این واقعیت آشکار می شود که مدیریت اساساً مجموعه ای از فرآیندهای اطلاعاتی است. اجرای فرآیند کنترل با انتقال، انباشت، ذخیره سازی و پردازش اطلاعات مشخص کننده شی کنترل شده، روند فرآیند، شرایط خارجی، برنامه فعالیت ها و غیره همراه است. کنترل بدون شی کنترل غیرممکن است. یک ماشین یا یک خط خودکار، یک شرکت یا یک واحد نظامی، یک سلول زنده که پروتئین یا ماهیچه را سنتز می کند، متنی برای ترجمه یا مجموعه ای از نمادها که به یک اثر هنری تبدیل می شود) و یک دستگاه کنترل باشد. (مغز و بافت عصبی یک موجود زنده یا یک خودکار کنترلی) اطلاعات را با یکدیگر رد و بدل می کردند.

V هر فرآیند کنترلی همیشه با دو زیرسیستم در تعامل است -مدیریت و مدیریت ... اگر آنها توسط کانال های مستقیم و بازخورد متصل شوند، چنین سیستمی نامیده می شود بسته یا سیستم با بازخورد . کانال ارتباط مستقیم سیگنال های کنترلی (دستورات) تولید شده در سیستم کنترل را ارسال می کند. با اطاعت از این دستورات، شی مدیریت شده عملکردهای کاری خود را انجام می دهد. به نوبه خود، شی کنترلی توسط یک کانال بازخورد به سیستم کنترل متصل می شود که از طریق آن اطلاعات مربوط به وضعیت جسم کنترل شده دریافت می شود. در سیستم کنترل، از این اطلاعات برای توسعه اقدامات کنترلی جدید استفاده می شود.

اما گاهی اوقات پیش می آید که عملکرد عادی کانال مستقیم یا بازخورد مختل شود. در این حالت، سیستم کنترل تبدیل می شود باز کن... معلوم می شود که یک سیستم حلقه باز قادر به کنترل نیست. و در این حالت به سختی می توان انتظار دستیابی به هدف تعیین شده از فعالیت را داشت.

انواع مدیریت را می توان به صورت زیر طبقه بندی کرد:

بر اساس درجه اتوماسیون:کنترل خودکار، خودکار، دستی؛

با در نظر گرفتن عامل زمان:کنترل زمان واقعی، کنترل بازجویی (انتخابی)، کنترل تاخیر.

بر اساس نوع اقدامات کنترلی:کنترل فرمان، کنترل الگوریتم، کنترل مبتنی بر قانون و غیره.

جوهر رویکرد سایبرنتیکبرای حل مشکل مدیریت سیستم های پیچیده به مدل جعبه سیاه به اصطلاح خلاصه می شود... فقط در رابطه با سیستم مورد مطالعه سیگنال های ورودی و خروجی، رابطه بین آنها تشریح شده است. سیگنال های ورودی و خروجی، صرف نظر از ماهیت فیزیکی آنها، به عنوان اطلاعات تفسیر می شوند. بنابراین، کنترل سیستم به عنوان تعامل اطلاعاتی با آن یک شیء کنترلی در نظر گرفته می شود.

کشف اصلی علم سایبرنتیک، اصل جهانی بودن طرح کنترل بازخورد است. این مدل مدیریت به دستگاه های فنی، سیستم های بیولوژیکی و اجتماعی گسترش می یابد.

زیر سیستم کنترل کل مجموعه دارایی های کنترل درک می شود: شیء، کانال های فید و بازخورد را کنترل کنید... الگوریتم کنترل جزء اطلاعاتی سیستم کنترل است.

باید تعیین شود مفهوم خودگردان سیستم های. این یک نوع شی واحد است، ارگانیسمی که تمام اجزای سیستم های کنترل در آن وجود دارد.... نمونه هایی از این سیستم ها موجودات زنده هستند که کامل ترین آنها انسان است.

ایجاد سیستم های خودگردان مصنوعی یکی از دشوارترین وظایف علم و فناوری است. رباتیک نمونه ای از چنین جهت گیری علمی و فنی است.

سیستم های کنترلی که از رایانه استفاده می کنند، سیستم های کنترل خودکار (ACS) نامیده می شوند. به عنوان یک قاعده، سیستم های کنترل خودکار بر مدیریت فعالیت های تیم های تولیدی و شرکت ها متمرکز هستند. هدف اصلی چنین سیستم هایی ارائه سریع و دقیق اطلاعات لازم برای تصمیم گیری مدیریت در اختیار مدیران شرکت است. وظایف حل شده توسط ACS مربوط به حوزه سایبرنتیک اقتصادی است.

سیستم های کنترل خودکار – مجموعه ای از ابزارهای سخت افزاری و نرم افزاری که با همکاری نزدیک با متخصصان یا تیم های فردی، مدیریت یک شی را در حوزه تولید، علمی یا عمومی فراهم می کند.

مزیت اصلی ACS نسبت به روش‌های مدیریت سنتی این است که برای تصمیم‌گیری‌های لازم، اطلاعات کامل‌تر، به‌موقع و قابل اطمینان‌تری به پرسنل مدیریتی به شکلی قابل فهم ارائه می‌شود.

توسط توابع ACS به انواع زیر تقسیم می شوند:

اداری و سازمانی:

- سیستم های مدیریت سازمانی (ACS)؛

- سیستم های کنترل بخشی (OASU)؛

سیستم های کنترل فرآیند (APCS):

- قابل انعطاف سیستم های تولید(GPS)؛

- سیستم های آماده سازی تولید (ACSUP)؛

- سیستم های کنترل کیفیت محصول (ASK)؛

- سیستم های کنترل ماشین ابزار با نرم افزار عددی (CNC)؛

سیستم های یکپارچه که انواع فهرست شده سیستم های کنترل خودکار را در ترکیب های مختلف ترکیب می کند.

توسط نتایج فعالیت ها بین ACS متمایز می شود اطلاعاتی، مشاوره اطلاعاتی، مدیران، خود تنظیمی، خودآموزی.

اجزای مهم ACS عبارتند از سخت افزار، نرم افزار، پشتیبانی اطلاعات و نرم افزار.

پشتیبانی اطلاعات ACS تمام اسناد را پوشش می دهد(قانونی، نظارتی، فنی، طراحی، فناوری، حسابداری)، ارائه شده به شکل الکترونیکی و لازم برای مدیریت تولید، و همچنین طرح حرکت آن.

عناصر اصلی ACSخودکار هستند محل کار متخصصان که در یک شبکه کامپیوتری شرکتی محلی متحد شده اند.

ایستگاه کاری – ایستگاه کاری یک متخصص، مجهز به کامپیوتر یا مجموعه ای از دستگاه های تخصصی، نرم افزار مناسب که امکان خودکارسازی بخشی از عملیات تولیدی انجام شده توسط متخصص را فراهم می کند.

یکی از اهداف اصلی اتوماسیون – فرصتی برای هر کارمند متعلق به هر بخش برای دریافت اطلاعات در زمان و شکل مورد نیاز خود.

