Автор работы: Пользователь скрыл имя, 04 Апреля 2012 в 20:47, курс лекций
В зависимости от сферы деятельности, характера задач и выполняемых управленческим персоналом должностных функций ИС условно можно классифицировать по следующим признакам.
1. По виду решаемых задач:
• корпоративные, региональные и другие ИС, предназначенные для управления предприятиями, организациями, офисами, корпорациями и т.д. К этому же классу можно причислить информационно-справочные системы, ориентированные на поиск информации в различных средах (архивах, библиотеках, фондах корпоративной системы, Интернете и т.д.);
1. Классификация ИС, их характеристика
2. Структура, функции и схема функционирования ИС
3. Системный анализ и стандарты – научная и технологическая основа для создания современных ИС
4. Понятие открытых систем
5. Создание ИС с учетом их жизненного цикла
6. Состав, особенности и характеристика интегрированных и корпоративных ИС
7. Структура и схема функционирования ERP-систем.
8. Экономическая эффективность ИС, способы ее расчета
9. Оценка и выбор ИС и ИТ.
10. Информационная безопасность и защита информации, виды угроз, методы и средства защиты ИС
11. Создание системы информационной безопасности..
Согласно этому нормативному акту к коммерческой тайне не могут быть отнесены следующие материалы:
• учредительные документы (решение о создании предприятия или договор учредителей) и устав;
• документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
• сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
• документы о платежеспособности;
• сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
• документы об уплате налогов и обязательных платежах;
• сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условии труда, реализации продукции, причиняющей вред здоровью населения, а также о других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
• сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью. Таким образом, кроме перечисленных ограничений, к коммерческой тайне вправе относить действительно деловую информацию, имеющую фактическую или потенциальную ценность для предприятия по коммерческим причинам, утрата которой может нанести ущерб вашему предприятию. Отсюда видно, что подобная информация должна, прежде всего, быть коммерчески выгодной вам или выгодной для вашего конкурента в случае ее попадания в чужие руки.
В качестве критерия важности конкретной информации используется количественный показатель величины наносимого ущерба. Наиболее важной, с точки зрения безопасности предприятия, является информация, утечка которой угрожает структурной целостности предприятия или способствует перекрытию каналов поступления материальных ресурсов.
Какие другие, самые общие требования рекомендуется предъявлять к информации, которую вы вносите в перечень сведений, составляющих коммерческую тайну?
Во-первых, эта информация не должна быть общеизвестной или общедоступной на законных основаниях (не прячьте то, что всем хорошо известно или все равно станет известно).
Во-вторых, эти сведения не должны являться государственными секретами или защищаться согласно нормам авторского или патентного права (то есть не стройте двойных тайн).
В-третьих, информация, составляющая коммерческую тайну, должна быть зафиксирована в письменной или иной материальной форме и находиться в исключительном владении предприятия.
В-четвертых, такая информация должна быть понятным образом специально обозначена ("грифована") и обеспечена необходимыми мерами по сохранению ее конфиденциальности.
В-пятых, эти сведения не должны напрямую касаться деятельности предприятия, способной нанести ущерб обществу, жизни и здоровью людей (нарушение законов, загрязнение окружающей среды и т.д.), а также использоваться в целях недобросовестной конкуренции, уклонения от налогов, осуществления запрещенной и незакрепленной в уставе предприятия деятельности.
В-шестых, информация, подтверждающая административные ошибки, сведения об отдельных сотрудниках, компрометирующих компанию, не могут быть только на этом основании официально отнесены к коммерческой тайне. Ограничение доступа к подобным сведениям для посторонних лиц вводится по другим признакам.
Меры, принимаемые по предотвращению ущерба из-за нарушения режима безопасности информации, делятся на меры правовой защиты, организационные и меры защиты с помощью технических средств.
1. Основные виды защиты экономической информации, роль криптографических и других способов защиты информации.
1. Препятствия – это создание преград, физически не допускающих к информации. Средства защиты при этом – механические преграды (сейфы, шкафы, датчики различного типа).
2. Защита методом управления доступом состоит в использовании паролей и измерения индивидуальных характеристик человека. В основе этого метода лежит:
- Идентификация - это присвоение субъекту (или объекту) уникального образа, имени или числового кода.
- Аутентификация - это определение, является ли проверяемый субъект (объект) тем, за кого он себя выдает.
Средствами являются различные технические устройства.