هنگام معرفی سیستم های کنترل خودکار، توجه ویژه ای به عامل انسانی می شود.

هر یک از سیستم های فنی -فقط مکانیسم بهبود کارایی مدیریت، اتخاذ تصمیمات استراتژیک و تاکتیکی صحیح بر اساس اطلاعات به موقع و قابل اعتماد صادر شده توسط رایانه. این مکانیسم زمانی مفید است که انسان به درستی از آن استفاده کند.

مفهوم "اطلاعات" امروزه بسیار گسترده و به طرق مختلف مورد استفاده قرار می گیرد. یافتن زمینه ای از تخصص که در آن مورد استفاده قرار نگیرد دشوار است. جریان های عظیم اطلاعات به معنای واقعی کلمه مردم را غرق می کند. اطلاعات نیز مانند هر محصولی، مصرف کنندگانی دارد که به آن نیاز دارند، بنابراین دارای کیفیت های مصرف کننده خاصی است و همچنین صاحبان یا تولیدکنندگان خود را دارد.

از نقطه نظر مصرف کننده، کیفیت اطلاعات استفاده شده، به دست آوردن یک اثر اقتصادی یا اخلاقی اضافی را ممکن می سازد.

از دیدگاه مالک - حفظ محرمانه بودن اطلاعات تجاری مهم به شما امکان می دهد با موفقیت در بازار برای تولید و فروش کالاها و خدمات رقابت کنید. این البته مستلزم اقدامات خاصی برای محافظت از اطلاعات محرمانه است. در این مورد، امنیت به عنوان وضعیت حفاظت از منافع حیاتی یک فرد، شرکت، دولت در برابر تهدیدات داخلی و خارجی درک می شود.

هنگام ذخیره، نگهداری و ارائه دسترسی به هر شی اطلاعاتیصاحب آن یا شخص مجاز از سوی او، به صراحت یا بدیهی، مجموعه ای از قوانین را برای کار با آن وضع می کند. نقض عمدی آنها به عنوان حمله به اطلاعات طبقه بندی می شود.

پیامدهای احتمالی حمله به اطلاعات چیست؟ البته اول از همه اینها ضررهای اقتصادی است.

افشای اطلاعات تجاری می تواند منجر به زیان مستقیم شدید بازار شود.

اخبار سرقت حجم زیادی از اطلاعات معمولاً اعتبار شرکت را به طور جدی تحت تأثیر قرار می دهد و به طور غیرمستقیم منجر به زیان در حجم عملیات معاملاتی می شود.

شرکت‌های رقیب می‌توانند از سرقت اطلاعات در صورت عدم توجه به آن استفاده کنند تا شرکت را کاملاً خراب کنند و معاملات ساختگی یا عمداً بی‌سود را بر آن تحمیل کنند.

جایگزینی اطلاعات چه در مرحله انتقال و چه در مرحله ذخیره سازی در شرکت می تواند منجر به زیان های هنگفتی شود.

حملات موفقیت آمیز مکرر به شرکتی که هر نوع خدمات اطلاعاتی را ارائه می دهد، اعتماد مشتریان به شرکت را کاهش می دهد که بر حجم درآمد تأثیر می گذارد.

به گواه مطبوعات داخلی و خارجی، اقدامات سوء اطلاعاتی نه تنها کاهش نمی یابد، بلکه روند صعودی نسبتاً ثابتی دارد.

حفاظت از اطلاعات مجموعه ای از اقدامات با هدف اطمینان از مهمترین جنبه های امنیت اطلاعات (یکپارچگی، در دسترس بودن و در صورت لزوم محرمانه بودن اطلاعات و منابع مورد استفاده برای ورود، ذخیره، پردازش و انتقال داده ها) است.

سیستمی در صورتی ایمن گفته می شود که با استفاده از سخت افزار و نرم افزار مناسب، دسترسی به اطلاعات را کنترل کند به طوری که فقط افراد مجاز یا فرآیندهایی که از طرف آنها عمل می کنند مجاز به خواندن، نوشتن، ایجاد و حذف اطلاعات باشند.

هیچ سیستم کاملاً امنی وجود ندارد، بنابراین آنها از یک سیستم قابل اعتماد به معنای "سیستمی که می توانید به آن اعتماد کنید" صحبت می کنند (چگونه می توانید به یک شخص اعتماد کنید). یک سیستم در صورتی قابل اعتماد تلقی می شود که با استفاده از سخت افزار و نرم افزار کافی، پردازش همزمان اطلاعات با درجات مختلف رازداری توسط گروهی از کاربران را بدون نقض حقوق دسترسی فراهم کند.

معیارهای اصلی برای ارزیابی قابلیت اطمینان، سیاست امنیتی و تضمین است.

سیاست امنیتی، به عنوان یک جزء فعال حفاظت (شامل تجزیه و تحلیل تهدیدات احتمالی و انتخاب اقدامات متقابل مناسب)، منعکس کننده مجموعه قوانین، قوانین و هنجارهای رفتاری است که یک سازمان خاص در هنگام پردازش، حفاظت و توزیع اطلاعات استفاده می کند.

انتخاب مکانیسم های خاص برای تضمین امنیت سیستم مطابق با سیاست امنیتی تدوین شده انجام می شود.

اطمینان، به عنوان یک عنصر غیرفعال حفاظت، نشان دهنده میزان اطمینانی است که می توان به معماری و پیاده سازی سیستم داد (به عبارت دیگر، نشان می دهد که مکانیسم ها چقدر به درستی برای تضمین امنیت سیستم انتخاب شده اند).

یک سیستم قابل اعتماد باید تمام رویدادهای امنیتی را که رخ می دهد ثبت کند (یک مکانیسم پاسخگویی برای ثبت گزارش باید استفاده شود که با تجزیه و تحلیل اطلاعات ذخیره شده، یعنی ممیزی تکمیل شود).

11.2. جهت های اصلی حفاظت از اطلاعات

زمینه های اصلی حفاظت از اطلاعات حفاظت از اسرار دولتی، تجاری، رسمی، بانکی، داده های شخصی و مالکیت معنوی.

اسرار دولتی - اطلاعاتی که توسط دولت در زمینه فعالیت های نظامی، سیاست خارجی، اقتصادی، اطلاعاتی، ضد جاسوسی و عملیات جستجو محافظت می شود، که انتشار آنها ممکن است به امنیت فدراسیون روسیه آسیب برساند.

آنها با فهرست اطلاعات تشکیل دهنده یک راز دولتی مطابقت دارند، در لیست اطلاعاتی که مشمول طبقه بندی نیستند گنجانده نشده اند و با قوانین فدراسیون روسیه در مورد اسرار دولتی (اصل قانونی) مطابقت دارند.

مصلحت طبقه بندی اطلاعات خاص از طریق ارزیابی کارشناسانه از پیامدهای احتمالی اقتصادی و سایر موارد، احتمال آسیب رساندن به امنیت فدراسیون روسیه، بر اساس تعادل منافع حیاتی دولت، جامعه و فرد ایجاد شده است. اصل اعتبار)؛

محدودیت در انتشار این اطلاعات و دسترسی به آن از لحظه دریافت (توسعه) یا از قبل (اصل به موقع) ایجاد می شود.

مراجع ذی صلاح و آنها مقاماتدر رابطه با اطلاعات خاص در مورد طبقه بندی آنها به عنوان اسرار دولتی و طبقه بندی آنها تصمیم گیری کرد و رژیم مناسب حمایت قانونی و حفاظتی را برای آنها ایجاد کرد (اصل حفاظت اجباری).

اسرار تجاری با کمک دولت محافظت می شود. نمونه ای از این بیانیه حقایق متعدد محدود کردن دسترسی خارجی ها به کشور (در چین - برای محافظت از اسرار تولید چینی)، به بخش های خاصی از اقتصاد یا صنایع خاص است. در روسیه، اسرار تجاری به عنوان اسرار تجاری طبقه بندی شدند، اما سپس در اوایل دهه 30 به عنوان یک نهاد قانونی منحل شدند و در ارتباط با دولتی شدن بخش های اقتصاد، به عنوان اسرار دولتی و رسمی محافظت شدند. روند معکوس اکنون آغاز شده است.

اطلاعات ممکن است یک راز تجاری باشد در صورتی که شرایط زیر را داشته باشد (معیارهای حفاظت قانونی):

دارای ارزش تجاری واقعی یا بالقوه به دلیل ناشناخته بودن آن برای اشخاص ثالث؛

در فهرست اطلاعاتی که دسترسی به آنها را نمی توان محدود کرد و فهرست اطلاعات طبقه بندی شده به عنوان اسرار دولتی قرار نمی گیرد.

هیچ کس برای او وجود ندارد دسترسی رایگاناز نظر قانونی؛

صاحب اطلاعات اقداماتی را برای محافظت از محرمانه بودن آن انجام می دهد.

اطلاعات را نمی توان به عنوان اسرار تجاری طبقه بندی کرد:

مشروط به افشای ناشر اوراق بهادار، یک شرکت کننده حرفه ای در بازار اوراق بهادار و صاحب اوراق بهادار مطابق با قوانین فدراسیون روسیه در مورد اوراق بهادار.

همراه با رعایت قوانین زیست محیطی و ضد انحصار، تضمین شرایط کار ایمن، فروش محصولاتی که به سلامت مردم آسیب می رساند، سایر موارد نقض قوانین فدراسیون روسیه، قوانین نهادهای تشکیل دهنده فدراسیون روسیه و همچنین حاوی داده هایی در مورد میزان زیان های متحمل شده در این مورد؛

در مورد فعالیت های سازمان های خیریه و سایر سازمان های غیرانتفاعی غیر مرتبط با فعالیت های کارآفرینی؛

در دسترس بودن جای خالی؛

در مورد ذخیره سازی، استفاده یا جابجایی مواد و استفاده از فناوری هایی که خطری برای زندگی و سلامت شهروندان یا محیط زیست ایجاد می کند.

در مورد اجرای برنامه خصوصی سازی دولتی و شرایط خصوصی سازی اشیاء خاص؛

در مورد اندازه اموال و سرمایه گذاری در خصوصی سازی؛

در مورد انحلال یک شخص حقوقی و در مورد نحوه و مهلت تسلیم درخواست یا مطالبات طلبکاران آن.

که برای آن محدودیت های ایجاد یک رژیم اسرار تجاری مطابق با قوانین فدرال و آیین نامه های تصویب شده برای اجرای آنها تعیین می شود.

موضوعات اصلی حق اسرار تجاری، صاحبان اسرار تجاری، جانشینان قانونی آنها هستند.

دارندگان اسرار تجاری اشخاص حقیقی (صرف نظر از تابعیت) و حقوقی (سازمان های تجاری و غیر تجاری) هستند که به فعالیت کارآفرینی می پردازند و انحصار اطلاعاتی را دارند که برای آنها راز تجاری محسوب می شود.

سطوح دسترسی به اطلاعات از نظر قانون

تمام اطلاعات از دیدگاه قانون به چند بخش اصلی تقسیم می شود:

1) اطلاعات بدون محدودیت حقوق دسترسی. این نوع اطلاعات برای مثال شامل موارد زیر است:

اطلاعات عمومی ارائه شده به کاربران به صورت رایگان؛

اطلاعات در مورد وضعیت محیط زیست، آلودگی آن - اطلاعات (داده های) به دست آمده در نتیجه نظارت بر محیط زیست، آلودگی آن (قانون فدرال 2 مه 1997 شماره 76-FZ "در مورد انهدام سلاح های شیمیایی").

اطلاعات در زمینه کارهای مربوط به ذخیره سازی، حمل و نقل، انهدام سلاح های شیمیایی - اطلاعات در مورد وضعیت سلامت شهروندان و اشیاء زیست محیطی در مناطقی که تأسیسات ذخیره سازی سلاح های شیمیایی و تأسیسات برای انهدام سلاح های شیمیایی قرار دارد، اقدامات برای اطمینان از مواد شیمیایی، ایمنی بهداشتی، بهداشتی، محیطی و آتش نشانی هنگام انجام کار در زمینه ذخیره سازی، حمل و نقل و انهدام سلاح های شیمیایی و همچنین اقداماتی برای جلوگیری از وقوع شرایط اضطراری و از بین بردن عواقب آنها در حین انجام این کارها، به درخواست شهروندان و اشخاص حقوقی، از جمله انجمن های عمومی (قانون فدرال 2 مه 1997 شماره 76-FZ "در مورد انهدام سلاح های شیمیایی"، ماده 1.2).

اطلاعات حاوی اطلاعات در مورد شرایط و حقایقی که تهدیدی برای زندگی و سلامت شهروندان است به عنوان طبقه بندی شده طبقه بندی نمی شود، نمی تواند به عنوان سری طبقه بندی شود.

2) اطلاعات با دسترسی محدود - اسرار دولتی، اسرار رسمی، اسرار تجاری، اسرار بانکی، اسرار حرفه ای و داده های شخصی به عنوان نهادی برای حفاظت از حق حریم خصوصی.

3) اطلاعاتی که انتشار آنها به منافع جامعه، منافع مشروع و حقوق شهروندان آسیب می رساند - پورنوگرافی. اطلاعات تحریک کننده نفرت قومی، نژادی و سایر موارد؛ تبلیغات و دعوت به جنگ، تبلیغات دروغین، تبلیغات با درج های پنهان و غیره - اطلاعات به اصطلاح "مضر".

4) اشیاء مالکیت معنوی (آنچه را نمی توان به عنوان اطلاعات با دسترسی محدود طبقه بندی کرد، اما با نظم خاصی از طریق مؤسسات مالکیت فکری محافظت می شود - حق چاپ، قانون ثبت اختراع، ابزارهای شخصی سازی و غیره. استثناء دانش فنی است که در رژیم اسرار تجاری محافظت می شود).

11.3. روش ها و وسایل حفاظت از اطلاعات در سیستم های کامپیوتری

جرایم رایانه‌ای پدیده‌های بسیار پیچیده و چندوجهی هستند. اهداف این گونه تجاوزات جنایی می تواند خود وسایل فنی (رایانه و تجهیزات جانبی) به عنوان اشیاء مادی یا نرم افزارها و پایگاه های اطلاعاتی باشد که ابزار فنی آن محیط است. کامپیوتر می تواند به عنوان یک هدف حمله یا به عنوان یک ابزار عمل کند.

انواع جرایم رایانه ای بسیار متنوع است. این دسترسی غیرمجاز به اطلاعات ذخیره شده در رایانه و ورود به نرم افزار "بمب های منطقی" است که در صورت برآورده شدن شرایط خاص و غیرفعال کردن جزئی یا کامل سیستم رایانه و توسعه و توزیع ویروس های رایانه ای و سرقت از آنها به راه می افتد. اطلاعات کامپیوتری جرم رایانه ای همچنین می تواند به دلیل سهل انگاری در توسعه، ساخت و بهره برداری از سیستم های نرم افزاری رایانه ای یا به دلیل جعل اطلاعات رایانه ای رخ دهد.

در میان کل مجموعه روش های حفاظت از اطلاعات، موارد زیر متمایز می شوند:

شکل 11.1. طبقه بندی روش های حفاظت اطلاعات در سیستم های کامپیوتری

روشها و ابزارهای حفاظت سازمانی و قانونی اطلاعات

روش ها و ابزارهای حفاظت سازمانی از اطلاعات شامل اقدامات سازمانی، فنی و سازمانی و قانونی است که در فرآیند ایجاد و راه اندازی CS برای اطمینان از حفاظت از اطلاعات انجام می شود. این فعالیت‌ها باید در حین ساخت و ساز یا نوسازی محل‌هایی که رایانه‌ها در آن قرار دارند، انجام شوند. طراحی سیستم، نصب و تنظیم سخت افزار و نرم افزار آن؛ تست و بررسی عملکرد یک سیستم کامپیوتری

مبنای انجام اقدامات سازمانی استفاده و تهیه اسناد قانونی و نظارتی در حوزه امنیت اطلاعات است که در سطح قانونی باید دسترسی مصرف کنندگان به اطلاعات را تنظیم کند. V قانون روسیهدیرتر از قوانین سایر کشورهای توسعه یافته، اقدامات قانونی لازم ظاهر شد (اگرچه به هیچ وجه همه).

روش ها و ابزارهای حفاظت از اطلاعات فنی و مهندسی

مهندسی و حفاظت فنی (ITZ) مجموعه ای از ارگان ها، ابزارها و اقدامات فنی ویژه برای استفاده از آنها به منظور حفاظت از اطلاعات محرمانه است.

تنوع اهداف، اهداف، اهداف حفاظتی و اقدامات انجام شده شامل در نظر گرفتن سیستم خاصی از طبقه بندی وجوه بر اساس نوع، جهت گیری و سایر ویژگی ها است.

به عنوان مثال، وسایل حفاظت فنی و مهندسی را می توان با توجه به اشیاء ضربه آنها در نظر گرفت. در این راستا، می توان از آنها برای محافظت از افراد، دارایی های مادی، مالی، اطلاعات استفاده کرد.

تنوع ویژگی های طبقه بندی به ما امکان می دهد تا ابزارهای مهندسی و فنی را با توجه به موارد نفوذ، ماهیت اقدامات، روش های اجرا، مقیاس پوشش، کلاس ابزار مهاجمانی که توسط سرویس امنیتی مخالفت می شود، در نظر بگیریم.

توسط هدف عملکردیابزارهای مهندسی و حفاظت فنی به گروه های زیر تقسیم می شوند:

1. وسایل فیزیکی، از جمله ابزارها و ساختارهای مختلف، جلوگیری از نفوذ (یا دسترسی) فیزیکی متجاوزان به اشیاء حفاظتی و حاملان مادی اطلاعات محرمانه (شکل 16) و محافظت از پرسنل، منابع مادی، مالی و اطلاعات در برابر غیرقانونی تأثیر می گذارد؛

2. سخت افزار - دستگاه ها، دستگاه ها، وسایل و سایر راه حل های فنی مورد استفاده در منافع حفاظت از اطلاعات. در عمل شرکت، از تجهیزات بسیار متنوعی استفاده می شود مجموعه تلفنبرای تکمیل سیستم های خودکار برای فعالیت های تولیدی. وظیفه اصلی سخت افزار اطمینان از حفاظت پایدار از اطلاعات در برابر افشا، نشت و دسترسی غیرمجاز از طریق ابزارهای فنی برای اطمینان از فعالیت های تولید است.

3. پوشش نرم افزاری برنامه های ویژهسیستم های نرم افزاری و سیستم های امنیت اطلاعات در سیستم های اطلاعاتی برای اهداف مختلف و ابزارهای پردازش (جمع آوری، انباشت، ذخیره، پردازش و انتقال) داده ها.

4. وسایل رمزنگاری ابزارهای ریاضی و الگوریتمی ویژه ای برای محافظت از اطلاعات منتقل شده از طریق سیستم ها و شبکه های ارتباطی هستند که با استفاده از انواع روش های رمزگذاری بر روی رایانه ذخیره و پردازش می شوند.

روشهای فیزیکی و وسایل حفاظت از اطلاعات

وسایل حفاظت فیزیکی انواع وسایل، دستگاه ها، سازه ها، دستگاه ها، محصولاتی هستند که برای ایجاد موانع در مسیر متجاوزان طراحی شده اند.

وسایل فیزیکی شامل وسایل مکانیکی، الکترومکانیکی، الکترونیکی، الکترواپتیکی، رادیویی و رادیویی و سایر وسایل برای جلوگیری از دسترسی غیرمجاز (ورود، خروج)، حمل (خروج) وسایل و مواد و غیره است. انواع ممکناعمال مجرمانه

این ابزار برای حل وظایف زیر استفاده می شود:

1) حفاظت از قلمرو شرکت و نظارت بر آن؛

2) حفاظت از ساختمان ها، اماکن داخلی و کنترل آنها.

3) حفاظت از تجهیزات، محصولات، امور مالی و اطلاعات؛

4) اجرای دسترسی کنترل شده به ساختمان ها و اماکن.

تمام وسایل فیزیکی حفاظت از اشیاء را می توان به سه دسته تقسیم کرد: وسایل پیشگیری، وسایل تشخیص و سیستم های از بین بردن تهدیدات. به عنوان مثال، دزدگیر و دوربین مدار بسته ابزارهای تشخیص تهدید هستند. حصارهای اطراف اشیا وسیله ای برای جلوگیری از ورود غیرمجاز به قلمرو هستند و درها، دیوارها، سقف ها، میله های روی پنجره ها و سایر اقدامات به عنوان محافظت در برابر نفوذ و سایر اقدامات مجرمانه (شنود، گلوله باران، پرتاب نارنجک و مواد منفجره و غیره) عمل می کند. .). رسانه های خاموش به عنوان سیستم های حذف تهدید طبقه بندی می شوند.

روش ها و ابزارهای سخت افزاری حفاظت از اطلاعات

ابزارهای سخت‌افزاری حفاظت از اطلاعات شامل متنوع‌ترین اصول عملیات، دستگاه و قابلیت‌های طرح‌های فنی است که مانع از افشای اطلاعات، محافظت در برابر نشت و مقابله با دسترسی غیرمجاز به منابع اطلاعات محرمانه می‌شود.

سخت افزار امنیت اطلاعات برای حل وظایف زیر استفاده می شود:

1) انجام مطالعات ویژه وسایل فنی برای حمایت از فعالیت های تولیدی برای حضور کانال های ممکننشت اطلاعات؛

2) شناسایی کانال های نشت اطلاعات در اشیاء و اماکن مختلف.

3) محلی سازی کانال های نشت اطلاعات.

4) جستجو و کشف وسایل جاسوسی صنعتی.

5) مقابله با دسترسی غیرمجاز به منابع اطلاعات محرمانه و سایر اقدامات.

روش ها و ابزارهای نرم افزاری حفاظت از اطلاعات

سیستم های حفاظت کامپیوتری در برابر نفوذ بیگانگان بسیار متنوع هستند و به صورت زیر طبقه بندی می شوند:

1) بودجه حفاظت از خودارائه شده توسط نرم افزار رایج؛

2) وسایل حفاظتی به عنوان بخشی از یک سیستم محاسباتی.

3) وسایل حفاظتی با درخواست اطلاعات؛

4) ابزار حفاظت فعال؛

5) وسایل حفاظت غیرفعال و غیره.

جهات اصلی استفاده از نرم افزار حفاظت از اطلاعات

زمینه های زیر استفاده از برنامه ها برای اطمینان از امنیت اطلاعات محرمانه را می توان متمایز کرد، به ویژه:

1) حفاظت از اطلاعات از دسترسی غیرمجاز؛

2) حفاظت از اطلاعات در برابر کپی؛

3) محافظت از برنامه ها در برابر کپی؛

4) محافظت از برنامه ها در برابر ویروس ها.

5) حفاظت از اطلاعات در برابر ویروس ها.

6) نرم افزار حفاظت از کانال های ارتباطی.

برای هر یک از این حوزه ها، تعداد کافی محصولات نرم افزاری با کیفیت بالا توسط سازمان های حرفه ای توسعه یافته و در بازارها توزیع شده است.

نرم افزار حفاظتی دارای انواع برنامه های ویژه زیر است:

1) شناسایی ابزار فنی، فایل ها و احراز هویت کاربر؛

2) ثبت و کنترل عملکرد وسایل فنی و کاربران.

3) حفظ حالت های پردازش اطلاعات محدود.

4) حفاظت وجوه عملیاتیرایانه ها و برنامه های کاربردی کاربر؛

5) تخریب اطلاعات در وسایل حفاظتیپس از مصرف؛

6) علائم نقض استفاده از منابع؛

7) برنامه های پشتیبانیحفاظت برای اهداف مختلف

حفاظت از اطلاعات در برابر دسترسی غیرمجاز

برای محافظت در برابر نفوذ، الزاماً اقدامات امنیتی خاصی ارائه شده است. وظایف اصلی که باید توسط نرم افزار انجام شود عبارتند از:

1) شناسایی موضوعات و اشیاء.

2) تحدید حدود (گاهی اوقات جداسازی کامل) دسترسی به منابع و اطلاعات محاسباتی.

3) کنترل و ثبت اقدامات با اطلاعات و برنامه ها.

رایج ترین روش شناسایی، احراز هویت رمز عبور است. با این حال، تمرین نشان می دهد که حفاظت از رمز عبور داده ها یک پیوند ضعیف است، زیرا رمز عبور را می توان استراق سمع یا جاسوسی کرد، رهگیری کرد یا به سادگی حدس زد.

حفاظت از کپی

ابزارهای حفاظت از کپی از استفاده از نسخه های دزدیده شده نرم افزار جلوگیری می کنند و در حال حاضر تنها ابزار قابل اعتماد هستند - هم حفاظت از حق چاپ برنامه نویسان-توسعه دهندگان و هم تحریک توسعه بازار. حفاظت از کپی به این معنی است که اطمینان حاصل شود که برنامه عملکردهای خود را تنها با شناسایی برخی از عناصر منحصر به فرد غیر قابل کپی انجام می دهد. چنین عنصری (به نام کلید) می تواند یک فلاپی دیسک باشد، یک بخش خاصرایانه یا دستگاه خاصی که به رایانه شخصی متصل است. حفاظت از کپی با انجام تعدادی از عملکردها که در همه سیستم های حفاظتی مشترک است پیاده سازی می شود:

1. شناسایی محیطی که برنامه از آن راه اندازی می شود (فلاپی دیسک یا رایانه شخصی).

2. احراز هویت محیطی که برنامه از آن راه اندازی می شود.

3. واکنش به پرتاب از یک محیط غیرمجاز.

4. ثبت کپی مجاز;

5. مقابله با مطالعه الگوریتم های سیستم.

محافظت از برنامه ها و داده ها در برابر ویروس های کامپیوتری

برنامه های مخرب و مهمتر از همه، ویروس ها در هنگام ذخیره اطلاعات محرمانه در رایانه شخصی خطر بسیار جدی دارند. دست کم گرفتن این خطر می تواند عواقب جدی برای اطلاعات کاربر داشته باشد. آگاهی از مکانیسم های عمل ویروس ها، روش ها و روش های مبارزه با آنها به شما امکان می دهد تا به طور موثر مقاومت در برابر ویروس ها را سازماندهی کنید، احتمال عفونت و تلفات ناشی از تأثیر آنها را به حداقل برسانید.

"ویروس های کامپیوتری" برنامه های کوچک قابل اجرا یا تفسیری هستند که خود را در یک سیستم کامپیوتری تکثیر و تکثیر می کنند. ویروس ها می توانند نرم افزار یا داده های ذخیره شده در رایانه شخصی را تغییر داده یا از بین ببرند. ویروس ها می توانند در حین انتشار خود را تغییر دهند.

طبقه بندی ویروس های کامپیوتری

در حال حاضر بیش از 40 هزار ویروس رایانه ای ثبت شده در جهان وجود دارد. از آنجایی که اکثریت قریب به اتفاق برنامه های بدافزار مدرن قادر به انتشار خود هستند، اغلب به عنوان ویروس های رایانه ای شناخته می شوند. همه ویروس های کامپیوتری را می توان بر اساس معیارهای زیر طبقه بندی کرد:

- با توجه به زیستگاه ویروس،

- با روش آلودگی زیستگاه،

- با فرصت های مخرب،

- با ویژگی های الگوریتم ویروس.

گسترش گسترده ویروس ها، شدت عواقب تأثیر آنها بر منابع رایانه ای، توسعه و استفاده از ابزارهای ضد ویروس خاص و روش های کاربرد آنها را ضروری کرد. ابزارهای آنتی ویروس برای حل وظایف زیر استفاده می شوند:

- تشخیص ویروس ها در CS،

- مسدود کردن عملکرد برنامه های ویروسی،

- از بین بردن پیامدهای قرار گرفتن در معرض ویروس ها.

توصیه می شود ویروس ها را در مرحله معرفی آنها شناسایی کنید یا حداقل، قبل از شروع اجرای عملکردهای مخرب ویروس ها. لازم به ذکر است که هیچ ابزار ضد ویروسی وجود ندارد که شناسایی تمامی ویروس های احتمالی را تضمین کند.

در صورت شناسایی ویروس، لازم است فوراً عملیات برنامه ویروس متوقف شود تا آسیب ناشی از تأثیر آن بر سیستم به حداقل برسد.

از بین بردن پیامدهای قرار گرفتن در معرض ویروس ها در دو جهت انجام می شود:

- حذف ویروس ها

- بازیابی (در صورت لزوم) فایل ها، مناطق حافظه.

برای مبارزه با ویروس ها از ابزارهای نرم افزاری و سخت افزاری-نرم افزاری استفاده می شود که در یک توالی و ترکیب خاص استفاده می شود و روش های مبارزه با ویروس ها را تشکیل می دهد.

مطمئن ترین روش محافظت از ویروس، استفاده از ابزارهای سخت افزاری و نرم افزاری آنتی ویروس است. در حال حاضر از کنترلرهای ویژه و نرم افزار آنها برای محافظت از رایانه های شخصی استفاده می شود. کنترلر در شکاف توسعه نصب شده و به گذرگاه مشترک دسترسی دارد. این به او اجازه می دهد تا تمام تماس های سیستم دیسک را کنترل کند. نرم افزار کنترل کننده نواحی را روی دیسک ها ذخیره می کند که در طول عملکرد عادی قابل تغییر نیستند. بنابراین، می توانید در برابر تغییرات در رکورد اصلی بوت، بخش های بوت، فایل های پیکربندی، فایل های اجرایی و غیره محافظت کنید.

هنگام انجام اقدامات ممنوعه توسط هر برنامه، کنترلر یک پیام متناظر را برای کاربر ارسال می کند و عملکرد رایانه شخصی را مسدود می کند.

ابزارهای سخت افزاری و نرم افزاری آنتی ویروس دارای چندین مزیت نسبت به نرم افزارها هستند:

- کار مداوم؛

- همه ویروس ها را بدون توجه به مکانیسم عمل آنها تشخیص می دهد.

- اقدامات غیرمجاز را که در نتیجه ویروس یا یک کاربر غیر ماهر هستند مسدود کنید.

تنها یک اشکال این ابزارها وجود دارد - وابستگی به سخت افزار رایانه شخصی. تغییر دومی منجر به نیاز به تعویض کنترلر می شود.

ابزارهای آنتی ویروس نرم افزار مدرن می توانند یک اسکن جامع از رایانه شما برای شناسایی ویروس های رایانه ای انجام دهند. برای این، چنین نرم افزار آنتی ویروسچگونه - آنتی ویروس کسپرسکی(AVP)، آنتی ویروس نورتون، Dr. وب، آنتی ویروس سیمانتک. همه آنها دارند پایگاه داده های ضد ویروسکه به صورت دوره ای به روز می شوند.

روش ها و ابزارهای رمزنگاری حفاظت از اطلاعات

رمزنگاری به عنوان وسیله ای برای محافظت (بستن) اطلاعات در دنیای تجارت اهمیت فزاینده ای پیدا می کند.

رمزنگاری سابقه نسبتا طولانی دارد. در ابتدا عمدتاً در زمینه ارتباطات نظامی و دیپلماتیک استفاده می شد. اکنون در فعالیت های صنعتی و تجاری مورد نیاز است. با توجه به اینکه امروزه صدها میلیون پیام، مکالمه تلفنی، حجم عظیمی از داده های رایانه ای و تله متری تنها در کشور ما از طریق کانال های ارتباطی رمزگذاری شده مخابره می شود و همه اینها برای چشم و گوش کنجکاو نیست، مشخص می شود که حفظ این راز محرمانه است. در اینجا بسیار ضروری است.

رمزنگاری شامل چندین شاخه از ریاضیات مدرن و همچنین شاخه های خاص فیزیک، الکترونیک رادیویی، ارتباطات و برخی شاخه های مرتبط دیگر است. وظیفه آن تبدیل است روش های ریاضیپیام مخفی، مکالمه تلفنی یا داده های رایانه ای که از طریق کانال های ارتباطی به گونه ای مخابره می شود که برای افراد غیرمجاز کاملاً نامفهوم می شود. یعنی رمزنگاری باید چنان حفاظتی از اطلاعات سری (یا هر اطلاعات دیگری) ارائه دهد که حتی اگر توسط افراد غیرمجاز رهگیری و با هر وسیله ای با استفاده از سریع ترین رایانه ها و آخرین دستاوردهای علم و فناوری پردازش شود، برای چندین بار رمزگشایی نشود. دهه ها برای چنین تبدیل اطلاعات، از ابزارهای رمزگذاری مختلفی استفاده می شود - مانند ابزارهای رمزگذاری اسناد، از جمله موارد قابل حمل، ابزارهای رمزگذاری گفتار (ارتباطات تلفنی و رادیویی)، پیام های تلگراف و انتقال داده ها.

فناوری رمزگذاری عمومی

اطلاعات اولیه ای که از طریق کانال های ارتباطی منتقل می شود می تواند گفتار، داده، سیگنال های ویدئویی باشد که به آن پیام های رمزگذاری نشده P می گویند.

در دستگاه رمزگذاری، پیام P رمزگذاری می شود (به پیام C تبدیل می شود) و از طریق یک کانال ارتباطی "باز" ​​منتقل می شود. در سمت دریافت کننده، پیام C برای بازیابی مقدار اصلی پیام P رمزگشایی می شود.

پارامتری که می تواند برای بازیابی اطلاعات خاص استفاده شود، کلید نامیده می شود.

اگر از همین کلید در فرآیند تبادل اطلاعات برای رمزگذاری و خواندن استفاده شود، چنین فرآیند رمزنگاری متقارن نامیده می شود. عیب اصلی آن این است که قبل از شروع تبادل اطلاعات، باید کلید را انتقال دهید و این نیاز به ارتباط امن دارد.

در حال حاضر، هنگام تبادل داده ها از طریق کانال های ارتباطی، از رمزگذاری نامتقارن رمزنگاری بر اساس استفاده از دو کلید استفاده می شود. اینها الگوریتم های رمزنگاری کلید عمومی جدید هستند که بر اساس استفاده از دو نوع کلید هستند: مخفی (خصوصی) و عمومی.

در رمزنگاری کلید عمومی، حداقل دو کلید وجود دارد که یکی از آنها را نمی توان از روی دیگری محاسبه کرد. اگر با روش های محاسباتی نتوان کلید رمزگشایی را از کلید رمزنگاری به دست آورد، از محرمانه بودن اطلاعات رمزگذاری شده با استفاده از کلید طبقه بندی نشده (عمومی) اطمینان حاصل می شود. با این حال، این کلید باید از تعویض یا تغییر محافظت شود. کلید رمزگشایی نیز باید مخفی باشد و از جایگزینی یا تغییر محافظت شود.

اگر برعکس، دریافت کلید رمزگذاری از کلید رمزگشایی با روش‌های محاسباتی غیرممکن باشد، ممکن است کلید رمزگشایی مخفی نباشد.

کلیدها به گونه ای طراحی شده اند که یک پیام رمزگذاری شده با یک نیمه فقط توسط نیمه دیگر قابل رمزگشایی است. با ایجاد یک جفت کلید، این شرکت به طور گسترده کلید عمومی (عمومی) را توزیع می کند و به طور ایمن از کلید خصوصی (خصوصی) محافظت می کند.

حفاظت از کلید عمومی کاملاً ایمن نیست. با مطالعه الگوریتم ساخت آن، می توانید کلید خصوصی را بازسازی کنید. با این حال، دانش الگوریتم به این معنی نیست که امکان انجام بازسازی کلید در یک چارچوب زمانی قابل قبول وجود دارد. بر این اساس، اصل کفایت حفاظت اطلاعات شکل می گیرد: حفاظت از اطلاعات در صورتی کافی تلقی می شود که هزینه های غلبه بر آن از هزینه مورد انتظار خود اطلاعات بیشتر باشد. این اصل با رمزگذاری نامتقارن داده ها هدایت می شود.

جداسازی توابع رمزگذاری و رمزگشایی با تقسیم اطلاعات اضافی مورد نیاز برای انجام عملیات به دو بخش، یک ایده ارزشمند در پشت رمزنگاری کلید عمومی است.

متخصصان به حفاظت رمزنگاری توجه ویژه ای دارند و آن را قابل اعتمادترین می دانند و برای اطلاعاتی که از طریق یک خط ارتباطی از راه دور منتقل می شود، تنها وسیله محافظت در برابر سرقت است.

11.4. امنیت اطلاعات و اجزای اصلی آن

امنیت اطلاعات به عنوان وضعیت امنیت اطلاعات محیط جامعه از تهدیدهای داخلی و خارجی، تضمین شکل گیری، استفاده و توسعه آن به نفع شهروندان، سازمان ها، دولت ها (قانون RF "در مورد مشارکت در تبادل اطلاعات بین المللی") درک می شود.

الزامات خاصی بر سیستم امنیت اطلاعات اعمال می شود:

- وضوح تعریف اختیارات و حقوق کاربران برای دسترسی به انواع خاصی از اطلاعات؛

- ارائه حداقل قدرت لازم برای کاربر برای انجام کار محول شده.

- به حداقل رساندن تعداد تجهیزات حفاظتی مشترک برای چندین کاربر.

- ثبت موارد و تلاش برای دسترسی غیرمجاز به اطلاعات محرمانه؛

- ارائه ارزیابی از میزان اطلاعات محرمانه؛

- اطمینان از کنترل یکپارچگی تجهیزات حفاظتی و واکنش فوری به خرابی آنها.

سیستم امنیتی مجموعه ای سازمان یافته از ارگان ها، خدمات، وسایل، روش ها و اقدامات ویژه ای است که حفاظت از منافع حیاتی یک فرد، یک شرکت و دولت را در برابر تهدیدات داخلی و خارجی تضمین می کند.

سیستم امنیت اطلاعات مانند هر سیستمی دارای اهداف، مقاصد، روش ها و ابزار فعالیت خاص خود است که بسته به شرایط در مکان و زمان هماهنگ می شود.

دسته بندی امنیت اطلاعات

از منظر امنیت اطلاعات، اطلاعات دارای دسته بندی های زیر است:

1. محرمانه بودن - تضمینی است که اطلاعات خاص فقط در دسترس حلقه افرادی است که برای آنها در نظر گرفته شده است. نقض این دسته سرقت یا افشای اطلاعات نامیده می شود.

2. یکپارچگی - تضمین این است که اطلاعات اکنون به شکل اصلی خود وجود دارد، یعنی در حین ذخیره یا انتقال آن، هیچ تغییر غیرمجاز ایجاد نشده است. نقض این دسته را جعل پیام می نامند.

3. اصالت - تضمین اینکه منبع اطلاعات دقیقاً شخصی است که به عنوان نویسنده آن اعلام شده است. نقض این دسته نیز جعل نامیده می شود، اما قبلاً توسط نویسنده پست.

4. تجدیدنظرپذیری مقوله نسبتاً دشواری است، اما اغلب در تجارت الکترونیک استفاده می شود - تضمینی که در صورت لزوم می توان ثابت کرد که نویسنده پیام شخص اعلام شده است و هیچ کس دیگری نمی تواند باشد. تفاوت این دسته با مقوله قبلی در این است که وقتی نویسنده جایگزین می شود، شخص دیگری سعی می کند اعلام کند که نویسنده پیام است و وقتی درخواست تجدید نظر نقض می شود، نویسنده خود سعی می کند سخنان خود را "انکار" کند، امضا شده است. توسط او یک بار

تهدید به اطلاعات محرمانه

تحت تهدید اطلاعات محرمانه، درک اقدامات احتمالی یا واقعی در رابطه با منابع اطلاعاتی که منجر به ضبط غیرقانونی اطلاعات محافظت شده می شود، مرسوم است.

این اقدامات عبارتند از:

آشنایی با اطلاعات محرمانه به طرق و طرق مختلف بدون نقض تمامیت آن؛

اصلاح اطلاعات برای مقاصد مجرمانه به عنوان تغییر جزئی یا قابل توجه در ترکیب و محتوای اطلاعات.

تخریب (تخریب) اطلاعات به عنوان یک عمل وندالیسم با هدف ایجاد مستقیم خسارت مادی.

اقداماتی که منجر به توقیف غیرقانونی اطلاعات محرمانه می شود:

1. افشاء، اقدامات عمدی یا سهل انگارانه با اطلاعات محرمانه است که منجر به آشنایی با اشخاصی می شود که پذیرفته نشده اند.

2. نشت، انتشار بدون کنترل اطلاعات محرمانه در خارج از سازمان یا حلقه افرادی است که به آنها سپرده شده است.

3. دسترسی غیرمجاز، تصرف غیرقانونی و عمدی اطلاعات محرمانه توسط شخصی است که حق دسترسی به اسرار محافظت شده را ندارد.

کنترل سوالات

1. چرا حفاظت از اطلاعات ضروری است؟

2. منظور از حفاظت از اطلاعات چیست؟

3. کدام سیستم ایمن است؟

4. راز دولتی چیست؟

5. چه اطلاعاتی را می توان به عنوان اسرار دولتی طبقه بندی کرد؟

6. راز تجاری چیست؟

7. چه اطلاعاتی یک راز تجاری است؟

8. چه چیزی راز تجاری نیست؟

9. چه سطوحی از دسترسی به اطلاعات توسط قوانین روسیه تنظیم می شود؟

10. روش های حفاظت از اطلاعات چگونه تقسیم بندی می شوند؟

11. روش ها و ابزارهای سازمانی و قانونی حفاظت اطلاعات چه ویژگی هایی دارد؟

12. برای حفاظت از اطلاعات از چه روش ها و وسایل مهندسی و فنی استفاده می شود؟

13. چگونه از اطلاعات در برابر دسترسی غیرمجاز محافظت کنیم؟

14. "ویروس کامپیوتری" چیست؟

15. ویروس های کامپیوتری چگونه طبقه بندی می شوند؟

16. برای محافظت در برابر ویروس از چه ابزارهایی استفاده می شود؟

17. چگونه یک ویروس می تواند وارد کامپیوتر شود؟

18. اطلاعات چگونه در برابر کپی محافظت می شود؟

19. روش های رمزنگاری و ابزارهای امنیت اطلاعات بر چه اساسی استوار است؟

20. رمزگذاری نامتقارن داده ها چگونه انجام می شود؟

21. منظور از امنیت اطلاعات چیست؟

23. تهدیدات امنیت اطلاعات چیست؟

24. چه اقداماتی منجر به سوء استفاده از اطلاعات می شود؟

حفاظت اداری از اطلاعات

حفاظت از اطلاعات اداری مجموعه ای از اقدامات با هدف ایجاد یک سیستم حفاظتی، سازماندهی سایر اشکال آن و افزایش قابلیت اطمینان آنها است. اقدامات حفاظتی اداری را می توان در سطوح مختلف با درجه خاصی از سلسله مراتب انجام داد: کشور، جمهوری، منطقه، صنعت و غیره.

حفاظت اداری از اطلاعات موارد زیر را فراهم می کند:

1. تعیین استراتژی، برنامه ریزی، هماهنگی و مدیریت فرآیندهای ارائه اطلاعات، پردازش، ذخیره سازی و ارتباط داده ها.

2. برنامه ریزی و سازماندهی سیستمی از اقدامات برای جلوگیری از دسترسی غیرمجاز به اطلاعات.

3. برنامه ریزی برای نجات اطلاعات اضطراری در موقعیت های اضطراری;

حفاظت از داده های نرم افزاری

حفاظت از داده های نرم افزاری مجموعه ای از اقدامات برای توسعه، پیاده سازی و سازماندهی عملکرد نرم افزار تخصصی و پشتیبانی اطلاعاتی است که برای محافظت از داده ها طراحی شده است.

1. حفاظت از سیستم عامل:

1.1. محدود کردن دسترسی به کامپیوتر و سیستم عامل،

1.2. سازماندهی برنامه ای دسترسی

2. حفاظت از سیستم های اطلاعاتی:

2.1. حفاظت از محتوا و یکپارچگی آن،

2.2. محافظت در برابر دسترسی و کپی غیر مجاز

3. سیستم رمزنگاری داده ها.

4. محافظت از برنامه ها در برابر استفاده غیرمجاز:

4.1. حفاظت اطلاعات سفت و سخت،

4.2. حفاظت از کپی دیسکت،

4.3. حفاظت از داده های نرم افزاری در حین انتقال داده ها

5. نرم افزار حفاظت از مالکیت معنوی.

6. حفاظت از یکپارچگی و دقت داده ها.

7. ایجاد یک سیستم دیسک توزیع شده.

8. بازیابی اطلاعات نرم افزار.

حفاظت از داده های فیزیکی و فنی

حفاظت فیزیکی و فنی (فیزیکی) داده ها مجموعه ای از اقدامات پیشگیرانه صنعتی برای حفظ اطلاعات و وسایل در نظر گرفته شده برای ذخیره و انتقال داده ها است. این فعالیت ها مستقیماً با فرآیندهای برنامه نویسی مرتبط نیستند، پردازش کامپیوتریو ارتباطات، عمدتاً به عملکردهای فنی و تعمیر و نگهداری و پیشگیری از اپراتور اشاره دارد که در سطح کاربران و گروه های خاصی از مردم انجام می شود.

روشهای حفاظت فیزیکی و فنی اطلاعات:

Ø حفاظت از حامل های داده ماشین (هارد دیسک، فلاپی دیسک، کاغذ و غیره).

Ø حفاظت پشتیبانی فنیسیستم های کامپیوتری (پردازنده، تجهیزات اداری. کار بر روی تجهیزاتی که الزامات ایمنی و کیفیت لازم را ندارند ممکن است منجر به اضطراری، پیامدهای غیرقابل پیش بینی، تحریف یا از دست دادن اطلاعات.

Ø انتخاب و حفاظت از وسایل ارتباطی.

Ø ابزار فنی اضافی حفاظت از داده ها.

Ø کار پیشگیرانه در حفاظت از داده ها.

Ø آرشیو داده ها

Ø آنتی ویروس شناسی برای مبارزه با ویروس ها از ابزار و اقدامات زیر استفاده می شود: سخت افزار (بردهای ویژه در پردازنده)، نرم افزار (پلی فاژها، ممیزی ها، واکسن ها، نگهبانان). اطلاعات دقیق تر در مورد ویروس ها، ماهیت و طبقه بندی آنها، روش ها و روش های مبارزه با آنها را می توان در اینترنت (وب سایت های Kaspersky AVP، Doctor Web و غیره) به دست آورد.

Ø پروفیلاکسی ضد ویروسی. رعایت قوانینی که برای محافظت در برابر ویروس ها و برنامه های خرابکارانه مطلوب است.

1. شما نمی توانید یک برنامه را بدون اطلاع از تمام عواقب کار آن در OP بارگذاری کنید. خرید نرم افزار "قاچاق" خطرناک است.

2. از پاک بودن برنامه از ویروس ها مطمئن شوید.

3. داشتن پایگاه اضطراریداده ها.

4. سیستم آنتی ویروس خود را به روز کنید.

نتیجه

بنابراین، اصل امنیت اطلاعات مدرن، یافتن تعادل بهینه بین دسترسی و امنیت است.

متأسفانه، هیچ حفاظت مطلقی نمی تواند وجود داشته باشد، اما همچنان می توانیم آن را ارائه دهیم.

روش ها و روش های فوق حفاظت از اطلاعات، اقدامات پیشگیرانه به ما این امکان را می دهد که به امنیت نسبی داده ها امیدوار باشیم کامپیوتر شخصی... رعایت آن قوانین، مقررات، استفاده ضروری است بودجه لازممحافظت برای محافظت از خود در برابر گم شدن، سرقت یا تغییر اطلاعات لازم... چنین ابزاری می تواند آنتی ویروس باشد، پشتیبان گیری، رمزگذاری داده های رایانه ای.

در حال حاضر، رویکردها و ابزارهای مورد استفاده در عمل اغلب از کاستی های قابل توجهی رنج می برند و قابلیت اطمینان اعلام شده را ندارند. بنابراین، لازم است تا با درک ماهیت پیچیده و وابسته به یکدیگر، در کل طیف مسائل امنیت اطلاعات پیمایش شود.

فهرست ادبیات استفاده شده