Объектами идентификации и аутентификации в вычислительной системе могут быть человек, техническое средство, носители информации, документы и т.п. Одним из распространенных способов идентификации и установления подлинности личности является присвоение лицу или объекту уникального имени или числового кода-пароля и хранение его значения в вычислительной системе. При необходимости входа в систему пользователь вводит с терминального устройства свой код пароля, который затем сравнивается со значениями в списке паролей, хранимом в вычислительной системе. В случае совпадения кодов система открывает доступ к разрешенной информации.
3. Маскировка осуществляется за счет программных средств защиты к кторым относятся:
- Криптографические средства;
- Уничтожение результатов решения задачи;
- Регистрация работы технических и программных средств;
- Разграничение доступа по паролям и ключам доступа
- Электронная подпись.
Криптография (механизмы шифрования) - это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.
Сущность криптографических методов заключается в следующем.
Готовое к передаче сообщение, будь то данные, речь или графическое изображение того или иного документа, обычно называется открытым, или незащищенным, текстом или сообщением. В процессе передачи такого сообщения по незащищенным каналам связи оно может быть легко перехвачено или отслежено подслушивающим лицом посредством его умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к этому сообщению оно зашифровывается и тем самым преобразуется в шифрограмму или закрытый текст. Когда же санкционированный пользователь получает сообщение, он дешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст.
Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом, или битовой последовательностью, обычно называемым шифрующим ключом.
Каждый используемый ключ может производить различные шифрованные сообщения, определяемые только этим ключом. Для большинства систем закрытия схема генератора ключа может представлять собой либо набор инструкций команд, либо часть, узел аппаратуры (hardware), либо компьютерную программу (software), либо все это вместе, но в любом случае процесс шифрования/дешифрования единственным образом определяется выбранным специальным ключом. Поэтому, чтобы обмен зашифрованными сообщениями проходил успешно, как отправителю, так и получателю необходимо знать правильную ключевую установку и хранить ее в тайне.
Следовательно, стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее, этот ключ должен быть известен другим пользователям сети, так чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом. В то же время истинный получатель, приняв эти сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.
Шифрование может быть симметричным и асимметричным.
Симметричное основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Асимметричное характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования — другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.
- Механизмы цифровой подписи основываются на алгоритмах ассиметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.
- Механизмы контроля доступа осуществляют проверку полномочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных точках, также в конечной точке.
- Механизмы обеспечения целостности данных применяются как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но недостаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает не с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.
Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной.
- Механизмы постановки графика, называемые также механизмами заполнения текста, используются для реализации засекречивания потока данных. Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Этим нейтрализуется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам связи.
- Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным) физически ненадежным каналам.
- Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами АИТ, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.
В АИТ при организации безопасности данных используется комбинация нескольких механизмов.
Кроме этого используются следующие способы защиты:
Ограничение доступа заключается в создании некоторой физически замкнутой преграды вокруг объекта защиты с организацией контролируемого доступа лиц, связанных с объектом защиты по своим функциональным обязанностям. Ограничение доступа к комплексам технических средств автоматизации (КСА) обработки информации заключается:
- в выделении специальной территории для размещения КСА;
- в сооружении по периметру зоны специальных ограждений с охранной сигнализацией;
- в сооружении специальных зданий или других сооружений;
- в выделении специальных помещений в здании;
- в создании контрольно-пропускного режима на территории, в зданиях и помещениях.
Главная задача средств ограничения доступа - исключить случайный или преднамеренный доступ на территорию размещения КСА и непосредственно к аппаратуре посторонних лиц. С этой целью создается защитный контур с двумя видами преград: физической и контрольно-пропускной.
Контрольно-пропускной вид преграды может быть реализован различными способами: на основе аутентификации по обычным пропускам, аутентификации специальными магнитными карточками, кодовой аутентификации и биометрической аутентификации (отпечатки пальцев, голос, личная подпись и т.п.).
Физическая преграда защитного контура снабжается охранной сигнализацией. В настоящее время выпускаются электронные системы для защиты государственных и частных объектов от проникновения в них посторонних лиц. Эффективность охранной сигнализации зависит от надежности всех ее элементов и их согласованного функционирования. Это зависит от типов применяемых датчиков, способов контроля и оповещения, помехоустойчивости, а так же реакции на сигнал тревоги. Местная звуковая или световая сигнализация недостаточны, поэтому местные устройства охраны целесообразно подключать к специализированным средствам централизованного управления, которые при получении сигнала тревоги высылают специальную группу охраны. Датчики сигналов такой системы устанавливаются на различных ограждениях, внутри помещений, на сейфах и т.п.
По принципу действия системы тревожной сигнализации классифицируют следующим образом: