Abstrakt: „Bezpečnost podnikových informačních systémů. · Technogenní havárie. Právní rámec pro zajištění ochrany informací byl vytvořen implementací

BĚLORUSKÁ STÁTNÍ UNIVERZITA

Absolventská práce Podle
"Základy informačních technologií"

Magisterský student

Katedry kybernetiky

Kozlovský Jevgenij

Vedoucí:

Docent Anischenko Vladimír Viktorovič,

Umění. učitel Kozych Pavel Pavlovič

Minsk - 2008

ERP – Enterprise Resource Planning System

MRP II- Plánování materiálových požadavků

MRP II– Plánování výrobních zdrojů

Software - software

KIS– podnikové informační systémy

SVT - počítačové vybavení

NSD - neoprávněný přístup

Firemní informační systémy pevně vstoupily do našich životů. V moderním světě je poměrně obtížné si představit úspěšně se rozvíjející podnik řízený bez účasti takového systému.

Vzhledem k tomu, že v podnikových informačních systémech jsou uchovávány informace, jejichž narušení integrity nebo důvěrnosti může vést ke kolapsu celého podniku, je otázka ochrany informací v podnikových informačních systémech akutní.

Tato práce má několik cílů. Jedním z nich je analýza struktury podnikových informačních systémů. Na základě této analýzy bude provedena jejich klasifikace. Jedním z cílů této práce je také studium mechanismů ochrany dat v různých třídách podnikových informačních systémů. Kromě toho je cílem prozkoumat existující hrozby pro podnikové informační systémy a analyzovat způsoby jejich minimalizace či úplné eliminace. V tomto ohledu bude provedena studie stávajících metod řízení přístupu a analýza jejich použitelnosti v určitých podmínkách.

Termín korporace pochází z latinského slova korporace- Svaz. Korporace označuje sdružení podniků, které fungují pod centralizovanou kontrolou a řeší běžné problémy. Korporace zpravidla zahrnují podniky sídlící v různých regionech a dokonce i v různých státech (nadnárodní korporace).

Podnikové informační systémy (CIS) jsou integrované systémy řízení pro geograficky distribuované korporace založené na hloubkové analýze dat, širokém využití systémů pro podporu rozhodování při rozhodování, elektronické správě dokumentů a kancelářské práci.

Důvody implementace podnikových informačních systémů:

rychlý přístup ke spolehlivým a prezentovaným informacím ve vhodné formě;

Vytvoření jednotného informačního prostoru;

zjednodušení registrace a zpracování dat;

zbavit se dvojité registrace stejných údajů;

registrace informací v reálném čase;

· snižování mzdových nákladů, jejich rovnoměrné rozdělení mezi všechny účastníky systému účetnictví, plánování a řízení;

· automatizace konsolidace dat pro distribuovanou organizační strukturu.

Všechny podnikové informační systémy lze rozdělit do dvou velkých podskupin. Jeden z nich obsahuje jediný systém sestavený podle modulárního principu s vysokou úrovní integrace. Druhým je sada heterogenních aplikací, i když jsou vzájemně integrované pomocí služeb a rozhraní.

Do první třídy patří především moderní ERP systémy.

ERP-systém (angl. Enterprise Resource Planning System - Enterprise Resource Planning System) je podnikový informační systém určený k automatizaci účetnictví a řízení. ERP systémy jsou zpravidla budovány na modulární bázi a do té či oné míry pokrývají všechny klíčové procesy společnosti.

Historicky se koncept ERP vyvíjel z jednodušších konceptů MRP (Material Requirement Planning) a MRP II (Manufacturing Resource Planning). Softwarové nástroje používané v ERP systémech umožňují plánování výroby, modelování toku zakázek a vyhodnocování možností jejich implementace ve službách a divizích podniku, propojování s prodejem.

ERP systémy jsou založeny na principu vytvoření jediného datového skladu obsahujícího veškeré podnikové informace a zajištění současného přístupu k nim libovolnému požadovanému počtu zaměstnanců podniku, vybavených příslušnými oprávněními. Data se mění prostřednictvím funkcí (funkčnosti) systému. Hlavní funkce ERP systémů jsou: udržování konstrukčních a technologických specifikací, které určují složení vyráběných produktů, jakož i materiálových zdrojů a operací nezbytných pro jejich výrobu; tvorba prodejních a výrobních plánů; plánování potřeb materiálů a komponentů, termínů a objemů dodávek pro splnění plánu výroby; řízení zásob a nákupu: vedení smluv, implementace centralizovaných nákupů, zajištění účetnictví a optimalizace skladových a dílenských zásob; plánování výrobních kapacit od rozšířeného plánování až po využití jednotlivých strojů a zařízení; operativní řízení finance, včetně sestavení finančního plánu a sledování jeho plnění, finanční a manažerské účetnictví; řízení projektů, včetně plánování milníků a zdrojů.

Obvykle mají jádro složené z několika klíčových modulů, bez kterých systém nemůže fungovat. Tato sada obsahuje mimo jiné bezpečnostní systém, který přebírá většinu funkcí souvisejících s ochranou informací v celém systému jako celku a v každém ze zásuvných modulů zvlášť. Tento přístup je velmi výhodný z několika důvodů:

Mechanismy pro zajištění důvěrnosti, integrity a dostupnosti dat v takovém systému jsou maximálně sjednoceny. To umožňuje správcům vyhnout se chybám při konfiguraci různých modulů systému, které by mohly vést k narušení bezpečnosti.

Systém má vysokou míru centralizace a umožňuje snadno a spolehlivě řídit ochranu podnikového informačního systému.

Mezi výhody takových systémů patří:

Použití ERP systému umožňuje používat jeden integrovaný program namísto několika nesourodých.

Je určen systém diferenciace přístupu k informacím implementovaný v ERP systémech (v kombinaci s dalšími opatřeními informační bezpečnost podniky) čelit jak vnějším hrozbám (například průmyslová špionáž), tak vnitřním hrozbám (například krádeže).

Studie univerzit svazového státu, většinou státních, ukázala, že v nejvíce automatizované oblasti, financích, 42 % z nich používá buď pouze kancelářské aplikace, nebo staromódním způsobem – papír. Ale i tam, kde je úroveň automatizace relativně vysoká, moduly spolu většinou nesouvisí. A takových subsystémů by mělo být asi deset: finanční plánování, nemovitosti, projekt, řízení kvality, reporting, prostředí nástrojů atd. Při vývoji každého z nich bude podle nejkonzervativnějších odhadů jen na mzdové náklady vynaloženo asi 25 tisíc dolarů. Vzhledem k tomu, že 25–40 % všech nákladů na vytvoření softwarový produkt, musí být výsledný odhad zvýšen alespoň 2,5-4krát. Podpora implementovaného systému bude stát dalších 140-240 tisíc dolarů ročně. Takže představa, že vlastní vývoj je levný, je iluzí, která vzniká při absenci účinných kontrol nákladů.

Moderní ERP systémy lze poměrně úspěšně adaptovat na práci vzdělávacích institucí. Je však třeba poznamenat, že při implementaci takových systémů je nutné vzít v úvahu některé vlastnosti, které jsou vlastní informačním systémům takových institucí.

Přítomnost několika specializovaných subsystémů, které řeší poměrně nezávislé úkoly. Data používaná každým ze subsystémů jsou vysoce specializovaná; nezávislé na ostatních aplikacích informačního systému. Například v rámci vysoké školy lze vyčlenit subsystémy účetnictví, knihovna, redakční a vydavatelské oddělení, aplikace pro zpracování vzdělávacího procesu atd. Na druhou stranu jsou všechny subsystémy umístěny ve stejném informačním prostoru a jsou vzájemně propojeny (jeden systém referenčních dat, výsledek jedné aplikace slouží jako základ pro fungování jiné atd.).

Požadavek na zveřejnění významné části IP informací s poskytnutím rozhraní pro přístup k datům podnikového informačního systému pro uživatele třetích stran.

Druhá třída systémů je podle mého názoru mnohem náchylnější k bezpečnostním mezerám způsobeným chybami v konfiguraci zabezpečení aplikací. Jak již bylo uvedeno, navzdory určité integraci jsou tyto systémy ve skutečnosti sadou samostatných nezávislých produktů. V souladu s tím každý z nich používá své vlastní přístupy k zajištění integrity, důvěrnosti a dostupnosti dat a vyžaduje samostatnou konfiguraci. Vezmeme-li také v úvahu skutečnost, že části takového systému nejsou vždy vzájemně kompatibilní, je zřejmé, že např. společná práce aplikace někdy musí obětovat bezpečnost. Decentralizace takových systémů často neumožňuje správcům sledovat diferenciaci přístupových práv v systému.

Než se zamyslíme nad zranitelností podnikového informačního systému, uveďme několik definic.

Pod Přístup k informacím se rozumí seznámení s informacemi, jejich zpracování, zejména kopírování, pozměňování nebo ničení informací.

Rozlišujte mezi autorizovaným a neoprávněným přístupem k informacím.

- jedná se o přístup k informacím, které neporušují stanovená pravidla řízení přístupu.

slouží k regulaci přístupových práv subjektů přístupu k objektům přístupu.

charakterizované porušením stanovených pravidel kontroly přístupu. Osoba nebo proces, který poskytuje neoprávněný přístup k informacím, je porušovatelem pravidel kontroly přístupu. Neoprávněný přístup je nejběžnějším typem narušení počítače.

Ochrana osobních údajů je stav udělený datům a určuje požadovaný stupeň ochrany. Důvěrnost informací je v zásadě vlastností informací, které jsou známy pouze přijatým a ověřeným (oprávněným) subjektům systému (uživatelům, procesům, programům). U ostatních subjektů systému by tato informace měla být neznámá.

Předmět je aktivní složka systému, která může způsobit tok informací od objektu k subjektu nebo změnu stavu systému.

Objekt- pasivní součást systému, která uchovává, přijímá nebo přenáší informace. Přístup k objektu znamená přístup k informacím, které obsahuje.

Integrita informace se poskytuje, pokud se údaje v systému významově neliší od údajů uvedených ve zdrojových dokumentech, tzn. pokud s nimi nebylo náhodně nebo úmyslně manipulováno nebo zničeny.

Integrita součást nebo zdroj systém je vlastnost součásti nebo zdroje být sémanticky nezměněn, když systém funguje za podmínek náhodných nebo záměrných deformací nebo destruktivních vlivů.

Dostupnost komponent nebo zdroj systému je vlastností komponenty nebo zdroje, aby byl dostupný" oprávněným legitimním subjektům systému.

Pod bezpečnostní hrozba podnikový informační systém se týká možných dopadů na něj, které mohou přímo či nepřímo poškodit bezpečnost takového systému.

Bezpečnostní poškození znamená porušení stavu bezpečnosti informací obsažených a zpracovávaných v podnikových informačních systémech. Pojem zranitelnost podnikových informačních systémů úzce souvisí s pojmem bezpečnostní hrozby.

Zranitelnost podnikový informační systém je určitá vlastnost systému, která umožňuje vznik a implementaci hrozby.

Záchvat na počítačovém systému je akce provedená útočníkem, která spočívá v nalezení a zneužití té či oné systémové zranitelnosti. Útok je tedy realizací bezpečnostní hrozby.

Boj proti bezpečnostním hrozbám je cílem ochrany systémů zpracování informací.

Bezpečný nebo bezpečný systém je systém s bezpečnostními prvky, který úspěšně a účinně čelí bezpečnostním hrozbám.

Komplex prostředků ochrany je soubor softwarových a hardwarových nástrojů vytvořených a udržovaných pro zajištění informační bezpečnosti podnikového informačního systému. Komplex je vytvořen a udržován v souladu s bezpečnostní politikou přijatou organizací.

Pravidla bezpečnosti- jedná se o soubor norem, pravidel a praktických doporučení, které upravují provoz prostředků ochrany podnikového informačního systému před daným souborem bezpečnostních hrozeb.

Firemní informační systém, jako každý informační systém, je vystaven bezpečnostním hrozbám. Tyto hrozby klasifikujeme.

1. porušení důvěrnosti informací v podnikových informačních systémech

2. narušení integrity informací v podnikových informačních systémech.

3. odmítnutí služby pro podnikové informační systémy

Pojďme se na tyto hrozby podívat blíže.

Hrozby důvěrnosti jsou zaměřeny na prozrazení důvěrných nebo utajovaných informací. Když jsou tyto hrozby implementovány, informace se dostanou do povědomí osob, které by k nim neměly mít přístup. Pokud jde o počítačovou bezpečnost, k ohrožení soukromí dochází vždy, když je získán neoprávněný přístup k některým chráněným informacím uloženým v počítačovém systému nebo přeneseným z jednoho systému do druhého.

Hrozby narušení integrity informací uložených v počítačovém systému nebo přenášených komunikačním kanálem jsou zaměřeny na jejich změnu nebo zkreslení, což vede k narušení jejich kvality nebo úplnému zničení. Integrita informací může být narušena úmyslně útočníkem i v důsledku objektivních vlivů z okolí systému. Tato hrozba je zvláště aktuální pro systémy přenosu informací, počítačové sítě a telekomunikační systémy. Úmyslné narušení integrity informace by nemělo být zaměňováno s její autorizovanou změnou, kterou provádějí oprávněné osoby za legitimním účelem (např. takovou změnou je periodická oprava určité databáze).

Hrozby narušení provozuschopnosti (odepření služby) jsou zaměřeny na vytváření takových situací, kdy určité záměrné akce buď snižují provozuschopnost CIS, nebo blokují přístup k některým z jeho zdrojů. Pokud například jeden uživatel systému požaduje přístup k určité službě a jiný podnikne akci k zablokování tohoto přístupu, obdrží první uživatel odmítnutí služby. Blokování přístupu ke zdroji může být trvalé nebo dočasné.

Hrozby lze klasifikovat podle několika parametrů

Podle výše způsobené škody:

o limit, po jehož uplynutí se společnost může dostat do úpadku;

o významné, ale nikoli v úpadku;

o nevýznamné, které společnost může nějakou dobu kompenzovat.

Podle pravděpodobnosti výskytu:

o vysoce pravděpodobné ohrožení;

o pravděpodobné ohrožení;

o nepravděpodobná hrozba.

Z důvodů výskytu:

o přírodní katastrofy;

o úmyslné jednání.

Podle povahy poškození:

o materiál;

o mravní;

Podle povahy dopadu:

o aktivní;

o pasivní.

ve vztahu k objektu:

o vnitřní;

o vnější.

Zdroje vnějších hrozeb jsou:

o bezohlední konkurenti;

o zločinecké skupiny a formace;

o jednotlivci a organizace správního a řídícího aparátu.

Zdroje vnitřních hrozeb mohou být:

o podniková administrativa;

o zaměstnanci;

o technické prostředky k zajištění výrobních a pracovních činností.

Poměr vnějších a vnitřních hrozeb na průměrné úrovni lze charakterizovat takto:

82 % hrozeb páchají vlastní zaměstnanci společnosti svou přímou či nepřímou účastí;

17 % hrozeb pochází zvenčí – vnější hrozby;

1 % hrozeb tvoří náhodní lidé.

Nejnebezpečnější z hlediska výše způsobené škody je ve většině případů právě porušení důvěrnosti informací. Zvažme možné způsoby takového porušení.

Prozrazení je úmyslné nebo nedbalé jednání s důvěrnými informacemi, které vedlo k seznámení se s nimi osobami, které k nim neměly přístup. Zveřejnění je vyjádřeno komunikací, přenosem, poskytováním, předáváním, zveřejňováním, ztrátou a jinými formami výměny a jednání s obchodními a vědeckými informacemi. Zveřejňování se provádí prostřednictvím formálních a neformálních kanálů šíření informací. Formální komunikace zahrnuje obchodní jednání, jednání, jednání a podobné formy komunikace: výměna oficiálních obchodních a vědeckých dokumentů prostřednictvím předávání oficiálních informací (pošta, telefon, telegraf atd.). Neformální komunikace zahrnuje osobní komunikaci (schůzky, korespondence), výstavy, semináře, konference a další veřejné akce a také média (tisk, noviny, rozhovory, rozhlas, televize). Důvodem prozrazení důvěrných informací je zpravidla nedostatečná znalost pravidel ochrany obchodního tajemství a nepochopení (či nepochopení) nutnosti jejich pečlivého dodržování ze strany zaměstnanců. Zde je důležité poznamenat, že subjekt v tomto procesu je zdrojem (vlastníkem) chráněných tajemství. Je třeba poznamenat informační funkce tuto akci. Informace jsou smysluplné, smysluplné, uspořádané, odůvodněné, objemné a často jsou dodávány v reálném čase. Často je příležitost k dialogu. Informace jsou zaměřeny na konkrétní předmět a jsou zdokumentovány. K získání informací, které útočníka zajímají, vynakládá útočník téměř minimální úsilí a využívá jednoduché legální technické prostředky (diktafony, videomonitorování).

Únik je nekontrolované uvolnění důvěrných informací mimo organizaci nebo okruh osob, kterým byly svěřeny.

Únik informací se provádí různými technickými kanály. Je známo, že informace jsou obecně přenášeny nebo přenášeny buď energií nebo hmotou. Jedná se buď o akustické vlnění (zvuk), nebo elektromagnetické záření, nebo list papíru (psaný text) atd. S ohledem na to lze tvrdit, že z fyzikální podstaty jsou možné následující způsoby přenosu informací: světelné paprsky, zvukové vlny, elektromagnetické vlny, materiály a látky . Podle toho se kanály úniku informací dělí na vizuálně-optické, akustické, elektromagnetické a hmatatelné. Kanál úniku informací je běžně chápán jako fyzická cesta od zdroje důvěrných informací k útočníkovi, přes který může útočník získat přístup k chráněným informacím. Pro vytvoření kanálu úniku informací jsou nutné určité prostorové, energetické a časové podmínky, stejně jako přítomnost vhodného zařízení na straně útočníka pro příjem, zpracování a fixaci informací.

Neoprávněný přístup je nezákonné záměrné držení důvěrných informací osobou, která nemá právo na přístup k chráněným tajemstvím. Je implementován neoprávněný přístup ke zdrojům důvěrných informací různé způsoby: od proaktivní spolupráce, vyjádřené aktivní touhou „prodat“ tajemství, až po použití různých prostředků pronikání do obchodního tajemství. K realizaci těchto akcí musí útočník často proniknout do objektu nebo v jeho blízkosti vytvořit speciální kontrolní a pozorovací stanoviště – stacionární nebo mobilní, vybavená nejmodernějšími technickými prostředky. Vyjdeme-li z integrovaného přístupu k zajištění bezpečnosti informací, pak se takové oddělení zaměřuje na ochranu informací, a to jak před vyzrazením, tak před únikem technickými kanály a před neoprávněným přístupem konkurence a narušitelů k nim. Takový přístup ke klasifikaci akcí, které přispívají ke zpronevěře důvěrných informací, ukazuje všestrannost hrozeb a všestrannost ochranných opatření nezbytných k zajištění komplexní bezpečnosti informací.

S ohledem na výše uvedené zbývá zvážit, jaké podmínky přispívají ke zpronevěře důvěrných informací.

Statisticky je toto:

Zveřejňování (nadměrná upovídanost zaměstnanců) - 32 %;

Neoprávněný přístup prostřednictvím úplatků a navádění ke spolupráci ze strany konkurentů a zločineckých gangů – 24 %;

Chybějící řádná kontrola a přísné podmínky pro zajištění informační bezpečnosti ve firmě – 14 %;

Tradiční výměna průmyslových zkušeností - 12 %;

Nekontrolované používání informačních systémů - 10 %;

Přítomnost předpokladů pro vznik konfliktních situací mezi zaměstnanci - 8 %;

Z výše uvedených statistik vyplývá, že nejzranitelnějším místem v bezpečnostním systému podnikového informačního systému jsou samotní zaměstnanci, kteří se dobrovolně či nedobrovolně dopouštějí porušení zabezpečení informačního systému.

Podle způsobů ovlivnění se všechna opatření k minimalizaci hrozeb dělí na:

Právní (legislativní);

Morální a etické;

Správní;

fyzický;

Hardware a software.

Uvedená bezpečnostní opatření CIS lze považovat za sled bariér či hranic ochrany informací. Abychom se dostali k chráněným informacím, je nutné postupně překonat několik linií ochrany. Zvažme je podrobněji.

První obranná linie, která stojí v cestě člověku, který se snaží provést NSD k informacím, je čistě legální. Tento aspekt ochrany informací je spojen s nutností dodržování právních předpisů při předávání a zpracování informací. Právní opatření na ochranu informací zahrnují zákony, vyhlášky a další předpisy platné v dané zemi, které upravují pravidla pro nakládání s omezenými informacemi a odpovědnost za jejich porušení. Tím zabraňují neoprávněnému použití informací a působí jako odstrašující prostředek pro případné narušitele.

Druhou linii obrany tvoří morální a etická opatření . Etický moment v souladu s požadavky ochrany má velmi velká důležitost. Je velmi důležité, aby lidé, kteří mají přístup k počítačům, pracovali ve zdravém morálním a etickém klimatu.

Morální a etická protiopatření zahrnují všechny druhy norem chování, které se tradičně vyvíjely nebo se rozvíjejí ve společnosti s tím, jak se počítače v zemi rozšířily. Tyto normy nejsou z velké části závazné, jak to schvaluje zákon, ale jejich nedodržování obvykle vede k poklesu prestiže osoby, skupiny osob nebo organizace. Morální a etické normy mohou být buď nepsané (například obecně uznávané normy čestnosti, vlastenectví atd.), nebo formalizované do určitého souboru pravidel či předpisů. Například Kodex profesionálního chování pro členy Asociace počítačových uživatelů USA považuje za neetické jednání, které úmyslně či neúmyslně:

Porušit normální práce počítačové systémy;

Způsobit neodůvodněné náklady na zdroje (počítačový čas, paměť, komunikační kanály atd.);

Porušovat integritu informací (uložených a zpracovávaných);

Porušovat zájmy jiných oprávněných uživatelů atd.

Třetí hranicí bránící neoprávněnému použití informací jsou administrativní opatření. Administrátoři všech stupňů s přihlédnutím k právním normám a společenským aspektům určují administrativní opatření k ochraně informací.

Administrativní ochranná opatření jsou organizační opatření. Řídí:

procesy fungování CIS;

Využití zdrojů CIS;

činnosti svých zaměstnanců;

Pořadí, ve kterém uživatelé interagují se systémem, aby co nejvíce bránili nebo eliminovali možnost implementace bezpečnostních hrozeb.

Administrativní opatření zahrnují:

Vývoj pravidel pro zpracování informací v CIS;

Soubor akcí při projektování a vybavení výpočetních středisek a dalších zařízení CIS (s přihlédnutím k vlivu živlů, požárů, zabezpečení prostor atd.);

Soubor úkonů při výběru a školení personálu (prověřování nových zaměstnanců, seznamování s postupem při práci s důvěrnými informacemi, s opatřeními k odpovědnosti za porušení pravidel pro jejich zpracování; vytváření podmínek, za kterých by bylo pro personál nerentabilní umožnit zneužití atd.);

Organizace spolehlivé kontroly přístupu;

Organizace účetnictví, ukládání, používání a ničení dokumentů a médií s důvěrnými informacemi;

Distribuce podrobností o řízení přístupu (hesla, pravomoci atd.);

Organizace skryté kontroly nad prací uživatelů a personálu CIS;

Soubor úkonů při návrhu, vývoji, opravách a úpravách zařízení a softwaru (certifikace používaného hardwaru a softwaru, přísná autorizace, přezkoumání a schvalování všech změn, ověřování shody s bezpečnostními požadavky, dokumentování změn atd.).

Je důležité si uvědomit, že dokud nebudou zavedena účinná opatření administrativní ochrany počítačů, budou ostatní opatření nepochybně neúčinná. Administrativní a organizační ochranná opatření se mohou zdát nudná a rutinní ve srovnání s morálními a etickými a postrádají specifičnost ve srovnání s hardwarem a softwarem. Představují však silnou bariéru zneužívání informací a silnou základnu pro další úrovně ochrany.

Čtvrtou hranicí jsou opatření fyzické ochrany . Opatření fyzické ochrany zahrnují různé druhy mechanických, elektro- a elektronicko-mechanických zařízení nebo struktur speciálně navržených tak, aby vytvářely fyzické překážky na možných cestách průniku a přístupu potenciálních narušitelů ke komponentám systému a chráněným informacím.

Pátou hranicí je ochrana hardwaru a softwaru . Patří sem různá elektronická zařízení a speciální programy, které samostatně nebo v kombinaci s jinými prostředky implementují následující ochranné metody:

Identifikace (rozpoznání) a autentizace (autentizace) subjektů (uživatelů, procesů) CIS;

Diferenciace přístupu ke zdrojům CIS;

Kontrola integrity dat;

Zajištění důvěrnosti dat;

Registrace a analýza událostí vyskytujících se v CIS;

Rezervace zdrojů a komponent CIS.

Podle způsobu implementace lze veškerá opatření k prevenci ohrožení podnikového informačního systému rozdělit následovně.

Tab. 1. Výhody a nevýhody různých opatření pro boj s hrozbami SNS

Řízení ve své čisté podobě je bohužel tím méně použitelné, čím větší je informační systém. Kromě toho okamžitě vyvstává otázka vhodnosti shromažďování těchto údajů, protože. je prakticky nemožné je včas zpracovat, nebo to vyžaduje vytvoření samostatného oddělení zabývajícího se touto konkrétní prací. Nesmíme zapomínat, že většina dat je relevantní po velmi krátkou dobu.

Prohibice je velmi nepružný nástroj. Zákaz používání zcizitelných paměťových médií může způsobit nové problémy související s tím, že polovina resortů je používala ke komunikaci s vnějším světem: e-mail ukládá omezení velikosti zasílaných souborů, finanční úřady přijímají účetní výkazy pouze na diskety atd. Kromě toho nesmíme zapomenout na takovou otázku, jako je elementární komfort práce. Zaměstnanci, kteří nad sebou pociťují neustálou kontrolu, pociťují tvrdá omezení při práci s počítačem, internetem, poštou nebo třeba telefonické rozhovory, jsou nervózní, podráždění a hromadí v sobě nespokojenost. Přirozeně to dříve nebo později povede ke ztrátě cenného zaměstnance nebo k touze zaměstnance pokusit se tato omezení a zákazy obejít.

Z výše uvedeného můžeme usoudit, že nemá smysl kontrolovat a omezovat, klást všechny myslitelné i nemyslitelné zákazy. Je lepší určit okruh lidí, kteří mají podle povahy své práce přístup k důvěrným informacím, a poté správně nakonfigurovat systém diferenciace přístupových práv, a to navzdory skutečnosti, že údržba takového systému bude vyžadovat pečlivou konfiguraci a pečlivé údržba.

Ukazuje se tedy, že jedním z hlavních kroků k zajištění důvěrnosti informací je diferenciace přístupu zaměstnanců ke zdrojům podnikového informačního systému s cílem omezit rozsah informací dostupných konkrétnímu zaměstnanci na limity nezbytné pro plnění svých povinností.

Zvažte nejdůležitější mechanismy řízení přístupu.

Volitelný model řízení přístupu je definován dvěma vlastnostmi:

Všechny subjekty a objekty jsou identifikovány;

Přístupová práva subjektů k objektům systému jsou určena na základě nějakého pravidla vně systému.

Hlavním prvkem diskrečních systémů kontroly přístupu je přístupová matice. Přístupová matice - velikost matice \S\ X \0\, jehož řádky odpovídají předmětům a jejichž sloupce odpovídají objektům. Navíc každý prvek přístupové matice M S R definuje přístupová práva subjektu s na objekt Ó, Kde R- mnoho přístupových práv.

Při použití volitelného mechanismu řízení přístupu se na něj vztahují následující požadavky:

Systém ochrany musí řídit přístup pojmenovaných subjektů (uživatelů) k pojmenovaným objektům (souborům, programům, svazkům atd.).

Pro každou dvojici (předmět - objekt) ve výpočetním zařízení (SVT) musí být uveden výslovný a jednoznačný výčet platných typů přístupu (čtení, zápis atd.), tzn. ty typy přístupu, které jsou pro daný subjekt (jednotlivce nebo skupiny jednotlivců) autorizovány k danému zdroji CBT (objektu).

Bezpečnostní systém musí obsahovat mechanismus, který vynucuje diskreční pravidla řízení přístupu.

Řízení přístupu musí být použitelné pro každý objekt a každý subjekt (jednotlivce nebo skupinu rovnocenných jedinců).

Mechanismus, který implementuje diskreční princip řízení přístupu, by měl zajistit možnost autorizovaných změn v pravidlech nebo právech řízení přístupu (AR), včetně možnosti autorizovaných změn v seznamu uživatelů CVT a seznamu chráněných objektů.

Právo na změnu DRP by měly mít vybrané subjekty (správa, bezpečnostní služba apod.).

Měly by být poskytnuty ovládací prvky pro omezení distribuce přístupových práv.

Mezi výhody diskreční bezpečnostní politiky patří relativně jednoduchá implementace systému řízení přístupu. To je způsobeno skutečností, že většina v současnosti rozšířených počítačových systémů zajišťuje implementaci požadavků této konkrétní bezpečnostní politiky.

Mezi nevýhody diskreční bezpečnostní politiky patří statická povaha v ní definovaných pravidel řízení přístupu. Tato bezpečnostní politika nebere v úvahu dynamiku změn stavů počítačového systému. Navíc při použití diskreční bezpečnostní politiky vyvstává otázka stanovení pravidel pro distribuci přístupových práv a analýzy jejich dopadu na bezpečnost počítačového systému. V obecném případě při použití této bezpečnostní politiky stojí systém ochrany, který se při autorizaci přístupu subjektu k objektu řídí určitým souborem pravidel, před algoritmicky neřešitelným úkolem - ověřit, zda jeho akce povedou k narušení bezpečnosti nebo ne.

Současně existují modely počítačových systémů, které implementují diskreční bezpečnostní politiku, která poskytuje algoritmy bezpečnostní kontroly.

V obecném případě však politika řízení přístupu podle vlastního uvážení neumožňuje implementaci jasného a přesného systému zabezpečení informací v počítačovém systému. To vede k hledání jiných, pokročilejších bezpečnostních politik.

Povinný (autoritativní) model řízení přístupu je založen na povinném řízení přístupu (Povinná kontrola přístupu), který je určen čtyřmi podmínkami:

Všechny subjekty a objekty systému jsou jednoznačně identifikovány;

Je uvedena mřížka úrovní důvěrnosti informací;

Každému objektu systému je přiřazena úroveň důvěrnosti, která určuje hodnotu informací v něm obsažených;

Každému subjektu systému je přidělena přístupová úroveň, která určuje míru důvěry v něj v počítačový systém.

Hlavním cílem povinné bezpečnostní politiky je zabránit úniku informací z objektů s vysokou úrovní přístupu k objektům s nízká úroveň přístup, tzn. působí proti vzniku nepříznivých informačních toků shora dolů v počítačovém systému.

Účelem jeho vývoje bylo v mnoha ohledech odstranit nedostatky maticových modelů. Byly vyvinuty modely tzv. vrstvené ochrany. Zahrnují formalizaci postupu přidělování přístupových práv pomocí tzv. štítků důvěrnosti nebo pověření přidělených subjektům a objektům přístupu. Takže pro předmět přístupu mohou být například štítky určeny podle úrovně přístupu osoby k informacím a pro objekt přístupu (samotná data) - znaky důvěrnosti informací. Atributy důvěrnosti jsou pevně dané ve štítku objektu. Přístupová práva každého subjektu a charakteristiky soukromí každého objektu jsou zobrazeny jako souhrn úrovně soukromí a sady kategorií soukromí. Úroveň důvěrnosti může nabývat jedné z přísně uspořádané sady pevných hodnot, například: důvěrné, tajné, důvěrné, neutajované atd.

Základem pro implementaci řízení přístupu je:

Formální srovnání mezi štítkem subjektu, který požadoval přístup, a štítkem objektu, ke kterému byl přístup požadován.

Rozhodování o udělení přístupu na základě některých pravidel, jejichž základem je působit proti snižování úrovně důvěrnosti chráněných informací.

Vrstvený model tak zabraňuje záměrnému nebo náhodnému snížení úrovně důvěrnosti chráněných informací. To znamená, že tento model zabraňuje přesunu informací z objektů s vysokou úrovní důvěrnosti a úzkou sadou kategorií přístupu k objektům s nižší úrovní důvěrnosti a širší sadou kategorií přístupu.

Požadavky na mechanismus mandátu jsou následující:

Každému subjektu a objektu přístupu musí být přiřazeny klasifikační štítky, které odrážejí jeho místo v odpovídající hierarchii (štítky ochrany osobních údajů). Prostřednictvím těchto označení musí subjekty přiřazovat úrovně utajení (úrovně zranitelnosti, bezpečnostní kategorie atd.) objektům, což jsou kombinace hierarchických a nehierarchických kategorií. Tyto štítky by měly sloužit jako základ pro nařízený princip řízení přístupu.

Bezpečnostní systém, když jsou do systému vložena nová data, by si měl vyžádat a obdržet od oprávněného uživatele klasifikační štítky těchto dat. Je-li povoleno přidání nového předmětu do seznamu uživatelů, musí mu být přiřazeny klasifikační znaky. Externí klasifikační štítky (předměty, předměty) musí přesně odpovídat interním štítkům (v rámci systému ochrany).

Bezpečnostní systém musí implementovat princip povinné kontroly přístupu pro všechny objekty s explicitním a skrytým přístupem od kteréhokoli ze subjektů:

Subjekt může číst objekt pouze v případě, že hierarchická klasifikace na klasifikační úrovni subjektu není nižší než hierarchická klasifikace na klasifikační úrovni objektu. V tomto případě musí hierarchické kategorie v klasifikačním stupni předmětu zahrnovat všechny hierarchické kategorie v klasifikačním stupni předmětu;

Subjekt zapisuje do objektu pouze v případě, že klasifikační úroveň subjektu v hierarchické klasifikaci není vyšší než klasifikační úroveň objektu v hierarchické klasifikaci. V tomto případě musí být všechny hierarchické kategorie v klasifikačním stupni předmětu zahrnuty do hierarchických kategorií v klasifikačním stupni objektu.

Implementace nařízených DRP by měla zajistit možnost údržby, změn v klasifikačních úrovních subjektů a objektů speciálně vybranými subjekty.

V CVT musí být implementován správce přístupu, tzn. prostředek zaprvé zachycování všech volání subjektů k objektům a zadruhé vymezení přístupu v souladu s daným principem vymezení přístupu. O autorizaci žádosti o přístup by přitom mělo být rozhodnuto pouze v případě, že ji současně řeší jak diskreční, tak pověření DRP. Měl by tedy být řízen nejen jediný akt přístupu, ale také informační toky.

Praxe ukazuje, že víceúrovňové modely ochrany jsou mnohem blíže potřebám reálného života než maticové modely a představují dobrý základ pro budování automatizované systémyŘízení přístupu. Navíc, protože jednotlivé kategorie stejné úrovně jsou ekvivalentní, je pro jejich rozlišení spolu s víceúrovňovým (povinným) modelem vyžadováno použití maticového modelu. Pomocí víceúrovňových modelů je možné výrazně zjednodušit administraci. Navíc se jedná jak o prvotní nastavení politiky restriktivního přístupu (není potřeba tak podrobného nastavení vztahu subjekt-objekt), tak o následné zařazování nových objektů a subjektů přístupu do schématu administrace.

Demarkační model informační toky je založena na rozdělení všech možných informačních toků mezi objekty systému do dvou neprotínajících se množin: množiny příznivých informačních toků a množiny nepříznivých informačních toků. Účelem implementace modelu demarkace informačních toků je zajistit, aby v počítačovém systému nemohlo docházet k nepříznivým informačním tokům.

Model řízení toku informací se ve většině případů používá v kombinaci s jinými typy mechanismů, jako jsou modely diskrečního nebo povinného řízení přístupu. Implementace modelu delimitace informačního toku je zpravidla v praxi obtížně řešitelný úkol, zejména pokud je nutné chránit počítačový systém před vznikem nepříznivých informačních toků v čase.

Řízení přístupu na základě rolí je evolucí politiky řízení přístupu podle vlastního uvážení; zároveň jsou přístupová práva subjektů systému k objektům seskupena s přihlédnutím ke specifikům jejich aplikace, tvořících role.

Nastavení rolí umožňuje definovat jasnější a srozumitelnější pravidla pro řízení přístupu pro uživatele počítačového systému. Řízení přístupu na základě rolí umožňuje implementovat flexibilní pravidla řízení přístupu, která se dynamicky mění během provozu počítačového systému. Na základě řízení přístupu na základě rolí může být implementováno zejména povinné řízení přístupu.

Účelem implementace modelu izolovaného softwarového prostředí je určit pořadí bezpečné interakce mezi subjekty systému, která zajistí, že systém ochrany nemůže být ovlivněn a jeho parametry nebo konfigurace modifikovány, což by mohlo mít za následek změnu politiky řízení přístupu implementované ochranný systém.

Sandbox model je implementován izolací systémových entit od sebe navzájem a řízením generování nových entit tak, aby se v systému mohly stát aktivními pouze entity z předdefinovaného seznamu. Současně by měla být kontrolována integrita objektů systému, které ovlivňují funkčnost aktivovaných subjektů.

Podnikové informační prostředí Běloruské státní univerzity se skládá z několika desítek aplikací a služeb napsaných v různých časech. Většina z nich jsou ActiveX objekty, zbytek jsou webové aplikace. Všechny jsou ve většině případů nezávislé a nemají vestavěné nástroje pro organizaci interakce. V tomto případě je jasnou volbou model přístupu, kterým je vývoj diskrečního modelu řízení přístupu. Implementace jakéhokoli jiného modelu v podmínkách podnikového informačního systému Běloruské státní univerzity je téměř nemožná.

Diferenciace přístupu k takto heterogenním a málo integrovaným systémům lze vybudovat přidělením uživatelských práv pro přístup k určitým aplikacím na základě jejich členství v příslušných skupinách na doménovém řadiči a také práv k provádění uložených procedur na databázových serverech, které se používají všemi součástmi informačního systému.

Srovnáním prezentovaných systémů můžeme říci, že v ERP systém přebírá plnou odpovědnost za autentizaci a autorizaci uživatelů. Kromě tradiční autentizace heslem nabízí celou řadu dalších mechanismů, které poskytují různé modely podnikového informačního systému.

Bezpečnostní systém slabě integrovaného informačního systému ukládá autentizační a autorizační procedury na vestavěné nástroje doménového řadiče Microsoft Windows, což výrazně snižuje náklady na jeho provoz a zajišťuje dostatečně spolehlivý provoz. Nástroje pro správu uživatelů Microsoft Windows však nejsou na takové použití zaměřeny, proto nejsou zcela vhodné při řízení distribuce přístupů, což negativně ovlivňuje bezpečnost podnikového informačního systému.

Z výše uvedeného vyplývá, že aplikace, která dokáže centrálně spravovat uživatelská práva pro přístup k určitým aplikacím, výrazně zjednoduší práci správcům podnikového informačního systému BSU a umožní také důkladnější sledování uživatelských práv pro přístup k datům z různých aplikací. Což samozřejmě povede k výraznému zlepšení bezpečnostního systému.

Byl jsem tedy postaven před úkol takový systém vytvořit. Podívejme se podrobněji na vlastnosti řešení takového problému.

Při návrhu takového systému je nutné vzít v úvahu některé vlastnosti nutné pro normální fungování jak aplikaci samotnou, tak i celý podnikový informační systém jako celek.

Vzhledem k tomu, že systém správy uživatelů ve Windows Active Directory lze použít nejen k poskytování přístupu ke zdrojům podnikového informačního systému BSU, proto by s tím měla aplikace počítat, aby uživatelé nepřišli o práva, která skutečně potřebují a dělají. neobdrží extra pravomoci. K tomu systém organizuje mechanismus pro ukládání a priori uživatelských práv, která mu nebyla přidělena tímto systémem řízení přístupu, ale pomocí nástrojů Windows Active Directory.

Podobná situace se vyvíjí v sekci správy uživatelů na SQL serverech. Jak je však uvedeno výše, mechanismus pro vymezení přístupových práv BSU při přístupu ke zdrojům SQL serveru je postaven na základě rolí, což znamená, že není potřeba ukládat data o uživatelských přístupových právech ke každému z objektů serveru. konkrétní SQL server. Všechna tato data jsou uložena ve skupinových oprávněních na serveru. Stačí tedy, aby systém řízení přístupu uložil pouze taková pole, jako je název serveru, název samotné databáze a také název uživatelské role.

Podívejme se blíže na systém distribuce přístupu.

Tento systém je webová aplikace implementovaná pomocí ASP.NET 1.1 a využívající databázový server Data společnosti Microsoft SQL Server 2000 SP3.

Databáze se skládá z následujících tabulek:

・Základní tabulky

o Uživatelé - ukládá identifikátor objektu uživatele, jméno uživatele, jeho přihlášení a případně doplňující textové informace.

o Aplikace - ukládá identifikátor aplikace, její název a případně další textové informace.

o WinADGroups - ukládá identifikátor objektu skupiny, její název a v případě potřeby další textové informace.

o SQLGroups - ukládá identifikátor skupiny, její název, název serveru, databáze a roli spojenou s touto skupinou a v případě potřeby další textové informace.

Pomocné stoly

o SQLGroups2Apps

o WinGroups2Apps

o UsersPriorSQLGroups

o UsersPriorWinGroups

Hlavní tabulky ukládají data o uživatelích, aplikacích a skupinách na řadiči domény a také o rolích na různých SQL serverech. Pomocné tabulky poskytují vztahy many-to-many, které v systému existují.

Tabulky jsou přístupné pomocí několika desítek uložených procedur. Použití uložených procedur i SQL parametrů dokáže aplikaci efektivně ochránit před SQL injection, což je v poslední době jeden z hlavních způsobů hackování webových aplikací pomocí databází. Schéma databáze je znázorněno na obrázku.

Aplikace se skládá z 8 .aspx stránek pro řízení přístupu. Pojďme se blíže podívat na to, jak aplikace funguje.

Stránka WinGroupsAdd.aspx se používá k přidání ID skupin do systému na řadiči domény. Uživatel zadá název skupiny. Systém vyhledá skupiny na řadiči domény a poskytne seznam skupin, které mají podobný název. Uživatel si vybere požadovaná skupina, v případě potřeby zadá textový popis této skupiny a stiskne tlačítko uložit. Skupinová data jsou uložena v databázi aplikace.

Na stránce WinGroupsEdit.aspx může uživatel upravovat dříve zadané informace o skupině, konkrétně její textový popis. Tlačítko smazat odstraní všechny informace o skupině v systému a také vytvoří mechanismus pro odebrání uživatelů z této skupiny, za předpokladu, že tam byli přidáni tímto systémem. K ověření se používá tabulka UserPriorWinGroups.

Stránka SQLGroupsAdd.aspx se používá k přidání dat do systému pro použití skupin na serveru SQL Server. Uživatel zadá název serveru, název databáze a roli v odpovídající databázi. V případě potřeby uživatel zadá textový popis této skupiny a stiskne tlačítko uložit. Skupinová data jsou uložena v databázi aplikace.

Pomocí stránky SQLGroupsEdit.aspx může uživatel upravovat dříve zadané informace o skupině, konkrétně její textový popis. Zbývající pole nelze upravovat, protože takové změny vyžadují vytvoření nové skupiny uživatelů. Tlačítko smazat odstraní všechny informace o skupině v systému a také vytvoří mechanismus pro odebrání uživatelů z této skupiny, za předpokladu, že tam byli přidáni tímto systémem. K ověření se používá tabulka UserPriorSQLGroups.

Stránka ApplicationAdd.aspx slouží k přidávání aplikací do systému. Na této stránce může uživatel zadat název aplikace, její textový popis a také vybrat skupiny potřebné pro práci s touto aplikací jak na SQL serverech, tak na doménovém řadiči. Výběr se provádí z odpovídajících seznamů skupin dostupných v systémové databázi. Tlačítko uložit si zapamatuje příslušná data v systému a tlačítko Storno vás vrátí na stejnou stránku bez provedení jakékoli akce. Pouze vymaže všechna zadaná data.

Pomocí ApplicationEdit.aspx můžete změnit popis aplikace a také sadu skupin potřebných k jejímu použití. Když kliknete na tlačítko uložit. Systém aktualizuje data ve své databázi a také odpovídajícím způsobem změní práva uživatelů, kteří mají k této aplikaci přístup.

Stránka UserAdd.aspx slouží k přidávání uživatelů do systému. Tento proces probíhá následovně. Uživatel zadá celé nebo část uživatelského jména, které má být přidáno do systému. Probíhá vyhledávání na řadiči domény. Poté se uživateli zobrazí seznam vhodných možností uživatelského jména. Je vybrán požadovaný doménový uživatel a jsou pro něj vybrány potřebné aplikace. Tlačítko uložit si zapamatuje příslušná data v systému a tlačítko Storno vás vrátí na stejnou stránku bez provedení jakékoli akce. Pouze vymaže všechna zadaná data.

Pomocí UserEdit.aspx může uživatel přidávat nebo odebírat přístupová práva k určitým aplikacím a také odebírat uživatele z databáze aplikace.

Tento článek analyzuje podnikové informační systémy: jejich strukturu a bezpečnostní mechanismy. Všechny podnikové informační systémy byly rozděleny do 2 tříd: vysoce integrované systémy, jejichž významnými představiteli jsou ERP systémy, a dále slabě integrované systémy postavené z několika desítek samostatných, někdy zcela související aplikace. Řízení přístupu je v naprosté většině z nich postaveno na základě diskrečního modelu diferenciace uživatelských práv na základě rolí s centralizovaným řízením přístupu.

Byla provedena analýza existujících hrozeb pro podnikové informační systémy a způsoby, jak jim předcházet. Statistiky ukazují, že hlavním problémem je dnes pro nás problém ochrany před nedbalostním nebo kriminálním jednáním zaměstnanců firem. Jsou rozebrány způsoby ochrany proti takovým akcím, z nichž hlavní je způsob vymezení přístupu uživatelů do podnikového informačního systému.

Byla provedena studie stávajících metod řízení přístupu a analýza jejich použitelnosti v určitých podmínkách. Metoda nejvhodnější pro organizování řízení přístupu do společnosti informační zdroje Běloruská státní univerzita. Na jeho základě byla postavena aplikace, která umožňuje řídit uživatelský přístup ke zdrojům tohoto podnikového informačního systému. Poskytuje komunikaci mezi aplikacemi, systémy správy databází a objekty Active Directory. Vyvinutý systém umožňuje globálně řídit přístup k heterogenním aplikacím. Flexibilní systém řízení přístupu vám umožňuje soustředit se na vývoj nových aplikací a podporuje správu již napsaných aplikací bez jakýchkoli změn v jejich kódu.

1. Malyuk A. A. Informační bezpečnost: koncepční a metodologické základy ochrany informací. Moskva: Hot Line-Telecom, 2004.

2. Belov E.B. Los V.P. Základy informační bezpečnosti. Moskva: Hot Line-Telecom, 2006.

3. Romanets Yu.V. Timofeev P.A. Ochrana informací v počítačových systémech a sítích. Moskva: Rádio a komunikace 2001.

4. Yarochkin V.I. - Učebnice informační bezpečnosti pro studenty vysokých škol. - M.: Akademický projekt; Gaudeamus.

5 Noel Simpson Přístup a manipulace se službou Active Directory pomocí ASP. SÍŤ.

6. Joe Kaplan, Ryan Dunn. .NET Developer's Guide to Directory Services Programming (Microsoft .NET Development Series)

7. Matthew MacDonald. Začátek ASP.NET 1.1 v C#: Od nováčka k profesionálovi (Novice k profesionálovi).

8. Hank Meyne, Scott Davis Vývoj webových aplikací s ASP.NET a C#.

9. Robin Duson SQL Server 2000. Programování. Moskva: Binom, 2003.

10. P. Shumakov ADO.NET a tvorba databázových aplikací v prostředí Microsoft Visual Studio.NET Moskva: Dialogue-MEPhI, 2004

Aktivní adresář................................................ ...................................................... .................................................. .................................. 31 , 36

ERP ................................................. .................................................. .................................................. ............... 3 , 5 , 6 , 7 , 8 , 30 , 35 , 39

MRP ................................................................ ...................................................... ............................................................ ............................................................. ........... 3 , 6

Záchvat ............................................................................................................................................................................................... 11

Dostupnost .................................................................................................................................................................................. 10

Komplex prostředků ochrany .......................................................................................................................................................... 11

Ochrana osobních údajů ......................................................................................................................................................... 9

Neoprávněný přístup k informacím ............................................................................................................................... 9

Objekt ............................................................................................................................................................................................. 10

Pravidla bezpečnosti ................................................................................................................................................................ 11

Pravidla řízení přístupu .................................................................................................................................................... 9

Autorizovaný přístup k informacím ................................................................................................................................... 9

Předmět ............................................................................................................................................................................................ 10

Bezpečnostní poškození ...................................................................................................................................................................... 10

Zranitelnost ..................................................................................................................................................................................... 10

Integrita ............................................................................................................................................................................ 10, 12

1. http://xakep.ru je jedna z nejpokročilejších ruských stránek věnovaná analýze zranitelností v informačních systémech, jejich zneužití, možným způsobům hackování systémů a jejich ochraně.

2. http://www.webxakep.ru - stránka je věnována hackerským informačním systémům a také opatřením na ochranu před útoky.

3. http://msdn.microsoft.com - Stránka je zaměřena na vývojáře zaměřené na technologická řešení společnosti Microsoft, obsahuje dokumentaci k produktům společnosti, ukázky kódu, technické články, referenční a školicí materiály, nejvíce Poslední aktualizace, rozšíření, poslední novinky, fórum předplatitelů.

4. http://microsoft.com – vlastní web společnosti Microsoft

5. http://sdn.sap.com/ je portál pro vývojáře zaměřený na technologická řešení od společnosti SAP, světové jedničky na trhu ERP a podnikových produktů. Hlavní internetový zdroj věnovaný všemu, co souvisí s informačními zdroji SAP

Snímek 1 – Titulní snímek Snímek 2 Úvod. Cíle.

Snímek 3 - Pojem CIS Snímek 4 - Klasifikace CIS

Snímek 5 - Klasifikace hrozeb Snímek 6 - Klasifikace hrozeb

Snímek 7 - Zdroje hrozeb Snímek 8 - Opatření k prevenci hrozeb

Snímek 9 - Opatření pro boj s hrozbami Snímek 10 - Mechanismy kontroly přístupu

Snímek 11 - EIS BSU Snímek 12 - Databázový model pro vyvíjený systém

Snímek 13 – Demo aplikace Snímek 14 – Závěr

1. Afanasiev, D. Office XP/ D. Afanasiev, S. Barichev, O. Plotnikov. - M.: Kudits-Obraz, 2002. - 344 s.

2. Achmetov, K.S. Úvod do Microsoft Windows XP / K.S. Achmetov. - M.: Ruské vydání, 2001. - 210 s.

3. Bott, Ed. Windows XP / E. Bott, K. Sichert. - Petr, 2006. - 1068s.

4. Willett, E. Office XP. Uživatelská Bible / E. Willett; [Přel. z angličtiny. Derieva E.N. a další], 2002. - 843 s.

5. Seiden, M. Word 2000 / M. Seiden. – M.: Lab. základní znalosti, 2000. - 336 s.

6. Kaimin, V.A. Informatika: workshop na počítači: tutorial/ V.A. Kaimin, B.S. Kasajev; Infra-M. - M, 2001. - 215c.

7. Kishik, A.N. kancelář xp. Efektivní návod: Rychlý... Snadný... Jasný. / A.N. Kishik. – M.: 2002. – 426 s.

8. Kostov, A.V. Vše o osobním počítači: velká encyklopedie/ A.V. Kostov, V.M. Kostov. – M.: Martin, 2004. – 718 s.

9. Kotsiubinsky, A.O. Microsoft Office XP: Nejnovější verze programů / A.O. Kotsiubinskij. - M.: Triumph, 2001. - 469 s.

10. Kotsiubinsky, A.O. Sborník práce na počítači: učebnice. příspěvek / A.O. Kotsiubinsky, A.O. Groshev. – M.: Triumph, 2003. – 496 s.

11. Krupnik, A. Internetové vyhledávání / A. Krupnik. - Petrohrad: Petr, 2001. - 209 s.

12. Krupský, A.Yu. Textový editor Microsoft Word. Tabulky Microsoft Excel: výukový program / A.Yu. Krupský, N.A. Feoktistov; Ministerstvo školství Ros. Federace, Moskva. in-t stavu a firemní. např. M. : Dashkov a K. - M., 2004. - 135 s.

13. Levin A. Stručný návod pro práci na počítači / A. Levin. - M .: Nakladatelství A. Levina, 2001.

14. Levkovich, O.A. Základy počítačové gramotnosti / O. A. Levkovich, E. S. Shelkoplyasov, T. N. Shelkoplyasova. - Minsk: TetraSystems, 2004. - 528 s.

15. Lozovský, L.Sh. Internet je zajímavý! / L.Sh. Lozovský, L.A. Ratnovského. – M.: Infra-M, 2000.

16. Makarova, N.V. Informatika: Workshop z výpočetní techniky: učebnice. příspěvek / N.V. Makarova [a další]; vyd. N.V. Makarova. - M.: Finance a statistika, 2000. - 255 s.

17. Oliver, V.G. Počítačové sítě. Principy, technologie, protokoly / V.G. Oliver, N.A. Oliver. - Petrohrad: Petr, 2000.

18. Popov, V.B. Základy počítačová technologie: studia. příspěvek / V.B. Popov; Finance a statistika. - M., 2002. - 703 s.

19. Perepelkin, V. Uživatel osobní počítač. Moderní hřiště / V. Perepelkin. - Rostov n/D: Phoenix, 2002. - 703 s.

20. Stone, M.D. váš počítač. Problémy a řešení / M.D. Kámen, P. Alfred. - M.: Ekonomika, 2001.

21. Yakushina, E. Studujeme internet, vytváříme webovou stránku / E. Yakushina. - Petrohrad: Petr, 2001.

22. HTML tutorial for Dummies [Elektronický zdroj] / Portál Postroyka.ru. M., 2007. - Režim přístupu: http://www.postroika.ru/html/content2.html. – Datum přístupu: 21.09.2008.

23. Vyšší atestační komise Běloruské republiky [Elektronický zdroj] / HAC of Belarus. - Minsk, 2007. - Režim přístupu: http://vak.org.by/ - Datum přístupu: 18. 11. 2008.

V blízké budoucnosti se očekává nárůst počtu podnikových informačních systémů, protože vedení země nabralo kurz směrem k formování digitální ekonomika, zaměřené na zvyšování efektivity všech průmyslových odvětví prostřednictvím využívání informačních technologií 1 , čímž se zvyšuje i potřeba ochrany informací v nich zpracovávaných.

Konstantin Samatov
Vedoucí oddělení ochrany informací TFOMS
Sverdlovská oblast, člen Asociace lídrů
služby informační bezpečnosti, lektor
zabezpečení informací URTK je. TAK JAKO. Popova

Základní pojmy

Pojem „podnikový informační systém“ (CIS) je obsažen v čl. 2 spolkového zákona ze dne 6. dubna 2011 č. 63-FZ „O elektronickém podpisu“. CIS je chápán jako informační systém, jehož účastníci elektronické interakce tvoří určitý okruh osob. Okruh osob účastnících se výměny informací přitom mohou tvořit nejen strukturní útvary organizace – provozovatele CIS, ale i její protistrany. Hlavní je, že složení a počet účastníků jsou striktně definovány.

Provozovatelem informačního systému je občan resp entita ti, kteří se zabývají provozem informačního systému, včetně zpracování informací obsažených v jeho databázích (článek 2 federálního zákona ze dne 27. července 2006 č. 149-FZ „o informacích, informačních technologiích a ochraně informací“).

Informačním systémem se rozumí soubor informací obsažených v databázích a informačních technologiích a technických prostředcích, které zajišťují jejich zpracování (čl. 2 spolkového zákona ze dne 27. července 2006 č. 149-FZ „o informacích, informačních technologiích a ochraně informací“ ). Proto je nutné problematiku ochrany informací v CIS posuzovat z definice toho, jaké informace podléhají ochraně.

Informace, které mají být chráněny v podnikovém informačním systému

Současná právní úprava rozděluje informace na dva typy: veřejné informace a informace omezený přístup(Část 2, článek 5 federálního zákona ze dne 27. července 2006 č. 149-FZ "o informacích, informačních technologiích a ochraně informací"). Informace s omezeným přístupem lze rozdělit do dvou velkých skupin – jedná se o státní tajemství a informace důvěrné povahy.

Státní tajemství - informace chráněné státem v oblasti jeho vojenské, zahraničněpolitické, ekonomické, zpravodajské, kontrarozvědné a operačně-pátrací činnosti, jejichž šíření může poškodit bezpečnost Ruské federace (článek 2 zákona Ruské federace Federace ze dne 21. července 1993 č. 5485-1 „O státním tajemství). Na základě autorovy praxe můžeme říci, že s touto skupinou informací je zpravidla nejméně problémů (ve srovnání s jinými typy tajemství). Seznam specifikovaných informací je specifický. Pořadí zpracování je přísně regulováno. Před zpracováním informací představujících státní tajemství musí organizace získat příslušnou licenci. Sankce za porušení zpracovatelského příkazu jsou tvrdé. Navíc je počet subjektů s takovými informacemi malý.

Důvěrné informace zahrnují asi 50 druhů tajemství, z nichž nejčastější jsou obchodní tajemství a osobní (rodinná) tajemství, jejichž obměnou jsou osobní údaje.

Osobní údaje v CIS jsou téměř vždy. Zejména jakákoli organizace, která má alespoň jednoho zaměstnance nebo údaje o pasu alespoň jednoho klienta, bude provozovatelem osobních údajů ve smyslu federálního zákona č. 152-FZ ze dne 27. července 2006 „o osobních údajích“. To znamená, že pokud jsou údaje zákazníka zpracovávány v podnikovém CRM systému (například celé jméno a doručovací adresa) nebo jsou tyto údaje v souboru MS Excel na pracovní stanici, můžeme s jistotou říci, že osobní údaje jsou zpracovávány v CIS a , proto musí organizace splňovat požadavky na jejich ochranu. V praxi to vedoucí většiny organizací nechápou a domnívají se, že nezpracovávají osobní údaje, a proto nepřijímají opatření na ochranu informací dříve, než dojde k jakémukoli incidentu.

Kromě osobních údajů obsahuje téměř každý CIS informace, které mají skutečnou nebo potenciální hodnotu z důvodu jejich neznámosti třetím stranám, jejichž zveřejnění nebo nekontrolovanému přenosu se organizace snaží vyhnout (obchodní tajemství). V praxi je běžná taková situace, kdy je seznam těchto informací obsažen výhradně v mysli vedoucího nebo vlastníka organizace.

Klíčové je školení personálu v pravidlech informační bezpečnosti, které by mělo být prováděno v pravidelných intervalech.

S ohledem na výše uvedené se stává aktuální otázka přijetí v organizaci souboru opatření na ochranu informací zpracovávaných v podnikovém informačním systému.

Opatření na ochranu informací v podnikovém informačním systému

Existují tři hlavní skupiny opatření:

1. Organizační (organizační a právní). Příprava organizační a administrativní dokumentace k problematice informační bezpečnosti: pokyny, předpisy, příkazy, směrnice. Cílem je zefektivnění podnikových procesů a dodržování požadavků interní a externí regulace (tzv. „compliance“, „papírová bezpečnost“). Tenhle typ opatření lze nazvat hlavní, protože:

• režim obchodního tajemství vzniká výlučně přijetím organizačních opatření uvedených v části 1 čl. 5 federálního zákona ze dne 29. července 2004 č. 98-FZ „O obchodním tajemství“;
• v případě osobních údajů je dnes hlavním cílem ochrany osobních údajů často úspěšné absolvování kontrol tzv. „regulátorů“ (Roskomnadzor, FSTEC Ruska, FSB Ruska).

Odtud pochází termín „papírová bezpečnost“, který se mezi bezpečnostními specialisty rozšířil.

téměř v každém CIS jsou informace, které mají skutečnou nebo potenciální hodnotu, protože nejsou třetím stranám známy, jejichž zveřejnění nebo nekontrolovanému přenosu se organizace snaží vyhnout (obchodní tajemství). V praxi je běžná taková situace, kdy je seznam těchto informací obsažen výhradně v mysli vedoucího nebo vlastníka organizace.
Zaměstnanci proto často neúmyslně přenesou (zašlou účastníkovi výměny informací, kterému nejsou určeny) informace uložené v CIS nebo je zpřístupní (umístí je do veřejné sféry). Zároveň při neexistenci schváleného seznamu informací představujících obchodní tajemství nelze zaměstnance za spáchání těchto jednání disciplinárně vyvodit.

2. Technická opatření. Technická ochrana informací zahrnuje čtyři skupiny opatření:

1. Inženýrská a technická ochrana. Jeho účelem je ochrana před fyzickým pronikáním narušitele do objektů, kde se nacházejí technické prostředky CIS (automatizované pracovní stanice, servery apod.). Ochrana proti průniku je dosažena použitím inženýrských konstrukcí: ploty, dveře, zámky, turnikety, alarmy, video dohled atd.
2. Ochrana před neoprávněným přístupem k informacím. Účelem této skupiny opatření je zabránit neoprávněnému přístupu přímo k nejvíce zpracovávaným informacím v informačním systému. Realizuje se prostřednictvím následujících činností:
   • kontrola přístupu (hesla, přidělení pravomocí);
   • evidence a účetnictví (logování);
   • firewallování;
   • antivirová ochrana;
   • aplikace prostředků detekce (prevence) průniků.
3. Ochrana proti únikům přes technické kanály. Cílem je chránit informace před únikem prostřednictvím technických kanálů (vizuální, sluchové, boční elektromagnetická radiace) v procesu zpracování informací v CIS. Provádí se pomocí následujících opatření:
   • vybavení oken žaluziemi (záclonami);
   • použití prostředků ochrany proti úniku akustickými kanály, tzv. vibroakustické rušičky;
   • použití speciálních filtrů k ochraně proti bočnímu elektromagnetickému záření a rušení. Tato opatření jsou však v praxi nezbytná pouze pro státní informační systémy nebo informační systémy, ve kterých se zpracovává státní tajemství.
4. Kryptografická ochrana informací. Používání nástrojů ochrany kryptografických informací nabírá v posledních letech poměrně velký rozmach, především díky aktivnímu rozvoji podnikových systémů elektronické správy dokumentů a využívání elektronických podpisů v nich jako mechanismu pro zajištění integrity informací. V praxi se mechanismy kryptografické transformace informací používají k zajištění především důvěrnosti informací uložených v databázích nebo na pracovních stanicích a také k ochraně informací v procesu výměny informací (při přenosu). Vlastně pouze pomocí kryptografické transformace je možné plně budovat VPN sítě (Virtual Private Network).

3. Morální a etická opatření jsou navržena tak, aby zabránila nebo alespoň minimalizovala zveřejnění omezených informací uživateli CIS.

Podle různých studií se počet úniků informací od zaměstnanců pohybuje od 80 do 95 %, přičemž naprostá většina – asi 90 % úniků – nesouvisí s úmyslným jednáním.

Morální a etická opatření jsou neoddělitelně spjata s personální bezpečností a zajišťují přijímání kvalifikovaného personálu, kontrolní opatření, podrobné popisy práce, školení zaměstnanců, přísnou kontrolu vstupu a zabezpečení v případě propouštění zaměstnanců. Klíčové je podle autora školení personálu v pravidlech informační bezpečnosti, které by mělo být prováděno v pravidelných intervalech. Zejména tedy autor každoročně připravuje objednávku zajišťující čtvrtletní školení zaměstnanců organizace, ve které pracuje.

Kromě toho, aby se zabránilo úniku informací od personálu prostřednictvím komunikačních kanálů (e-mail, instant messenger, sociální sítě), existuje celá třída systémů ochrany informací nazývaná „systémy DLP“ (Data Loss (Leak) Protection (Prevention), obecně označované jako „systémy prevence úniků". Tyto systémy jsou v současnosti jedním z nejoblíbenějších řešení personální kontroly, které používají vedoucí služeb informační i ekonomické bezpečnosti. Většina systémů této třídy existujících na trhu umožňuje nejen sledování a blokování elektronických komunikačních kanálů , ale i sledování aktivity uživatelů, které umožňuje identifikovat zaměstnance, kteří zneužívají pracovní doba: chodí pozdě do práce a odcházejí dříve, „sedí“ na sociálních sítích, hrají počítačové hry, pracují pro sebe.

Dalším trendem v problematice personální bezpečnosti, který se objevil teprve před pár měsíci, jsou systémy pro sledování a detekci abnormálního chování uživatelů – User and Entity Behavior Analytics (UEBA). Tyto systémy jsou navrženy tak, aby analyzovaly chování uživatelů a na jeho základě identifikovaly skutečné hrozby pro personální a informační bezpečnost.

V naprosté většině podnikových informačních systémů jsou tedy zpracovávány osobní údaje a obchodní tajemství, a proto všechny vyžadují ochranu. Téměř vždy, zejména v komerčním sektoru, se otázky bezpečnosti informací dostávají do konfliktu s pohodlím zaměstnanců a financováním těchto činností. V práci autor uvažoval minimální sada opatření zaměřená na ochranu informací v jakémkoli CIS. Tento seznam opatření nevyžaduje jedinečné znalosti a je k dispozici pro praktickou aplikaci téměř každému specialistovi v oblasti informačních technologií. Většina navrhovaných opatření navíc nevyžaduje výrazné finanční náklady.

___________________________________________
1 Projev prezidenta Ruské federace k Federálnímu shromáždění Ruské federace ze dne 1. prosince 2016

Odborná rubrika

Obvod: je ještě něco k ochraně?

Alexeji
Lukatský

Obchodní konzultant v oblasti informační bezpečnosti

V našem regionu jsme poměrně konzervativní. Jsme velmi závislí na autoritách, na přístupech, na produktech a na termínech a definicích, které se v průběhu let nezměnily. Perimetr informační bezpečnosti je jen termín, který je bohužel natolik zastaralý, že je téměř nemožné jej používat. Navíc ani úplně nevíme, co je to perimetr informační bezpečnosti. Někdo vnímá perimetr jako přípojný bod k internetu, jakkoli to může znít vtipně v kontextu geometrie, ve které je perimetr stále uzavřená čára. Někdo vnímá perimetr jako čáru, která vytyčuje podnikovou nebo resortní síť. Někdo perimetr vnímá jako soubor zařízení, která mají přístup k internetu.

Ale každá z těchto definic má zjevně své pro a proti a všechny jsou jiné. Jak vnímat situaci i u tak zdánlivě jednoduché možnosti, jakou je segment průmyslové sítě, možná i fyzicky izolovaný od okolního světa, kdyby tam přišel zástupce kontraktora s notebookem připojeným přes 3G modem k internetu? Objevuje se zde obvod, nebo se nezobrazuje? Co když se ale podíváme na situaci, kdy se zaměstnanec s mobilním zařízením připojí k externímu cloudu, který uchovává důvěrná firemní data, nebo běží aplikace, která tato data zpracovává? Je tady nějaký obvod nebo ne? A pokud se zaměstnanec ze svého osobního zařízení připojí k cizí infrastruktuře poskytovatele cloudu, ve které jsou uloženy informace společnosti? Kde je v takové situaci perimetr?

No, řekněme, že máme mobilní zařízení jsou ve vlastnictví společnosti, zatímco cloudy jsou ve vlastnictví poskytovatele. Přitom maximum, co můžeme znát, je náš kus cloudu, ve kterém máme naše servery, naše aplikace, naše data. Ale kdo k nim má přístup zvenčí, ze strany cloudového poskytovatele, ze strany jeho dalších klientů? V takové situaci je obecně nemožné načrtnout obvod. A to znamená, že bez ohledu na to, jak moc chceme, jsme nuceni změnit své přístupy k tomu, čemu jsme dříve říkali perimetrická ochrana. Například v některých společnostech se vedení drží pravidla, že zaměstnanec společnosti může pracovat kdykoli a odkudkoli na světě pomocí jakéhokoli zařízení. V takovém pojetí samozřejmě nemůže existovat žádný perimetr v běžně používaném smyslu, a tím je zcela odlišné chránit, ne, ne perimetr, ale připojení k internetu! Jste připraveni na novou realitu?

Odeslat svou dobrou práci do znalostní báze je jednoduché. Použijte níže uvedený formulář

Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu ve svém studiu a práci, vám budou velmi vděční.

Vloženo na http://www.allbest.ru/

• Úvod
• 1.3 Základní ustanovení systému informační bezpečnosti
• 2.1 Předměty a předměty ochrany
• 2.3 Moderní technologie informační bezpečnosti
• 2.4 Přiměřenost ochrany informací
• Seznam regulačních dokumentů upravujících činnost v oblasti informační bezpečnosti:
• 3. Zlepšení opatření směřujících ke zvýšení účinnosti opatření k ochraně podnikového informačního systému Vzdálenosti napájení
• 3.1 Nevýhody organizace ochrany podnikové sítě
• 3.2 Organizační akce
• 3.3 Inženýrská opatření
• Závěr
• Bibliografický seznam

Úvod

Moderní vývoj světové ekonomiky je charakterizován rostoucí závislostí trhu na značném množství obíhajících informací v něm.

V naší době je společnost zcela závislá na přijímaných, zpracovávaných a přenášených datech. Z tohoto důvodu nabývají samotná data vysoké hodnoty. A čím vyšší je cena užitečné informace, tím vyšší je její bezpečnost.

Aktuálnost tématu je dána působením řady faktorů, které směřují ke zlepšení ochrany podnikového informačního systému, za účelem zlepšení ekonomického mechanismu moderních podniků působících v tržní ekonomice a využití moderního technologického vývoje. .

S ohledem na výše uvedené stanoví legislativní akty jak v Rusku, tak v zahraničí značné množství norem zaměřených na regulaci vytváření, používání, přenosu a ochrany informací ve všech jejich formách.

Zvláště cenné jsou informace, které obsahují osobní údaje, úřední tajemství, obchodní tajemství, informace s omezeným přístupem, bankovní tajemství, státní tajemství, vnitřní informace, důvěrné informace a další informace.

Problém informační bezpečnosti je mnohostranný a komplexní, vyžaduje nezbytnou kombinaci platných legislativních, organizačních a softwarových a hardwarových opatření.

Únik jakýchkoli informací může ovlivnit činnost podniku. Zvláštní roli hrají tyto informace, ztráta kůry může vést k velkým změnám v samotném podniku a materiálním ztrátám.

V každodenním životě člověka závisí bezpečnost informací o jeho životě na něm samotném. Ale úplně jiná situace je, když jsme povinni údaje o sobě poskytnout v souladu se zákonem třetí osobě, a to konkrétně zaměstnavateli. V této situaci zaměstnanec předá důvěrné informace o sobě do úschovy. Za bezpečnost údajů dále odpovídá zaměstnavatel. Je povinen chránit informace o zaměstnanci před zásahy třetích osob a odpovídat za šíření uvedených údajů.

Účelem této práce je stanovení požadavků na systém ochrany podnikového informačního systému.

Pracovní úkoly:

1. Identifikovat problematické problémy systému ochrany podnikového informačního systému na vzdálenost napájecího zdroje.

2. Formulujte seznam hrozeb a požadavků na systém ochrany podnikového informačního systému vzdálenosti napájení.

3. Zdůvodněte strukturu informační rizika pro podnikový informační systém vzdálenosti napájení.

4. Vybrat a zdůvodnit metody a technické prostředky směřující ke zvýšení účinnosti ochrany podnikového informačního systému na napájecí vzdálenost.

Předmětem studie je typický bezpečnostní systém pro podnikový informační systém "intranet" Elektrárenská vzdálenost Moskva - Smolensk pobočky Ruských drah, která má vlastní budovy a území.

Předmětem studia jsou metody a technické prostředky ochrany podnikového informačního systému na dálku napájení.

Praktický význam a implementace získaných výsledků umožnily vytvořit opatření k organizaci ochrany podnikové sítě přizpůsobená konkrétním podmínkám s přihlédnutím ke specifikům objektu a různým kategoriím informací a uživatelů.

Autoři studující problémy A.V. Sokolov (profesor, vedoucí katedry informatiky a softwaru Moskevského institutu elektronických technologií) a V.F. Shangin (profesor, doktor technických věd) od roku 1978 do současnosti aktuální problémy ochrana informací při použití distribuovaných podnikových systémů a celopodnikových sítí, ochrana internetu.

ochrana informací podniková síť

1. Teoretické základy budování podnikové sítě

1.1 Koncepce, komponenty, fungování podnikové sítě

Podniková síť je komplexní systém, který zahrnuje mnoho různých komponent: počítače různých typů, od stolních počítačů po sálové počítače, systémový a aplikační software, síťové adaptéry, rozbočovače, přepínače a směrovače a kabelový systém. V tomto článku se budeme zabývat intranetem moskevsko-smolenské oblasti. Vzdálenosti napájení pobočky JSC "Ruské dráhy". Jedná se o samostatné stavební členění dráhy, které je součástí služby elektrifikace a napájení. Poskytuje nepřetržité a spolehlivé napájení všech spotřebitelů a zajišťuje spolehlivé fungování všech objektů a zařízení, kontaktní sítě v obsluhované oblasti.

Intranetové funkce pokrývají velmi široké spektrum, od statických webových stránek, které nahrazují firemní tištěné dokumenty nebo poskytují nový způsob sdílení informací, až po komplexní klientská rozhraní pro kancelářské serverové aplikace.

Technologie potřebné pro intranet a nástroje, které je implementují, jsou široce rozšířené. Patří mezi ně: protokol TCP/IP, síťový soubor systém NFS(Network File System), webový prohlížeč (systémové vyhledávání a prohlížeč), webový server, HTML editor, e-mail a podobně. Přístup k informacím je založen na IP připojení.

Intranet se skládá z několika komponenty:

1) síťová infrastruktura,

2) servery,

3) dokumenty,

4) prohlížeče,

5) aplikace.

Intranet je páteří, která poskytuje potřebná připojení, která zajišťují přístup k informacím pro zaměstnance organizace. Intranet používá pro připojení a výměnu dat síťový protokol TCP/IP. TCP/IP umožňuje jednoznačně pojmenovat počítače v síti (tato jména se nazývají IP adresy). Tento protokol také poskytuje mechanismus, pomocí kterého se počítače mohou navzájem najít a připojit. Intranet používá jiný HTTP protokol(Hypertext Transfer Protocol). Používá se k přenosu textů, obrázků a hypertextových odkazů (tj. odkazů na jiné elektronické dokumenty) směřujících na webové stránky. Můžeme říci, že TCP/IP je hlavním způsobem komunikace počítačů v síti a HTTP je jakousi vyšší vrstvou, která jim umožňuje výměnu informací.

servery. Informace jsou nejčastěji umístěny na počítačích, běžně označovaných jako webové servery. Server ukládá dokumenty a plní požadavky uživatelů na vyhledávání a prohlížení dat.

Dokumentace. Obsah intranetu – tedy prohlížené informace – je uložen v dokumentech. Ve výchozím nastavení jsou ve formátu HTML (Hypertext Makeup Language), textovém formátu, který se skládá ze skutečného textu, značek, které řídí formátování, a hypertextových odkazů, které odkazují na jiné dokumenty.

Prohlížeče. Pro práci na intranetu a prohlížení dokumentů uložených na serverech se používají aplikace zvané prohlížeče. Plní několik funkcí:

vyhledávání informací a připojení k webovému serveru;

načítání, formátování a zobrazování HTML dokumentů;

uznávání a přechod na příslušné dokumenty;

Aplikace. Aplikace jsou psány vývojáři pro řešení konkrétních problémů společnosti.

Kromě různých síťových zařízení se intranet skládá z následujících softwarových komponent:

1) software pro interní webový server organizace obsahující informace o aktivitách společnosti (ceny, objednávky vedení, dokumenty ke schválení a projednání atd. a napojený na existující databáze ("Sklad", "Účetnictví" atd.);

2) softwarové nástroje pro pořádání konferencí v rámci organizace k projednávání návrhů na zlepšení práce, zpráv o různých akcích a podobně;

3) Software, který implementuje práci e-mailu.

Na intranetu může být segmenty s různým stupněm zabezpečení:

volně dostupné (různé servery);

s omezeným přístupem;

uzavřen pro přístup.

Je účelné uvažovat o podnikové distanční síti napájecího zdroje jako o systému skládajícím se z několika vzájemně se ovlivňujících vrstev. Na základně pyramidy, představující podnikovou síť, leží vrstva počítačů - centra pro ukládání a zpracování informací a transportní subsystém, který zajišťuje spolehlivý přenos informačních paketů mezi počítači.

Obrázek 1. Hierarchie vrstev podnikové sítě

Síťová vrstva funguje na transportním systému. operační systémy, která organizuje práci aplikací v počítačích a poskytuje prostředky svého počítače pro všeobecné použití prostřednictvím dopravního systému.

Na operačním systému fungují různé aplikace, ale kvůli speciální roli systémů pro správu databází, které ukládají základní podnikové informace v uspořádané podobě a provádějí na nich základní vyhledávací operace, tato třída systémové aplikace obvykle přidělené samostatné vrstvě podnikové sítě.

Na další úrovni jsou systémové služby, které pomocí DBMS jako nástroje pro vyhledávání potřebných informací mezi miliony bajtů uložených na discích poskytují koncovým uživatelům tyto informace ve formě vhodné pro rozhodování a také provádějí některé společné postupy zpracování informací pro podniky všech typů. Mezi tyto služby patří e-mailový systém, systémy týmové práce a mnoho dalších.

Horní úroveň podnikové sítě představuje speciální softwarové systémy které plní úkoly specifické pro tento podnik nebo podniky tohoto typu.

Konečný cíl podnikové sítě je ztělesněn v aplikacích nejvyšší úrovně, ale pro jejich úspěšné fungování je bezpodmínečně nutné, aby subsystémy dalších vrstev jasně plnily své funkce.

Hlavním úkolem systémových administrátorů je zajistit, aby se tento těžkopádný systém co nejlépe vypořádal se zpracováním informačních toků kolujících mezi zaměstnanci podniku a umožnil jim přijímat včasná a racionální rozhodnutí zajišťující chod podniku.

Intranet Moskva-Smolensk Vzdálenosti napájení společnosti Russian Railways JSC je izolováno od externích uživatelů internetu a funguje jako autonomní síť které nejsou přístupné zvenčí.

Obrázek 2. Struktura lokální sítě

1.2 Analýza zdrojů hrozeb a informačních rizik

Všechny informační zdroje společnosti jsou neustále vystaveny objektivním i subjektivním hrozbám ztráty nosiče nebo hodnoty informací. Hrozbou nebo nebezpečím ztráty informace se rozumí jediný nebo komplexní, reálný nebo potenciální, aktivní nebo pasivní projev nepříznivých schopností vnějších nebo vnitřních zdrojů ohrožení vytvářet kritické situace, události, mít destabilizující účinek na chráněné informace, dokumenty a databáze. U informačních zdrojů s omezeným přístupem je škála hrozeb spojených se ztrátou informací (vyzrazení, únik) nebo ztrátou médií mnohem širší v důsledku toho, že tyto dokumenty vykazují zvýšený zájem ze strany různých typů narušitelů. Hlavní hrozbou pro bezpečnost informačních zdrojů omezené distribuce je neoprávněný (ilegální, neoprávněný) přístup útočníka nebo neoprávněné osoby k dokumentovaným informacím a v důsledku toho získávání informací a jejich nezákonné použití nebo jiné destabilizující jednání. Cílem a důsledkem neoprávněného přístupu může být nejen získání cenných informací a jejich využití, ale také jejich úprava, úprava, zničení, falšování, záměna a podobně. Předpokladem úspěšné realizace pokusu o neoprávněný přístup k informačním zdrojům omezeného přístupu je zájem o ně ze strany konkurence, některých jednotlivců, služeb a organizací. Hlavním viníkem neoprávněného přístupu k informačním zdrojům je zpravidla personál pracující s dokumenty, informacemi a databázemi. Ke ztrátě informací ve většině případů nedochází v důsledku úmyslného jednání útočníka, ale z důvodu nepozornosti a nezodpovědnosti personálu.

V důsledku toho může dojít ke ztrátě informačních zdrojů s omezeným přístupem, když:

§ přítomnost zájmu konkurenta, institucí, firem nebo osob o konkrétní informace,

§ riziko hrozby organizované útočníkem nebo za náhodných okolností;

§ přítomnost podmínek, které umožňují útočníkovi provést potřebné akce a získat informace.

Tyto podmínky mohou zahrnovat:

© nedostatek systematické analytické a kontrolní práce k identifikaci a studiu hrozeb, kanálů a míry rizika narušení bezpečnosti informačních zdrojů;

© neefektivní systém informační bezpečnosti nebo absence takového systému, který vytváří vysoký stupeň informační zranitelnosti;

© neprofesionální technologie pro zpracování a uchovávání důvěrných dokumentů;

© neuspořádaný výběr personálu a fluktuace zaměstnanců, obtížné psychické klima v týmu;

© chybějící systém pro školení zaměstnanců v pravidlech ochrany informací s omezeným přístupem;

© nedostatečná kontrola ze strany vedení společnosti nad dodržováním požadavků regulačních dokumentů ze strany personálu pro práci s informačními zdroji omezeného přístupu;

© nekontrolované návštěvy neoprávněných osob v prostorách společnosti.

Vždy je třeba mít na paměti, že dokumentování dramaticky zvyšuje riziko informační hrozby. Velcí mistři minulosti nikdy nezapisovali tajemství svého umění, ale předali je ústně svému synovi, studentovi. Proto tajemství výroby mnoha tehdejších unikátů nebylo dodnes odhaleno.

Stávající akce prováděné s informacemi, které mohou obsahovat hrozbu: sběr, modifikace, únik a zničení. Tyto akce jsou základní pro další zvážení. Při dodržení přijaté klasifikace rozdělíme všechny zdroje ohrožení na vnější a vnitřní.

Vnitřní a vnější hrozby

Zasvěcencem může být osoba z následujících kategorií zaměstnanců servisních útvarů: servisní personál (správci systému odpovědní za provoz a údržbu hardwaru a softwaru); programátoři podporující systémový a aplikační software; technický personál (pracovníci v technických místnostech, uklízeči atd.); zaměstnanci podnikových útvarů, kteří mají povolen přístup do prostor, kde se nachází počítačová nebo telekomunikační zařízení.

Zdroje vnitřních hrozeb jsou:

Zaměstnanci organizace

· software;

Hardware.

Vnitřní hrozby se mohou projevit v následujících formách:

chyby uživatelů a systémových administrátorů;

porušení stanovených předpisů pro zpracování, předávání a ničení informací zaměstnanci společnosti;

softwarové chyby;

napadení počítačů viry nebo malwarem;

poruchy a poruchy v provozu výpočetní techniky.

Mezi vnější narušitele patří osoby, jejichž pobyt v prostorách s vybavením bez kontroly zaměstnanců podniku je nemožný.

Externí narušitel zachycuje a analyzuje elektromagnetické záření ze zařízení informačního systému.

NA externí zdroje mezi hrozby patří:

organizace a jednotlivci;

· Přírodní katastrofy;

· Technogenní havárie;

Páchání teroristických činů.

Formy projevu vnějších hrozeb jsou: odposlech; analýza a úprava informací; neoprávněný přístup k firemním informacím; monitorování informací konkurenčními strukturami, zpravodajskými a speciálními službami; nehody, požáry, katastrofy způsobené člověkem.

Všechny námi uvedené typy hrozeb (formy projevu) lze rozdělit na úmyslné a neúmyslné, osoby se zájmem a nezájem o vznik hrozby.

Úmyslné dopady jsou účelové jednání útočníka způsobené zvědavostí; hackerský útok; zraněná pýcha zaměstnance, pokus o teroristické činy. Jako útočník se může chovat zaměstnanec, návštěvník, konkurent, žoldák, technický personál (pracovní přístavky, uklízečky atd.).

Příčiny neúmyslných náhodných dopadů během provozu mohou být: havarijní situace v důsledku přírodních katastrof a výpadků elektřiny (přírodní a člověkem způsobené dopady); poruchy a poruchy zařízení; softwarové chyby; chyby v práci personálu; rušení komunikačních linek vlivem okolních vlivů.

Podle způsobů ovlivňování objektů informační bezpečnosti podléhají hrozby následujícímu členění: informační, softwarové, fyzické, radioelektronické a organizační a právní.

Informační hrozby zahrnují:

- neoprávněný přístup k informačním zdrojům;

- nelegální kopírování dat v informačních systémech;

- krádeže informací z knihoven, archivů, bank a databází;

- porušení technologie zpracování informací;

- nezákonné shromažďování a používání informací.

Mezi softwarové hrozby patří:

- použití chyb a "děr" v softwaru;

- počítačové viry a malware;

- instalace "hypotečních" zařízení.

Mezi fyzické hrozby patří:

- zničení nebo zničení prostředků zpracování informací a komunikačních prostředků;

- krádeže nosičů informací;

- krádeže softwarových nebo hardwarových klíčů a prostředků kryptografické ochrany dat;

- Dopad na zaměstnance.

Mezi elektronické hrozby patří:

- úvod elektronická zařízení zachycování informací v technických prostředcích a prostorách;

- zachycení, dešifrování, nahrazení a zničení informací v komunikačních kanálech.

Mezi organizační a právní hrozby patří:

- pořízení nedokonalých nebo zastaralých informačních technologií a nástrojů informatizace;

- porušení zákonných požadavků a zpoždění při přijímání nezbytných právních a regulačních rozhodnutí v informační sféře.

Po identifikaci informací tvořících obchodní tajemství a identifikaci zdrojů, které tyto informace vlastní, vlastní nebo obsahují, jsou identifikovány způsoby neoprávněného přístupu k těmto informacím výběrem z výše uvedeného souboru hlavních metod neoprávněného přístupu ke zdrojům důvěrných informací.

Lze rozlišit následující možné kanály pro únik důvěrných informací (obrázek 3):

neoprávněné kopírování důvěrných informací na externí média a jejich odstranění mimo kontrolované území podniku. Příklady takových médií jsou diskety, CD-ROMy, Flash disky atd.;

tisk důvěrných informací a odstranění vytištěných dokumentů mimo kontrolované území.

Je třeba poznamenat, že v tomto případě lze použít jak místní tiskárny, které jsou přímo připojeny k počítači útočníka, tak vzdálené, které interagují prostřednictvím sítě;

neoprávněný přenos důvěrných informací přes síť na externí servery umístěné mimo kontrolované území podniku. Útočník může například přenést citlivé informace na externí intranetovou poštu nebo souborové servery. Zároveň může pachatel, aby zamaskoval své jednání, odesílané informace nejprve zašifrovat nebo přenést pod rouškou standardních grafických souborů.

Informační rizika, nejužší definice, jsou rizika ztráty, neoprávněné změny informací v důsledku poruch ve fungování informačních systémů nebo jejich selhání vedoucí ke ztrátám. Informační bezpečnost je stav bezpečnosti informačního prostředí. Ochrana informací je činnost k zamezení úniku chráněných informací, neoprávněným a neúmyslným dopadům na chráněné informace, tedy proces směřující k dosažení tohoto stavu.

Informační bezpečnost podniku vzdáleného napájení bude zajištěna, pokud budou zajištěna minimální informační rizika. Informace pro použití v každodenních činnostech, nedostatek objektivních informací (včetně důvěrných) od vedení podniku nezbytných pro správné rozhodnutí, stejně jako šíření informací někým v externím prostředí, které jsou nerentabilní nebo nebezpečné pro činnost společnosti podnik.

Pro řešení tohoto problému je z hlediska systematického přístupu vhodné vyvinout a zavést v podniku systém minimalizace informačních rizik, což je propojený soubor orgánů, prostředků, metod a opatření zajišťujících minimalizaci rizik. úniku a zničení informací nezbytných pro fungování podniku. Hlavní informační rizika každého podniku jsou:

riziko úniku a zničení informací nezbytných pro fungování podniku;

riziko použití neobjektivních informací v činnostech podniku;

riziko, že vedení společnosti nemá potřebné (včetně důvěrných) informací pro správné rozhodnutí;

riziko, že někdo ve vnějším prostředí rozšíří informace, které jsou pro podnik nerentabilní nebo nebezpečné.

Hlavní úkoly řešené systémem minimalizace informačních rizik jsou:

identifikace informací, které mají být chráněny;

identifikaci zdrojů, které vlastní, vlastní nebo obsahují tyto informace;

identifikace způsobů neoprávněného přístupu k těmto informacím;

vývoj a implementace organizačních a technických opatření na ochranu důvěrných informací.

Informace o vzdálenosti napájecího zdroje mohou mít následující čtyři úrovně důležitosti:

bezvýznamné, tedy informace, jejichž únik nebo zničení nezpůsobí podniku škodu a neovlivní proces jeho fungování.

Riziko úniku a zničení informací nezbytných pro fungování podniku má následující důsledky:

důvěrné informace, jejichž předání nebo únik třetím stranám způsobí škodu podniku, jeho zaměstnancům;

Kritické informace, jejichž absence nebo poškození znemožní každodenní práci zaměstnanců a celého podniku jako celku.

Je zřejmé, že informace prvních tří úrovní důležitosti musí být chráněny a stupeň ochrany by měl být v obecném případě určen úrovní důležitosti informací. Důvodem je především skutečnost, že stupeň ochrany přímo souvisí s náklady na jeho implementaci, proto není v obecném případě ekonomicky proveditelné chránit informace drahými prostředky ochrany, pokud jejich únik nebo zničení vede k nevýznamným poškození.

Informace prvních tří úrovní se zpravidla vztahují k obchodnímu tajemství a jsou určeny vedoucím podniku v souladu s nařízením vlády Ruské federace ze dne 5. prosince 1991 č. 35 „Na seznamu informací, které nemohou představovat obchodní tajemství."

Postup pro identifikaci informací tvořících obchodní tajemství, identifikaci zdrojů vlastnících, vlastnících nebo obsahujících tyto informace by měl být následující.

Z příkazu podniku jsou vedoucí odborů povinni vykonat práci na zjištění konkrétních informací tvořících obchodní tajemství v jejich pracovních oblastech, osoby, které mají k těmto informacím přístup, jakož i nositelé těchto informací.

Výsledek této práce by měl schválit vedoucí podniku „Seznam informací tvořících obchodní tajemství podniku“ s uvedením těchto informací pro každou ze strukturálních divizí; osoby, které jsou nositeli těchto informací; dokumenty obsahující tyto informace, jakož i případné další (technické) nosiče těchto informací.

1.3 Základní ustanovení systému informační bezpečnosti

Analýza stavu věcí v oblasti informací ukazuje, že již byla vytvořena plně vytvořená koncepce a struktura ochrany, jejímž základem je:

vysoce rozvinutý arzenál technických prostředků na ochranu informací vyráběných na průmyslovém základě;

významný počet firem specializujících se na řešení problémů informační bezpečnosti;

poměrně dobře definovaný systém pohledů na tento problém;

významné praktické zkušenosti.

A přesto, jak dosvědčuje domácí i zahraniční tisk, záškodnické jednání s informacemi nejen neubývá, ale má i poměrně stabilně vzestupnou tendenci. Zkušenosti ukazují, že pro boj s tímto trendem je nutné:

1. Dobře organizovaná a účelná organizace procesu ochrany informačních zdrojů. Navíc by se na tom měli aktivně podílet odborní specialisté, administrativa, zaměstnanci a uživatelé, což podmiňuje zvýšený význam organizační stránky problematiky. Zajištění bezpečnosti informací navíc nemůže být jednorázovým úkonem. Jedná se o nepřetržitý proces, který spočívá v zdůvodňování a zavádění nejracionálnějších metod, způsobů a prostředků zlepšování a rozvoje systému ochrany, průběžného sledování jeho stavu, odhalování jeho úzkých míst a slabin a protiprávního jednání;

2. Informační bezpečnost lze zajistit pouze při integrovaném využití celého arzenálu dostupných ochranných nástrojů ve všech konstrukčních prvcích výrobního systému a ve všech fázích technologického cyklu zpracování informací. Největšího efektu se dosáhne, když se všechny použité prostředky, metody a opatření spojí do jediného holistického mechanismu systému informační bezpečnosti (IPS). Zároveň by mělo být fungování systému sledováno, aktualizováno a doplňováno v závislosti na změnách vnějších a vnitřních podmínek.

Proto je možné prezentovat systém bezpečnosti informací jako organizační soubor speciálních orgánů, prostředků, metod a opatření, které zajišťují ochranu informací před vnitřními a vnějšími hrozbami.

Obrázek 4. Konstrukční model podnikový systém ochrana informací

Z hlediska systematického přístupu k informační bezpečnosti jsou kladeny určité požadavky. Informační bezpečnost by měla být:

1. Průběžné. Tento požadavek vyplývá ze skutečnosti, že útočníci pouze hledají možnost obejít ochranu informací, o které mají zájem.

2. Plánováno. Plánování se provádí vypracováním podrobných plánů zabezpečení informací pro každou službu v oblasti její působnosti, s přihlédnutím k celkovému cíli podniku (organizace).

3. Soustředěno. Chrání se to, co je chráněno v zájmu konkrétního cíle, ne vše v řadě.

4. Specifické. Předmětem ochrany jsou konkrétní data, která objektivně podléhají ochraně, jejichž ztráta může organizaci způsobit určitou škodu.

5. Aktivní. Informace je nutné chránit s dostatečnou mírou perzistence.

6. Spolehlivý. Metody a formy ochrany by měly spolehlivě blokovat možné způsoby trvalého přístupu k chráněným tajemstvím bez ohledu na formu jejich prezentace, jazyk vyjadřování a typ fyzický nosič na kterém jsou připevněny.

7. Univerzální. Má se za to, že v závislosti na typu kanálu úniku nebo způsobu neoprávněného přístupu musí být blokován, kdekoli se objeví, přiměřenými a dostatečnými prostředky, bez ohledu na povahu, formu a typ informace.

8. Komplexní. Pro ochranu informací ve všech rozmanitých konstrukčních prvcích musí být plně aplikovány všechny typy a formy ochrany. Je nepřípustné používat pouze jednotlivé formy nebo technické prostředky.

Komplexnost ochrany vyplývá ze skutečnosti, že ochrana je specifickým fenoménem, ​​který je složitým systémem neoddělitelně provázaných procesů, z nichž každý má zase mnoho různých aspektů, vlastností a trendů, které se vzájemně determinují.

Aby bylo zajištěno splnění těchto mnohostranných bezpečnostních požadavků, musí systém informační bezpečnosti splňovat určité podmínky:

pokrýt celý technologický komplex informačních činností; se lišit z hlediska použitých prostředků,

víceúrovňové s hierarchickou přístupovou sekvencí; být otevřený změnám a doplnění opatření v oblasti bezpečnosti informací;

být nestandardní, různorodý, při výběru prostředků ochrany nelze počítat s neznalostí vetřelců ohledně jeho schopností;

snadné na údržbu a pohodlné pro uživatele;

být spolehlivé, jakékoli poruchy technických prostředků způsobí výskyt nekontrolovaných kanálů úniku informací;

být komplexní, mít integritu, což znamená, že žádná jeho část nemůže být odstraněna bez poškození celého systému.

Na systém informační bezpečnosti jsou kladeny určité požadavky:

jasnost definice oprávnění a práv uživatele k přístupu k určitým informacím;

poskytnout uživateli minimální oprávnění nezbytné k tomu, aby mohl vykonávat přidělenou práci;

minimalizace počtu ochran společných pro několik uživatelů;

zaznamenávání případů a pokusů o neoprávněný přístup k důvěrným informacím;

poskytování hodnocení stupně důvěrnosti informací;

zajištění kontroly celistvosti ochranných prostředků a okamžité reakce na jejich poruchu.

Systém informační bezpečnosti, jako každý systém, musí mít určité typy vlastní podpory, na základě které bude plnit zamýšlenou funkci. S ohledem na to může mít systém zabezpečení informací:

1. Právní podpora. Patří sem normativní dokumenty, předpisy, instrukce, směrnice, jejichž požadavky jsou závazné v normách jejich působnosti.

2. Organizační podpora. To znamená, že implementaci ochrany informací provádějí určité strukturální jednotky – např. služba ochrany dokumentů; režimová, vstupní a bezpečnostní služba; služba zabezpečení informací technickými prostředky; servis informačních a analytických činností a další.

3. Hardware. Předpokládá se široké využití technických prostředků jak k ochraně informací, tak k zajištění provozu systému bezpečnosti informací.

4. Informační podpora. Zahrnuje informace, data, ukazatele, parametry, které jsou základem řešení problémů zajišťujících fungování systému. To může zahrnovat jak ukazatele přístupových, účetních, úložných a informačních podpůrných systémů pro různé zúčtovací úkoly související s činnostmi informační podpůrné služby.

5. Software. Zahrnuje různé informační, účetní, statistické a zúčtovací programy, které poskytují hodnocení přítomnosti a nebezpečí různých kanálů úniku a způsobů neoprávněného přístupu ke zdrojům důvěrných informací;

6. Matematická podpora. Jedná se o použití matematických metod pro různé výpočty související s hodnocením nebezpečnosti technických prostředků narušitelů, zón a norem nutné ochrany.

7. Jazyková podpora. Soubor speciálních jazykových prostředků komunikace mezi specialisty a uživateli v oblasti informační bezpečnosti.

8. Regulační a metodická podpora. Patří sem normy a předpisy pro činnost orgánů, služeb, nástroje, které implementují funkce informační bezpečnosti, různé druhy metod, které zajišťují činnost uživatelů při výkonu jejich práce za přísných požadavků na informační bezpečnost.

Pouze bezpečnostní systém může uspokojit moderní požadavky na zajištění činnosti podniku a ochranu jeho důvěrných informací. Pod bezpečnostním systémem budeme rozumět organizační soubor speciálních orgánů, služeb, prostředků, metod a opatření, které zajišťují ochranu životních zájmů jednotlivce, podniku a státu před vnitřními a vnějšími hrozbami.

Jako každý systém má i systém informační bezpečnosti své vlastní cíle, cíle, metody a prostředky činnosti, které jsou koordinovány v místě a čase v závislosti na podmínkách.

Chápat informační bezpečnost jako „stav ochrany informačního prostředí společnosti, zajišťující jeho utváření, využívání a rozvoj v zájmu občanů, organizací“, je legitimní určovat hrozby informační bezpečnosti, zdroje těchto hrozeb, způsoby jejich provádění a cílů, jakož i dalších podmínek a akcí, které narušují bezpečnost . Zároveň by samozřejmě měla být zvážena i opatření na ochranu informací před protiprávním jednáním, které vede ke škodě.

Praxe ukazuje, že pro analýzu tak významného souboru zdrojů, objektů a akcí je vhodné použít metody modelování, které tvoří jakoby „náhradu“ za reálné situace. Je třeba si uvědomit, že model nekopíruje originál, je jednodušší. Model by měl být dostatečně obecný, aby popisoval skutečné akce s přihlédnutím k jejich složitosti.

závěry: Jak dokládají zahraniční i domácí zkušenosti, i přes narůstající zavádění nových informačních technologií do praxe podniků jsou hlavním zdrojem úniku informací zaměstnanci těchto podniků.

V souvislosti s takovou situací je proto nutné chápat, že je prakticky nemožné vytvořit v podniku podmínky, které zcela vylučují neoprávněný přístup k tomuto zdroji informací omezeného přístupu, lze pouze výrazně omezit jeho roli mezi ostatními zdroje úniku důvěrných informací.

Proto jsou hrozby pro omezené informace vždy reálné, velmi různorodé a vytvářejí předpoklady pro ztrátu informací.

Podle Computer Security Institute (CSI) a FBI je více než 50 % narušení dílem vlastních zaměstnanců společnosti. Pokud jde o četnost narušení, 21 % dotázaných uvedlo, že se u nich „útoky“ opakovaly. Neoprávněná úprava dat byla nejčastější formou útoku a používala se především proti lékařským a finančním institucím. Přes 50 % respondentů vidí konkurenty jako pravděpodobný zdroj „útoků“. Největší význam přikládají respondenti faktům odposlechu, průniku do informačních systémů a „útokům“, při nichž „narušitelé“ falšují zpáteční adresu za účelem přesměrování pátrání na nezúčastněné osoby. Těmito pachateli jsou nejčastěji uražení zaměstnanci a konkurenti.

Analýza informačních rizik ukazuje, že jsou spojena s důvěrnými informacemi.

Část špatně uvažovaných důvodů, například osobní nepřátelství k vedoucímu podniku, zhoršení obchodních vztahů mezi podniky, může vést k tomu, že se v médiích objeví nerentabilní a v některých případech pro podnik nebezpečné informace. Pro eliminaci nebo alespoň snížení rizika šíření těchto informací konkurenčními podniky je proto nutné proaktivně šířit některé pravdivé informace, v některých případech i dezinformace.

I přes zpracování tématu je v procesu zlepšování systému řízení informačních rizik vždy mnoho otázek. Účelem vybudování procesu analýzy rizik není pouze je identifikovat, posoudit důsledky jejich případné implementace, zajistit jejich zpracování a následně systematicky provádět další efektivní monitoring. Ale také v zajištění standardizace přístupu k rizikům ve všech aspektech činnosti společnosti, pohodlné a rychlý příjem holistický obraz o situaci s informačními riziky ve firmě v jakémkoliv období její činnosti. A také ve zvýšení konkurenční atraktivity společnosti díky rychlé a adekvátní reakci na všechny nově vznikající hrozby, ve zvýšení důvěry uvnitř společnosti samotné mezi obchodem a bezpečností.

2. Organizace ochrany podnikového informačního systému Vzdálenosti napájení na základě standardních řešení

2.1 Předměty a předměty ochrany

Pro vzdálenost napájecího zdroje jsou zdroje důležité pro život, a proto jsou chráněny:

1) lidé (podnikový personál);

2) majetek: dokumentace, materiálové a finanční hodnoty, vzorky hotových výrobků, duševní vlastnictví (know-how), počítačové vybavení a další;

3) Informace: na fyzických nosičích, stejně jako obíhající v interních komunikačních kanálech komunikace a informací, v kancelářích vedení podniku, na poradách a poradách;

4) Finanční a ekonomické zdroje, které zajišťují efektivní a udržitelný rozvoj podniku (obchodní zájmy, podnikatelské záměry, smluvní dokumenty a závazky atd.).

Hodnoty podléhající ochraně, jako jsou omezené informace, bankovní tajemství, osobní údaje, úřední tajemství, obchodní tajemství, státní tajemství, vnitřní informace a další informace, pro které je stanoven povinný režim důvěrnosti a odpovědnost za jejich zveřejnění.

Stejnou hodnotu mají data, která jsou vytvářena nebo využívána v podnikové informační síti, jako jsou vědecké, technické a technologické informace související s činností podniku.

Úplný seznam informací tvořících obchodní tajemství stanoví nad rámec příslušných předpisů vedoucí útvarů ochrany informací.

Kategorie „důvěrné“ zahrnují informace, které splňují následující kritéria:

nejsou veřejnosti obecně známé nebo legálně dostupné;

monopolní držení těchto informací poskytuje organizaci obchodní výhody, ekonomické a jiné výhody, jejichž zveřejnění nebo otevřené použití může vést k poškození (materiální, morální, fyzické) organizaci, jejím zákazníkům nebo korespondentům (obchodní tajemství).

bankovnictvítajný označuje informace o transakcích, účtech a vkladech, bankovní spojení, jakož i informace o zákaznících a korespondentech Banky podléhající povinné ochraně.

Servistajný označuje informace, k nimž je přístup omezen státními orgány a federálními zákony, a označuje informace, které nejsou bankovním tajemstvím a podléhají povinné ochraně podle seznamu utajovaných informací.

Komerčnítajný organizací se rozumí informace související s vědeckými, technickými, technologickými, průmyslovými, finančními, ekonomickými nebo jinými informacemi, které mají skutečnou nebo potenciální obchodní hodnotu, protože nejsou třetím stranám známy, ke kterým není na právním základě volný přístup a ve vztahu k nim vlastník těchto informací vstoupil do režimu obchodního tajemství. Jejich zveřejnění (přenos, únik, otevřené použití) může způsobit škodu organizaci, státu, jejím zákazníkům nebo korespondentům, protistranám ruských drah.

Osobnídata označuje informace o skutečnostech, událostech a okolnostech soukromého života občanů, umožňující identifikovat jejich osobnost.

Státtajný- podle definice přijaté v ruské legislativě informace chráněné státem v oblasti jeho vojenských, zahraničněpolitických, ekonomických, zpravodajských, kontrarozvědných, operačně-pátrání a dalších činností, jejichž šíření může poškodit bezpečnost státu.

člověk zevnitřinformace- (angl. Insider information) - významné veřejně nezveřejněné informace o společnosti, které v případě zveřejnění mohou ovlivnit tržní hodnotu cenných papírů společnosti. Patří mezi ně: informace o nadcházející změně vedení a nové strategii, přípravách na nový produkt a novou technologii, úspěšná jednání o fúzi nebo probíhající odkup; účetní závěrky, prognózy indikující potíže společnosti; informace o nabídce (v aukci) před jejím zveřejněním atd.

Informaceomezenýpřístup jsou informace cenné pro svého vlastníka, k nimž je právně omezen přístup. Informace s omezeným přístupem se dále dělí na informace představující státní tajemství a informace, jejichž důvěrnost je stanovena federálním zákonem (důvěrné informace).

PrávníAodkazinformace, obchodní korespondence, přenos reportovacích účetních informací mezi uživatelskými pracovišti a databázovým serverem v rámci automatizovaných systémů SAP R/3 pro finanční, ekonomický a technický úsek.

Podnikovým informacím lze přiřadit následující čtyři úrovně důležitosti:

životně důležité, tedy informace, jejichž únik nebo zničení ohrožuje samotnou existenci podniku;

důležité, tj. informace, jejichž únik nebo zničení vede k vysokým nákladům;

užitečné, tedy informace, jejichž únik nebo zničení způsobí nějakou škodu, ale podnik může docela efektivně fungovat i poté;

bezvýznamné, tedy informace, jejichž únik nebo zničení nezpůsobí podniku škodu a neovlivní proces jeho fungování.

2.2 Organizační opatření v systému bezpečnosti informací

Organizačně-právní dokumenty a metody upravují celý technologický cyklus práce Ruských drah, od metodiky výběru personálu a jeho najímání, například na smluvním základě, až po ustanovení o funkčních povinnostech každého zaměstnance. Každý pokyn nebo předpis elektrárny musí přímo nebo nepřímo zohledňovat bezpečnostní otázky a ovlivňovat provozuschopnost a účinnost ochranného systému.

Dokumenty různého druhu jsou důležitým zdrojem úniku důvěrných informací. Zde je třeba vzít v úvahu, že poměrně rychlý rozvoj informačních technologií vedl ke vzniku nových typů nosičů dokumentových informací: počítačových tiskovin, informačních nosičů a podobně. Význam tradičních typů papírových dokumentů v komerčních aktivitách, jako jsou smlouvy, dopisy a analytické revize, přitom zůstává prakticky nezměněn.

Vznik nových nosičů dokumentárních informací vedl nejen ke vzniku nových obtíží při řešení problematiky zajištění ochrany informací před neoprávněným přístupem k jejich obsahu, ale také k novým možnostem zajištění garantované ochrany těchto informací. Jedná se především o uchovávání zvláště důležitých dokumentárních informací na médiích ve formě převedené pomocí kryptografických transformací.

V rámci těchto opatření byly vypracovány a implementovány organizační a administrativní dokumenty na Power Supply Distance, které definují seznam zdrojů důvěrných informací a také seznam těch opatření, která je třeba zavést, aby se tomu zabránilo.

Organizačními dokumenty jsou politika bezpečnosti informací, pracovní náplně zaměstnanců společnosti, předpisy pro práci na osobním počítači.

Za tímto účelem společnost JSC „Ruské dráhy“ vyřešila následující organizační úkoly:

Právní rámec pro zajištění ochrany informací byl vytvořen implementací:

- dodatky k zakládací listině podniku, které opravňují k řízení podniku: vydávat regulační a administrativní dokumenty upravující postup při zjišťování informací tvořících obchodní tajemství a mechanismy jeho ochrany;

- doplnění "Kolektivní smlouvy" o ustanovení, která stanoví povinnosti správy a zaměstnanců podniku související s vypracováním a prováděním opatření ke zjišťování a ochraně obchodního tajemství;

- dodatky „Pracovní smlouvy“ s požadavky na ochranu obchodního tajemství a vnitřními předpisy, včetně požadavků na ochranu obchodního tajemství;

- poučení najatých osob o pravidlech pro zachování obchodního tajemství s plněním písemné povinnosti mlčenlivosti.

- vyvození správní nebo trestní odpovědnosti porušovatelů požadavků na ochranu obchodního tajemství v souladu s platnými právními předpisy.

- zahrnout požadavky na ochranu obchodního tajemství do smluv pro všechny druhy hospodářské činnosti;

- požadovat ochranu zájmů podniku před státními a soudními orgány;

- nakládat s informacemi, které jsou majetkem podniku, za účelem získání výhod a zabránění hospodářským škodám podniku;

- školení zaměstnanců o pravidlech ochrany informací s omezeným přístupem;

- pečlivý výběr zaměstnanců pro práci v systému kancelářské práce;

- vytvoření příznivých vnitřních podmínek v podniku pro uchování obchodního tajemství;

- identifikovat a stabilizovat fluktuaci zaměstnanců, obtížné psychické klima v týmu;

- zajištění posouzení stupně důvěrnosti informací;

- odstranění z práce související s obchodním tajemstvím osob porušujících stanovené požadavky na jeho ochranu;

- přinést každému zaměstnanci podniku "Seznam informací tvořících obchodní tajemství podniku";

- zajištění spolehlivého uložení dokumentů a jejich včasné zničení, jakož i kontrola dostupnosti dokumentů a sledování včasnosti a správnosti jejich provedení;

- návrhy a verze dokumentů likviduje osobně exekutor, který je osobně odpovědný za jejich zničení. Ničení se provádí na standardních strojích na řezání papíru nebo jinými způsoby, které vylučují možnost čtení.

- ukládání důvěrných informací na média a do paměti osobního počítače v převedené podobě pomocí kryptografických transformací.

Pro vyloučení neoprávněného přístupu k tomuto zdroji informací se proto používají tradiční i netradiční metody, a to:

· realizace ochrany území, prostor a kanceláří, jakož i efektivní vstupní kontrola přístupu do nich;

Zavedení přehledné organizace systému kancelářské práce.

Informace tvořící obchodní tajemství zahrnují:

- informace o finančních a ekonomických činnostech;

- informace o provozních a výrobních činnostech;

- informace o řídících činnostech;

- informace o personální činnosti;

- informace o kontrolní a auditorské činnosti;

- informace o signalizaci a komunikacích, elektrifikaci, energetice;

- informace o smluvní práci;

- informace o výsledcích vlastního výzkumu;

- informace o lékařských činnostech;

- Informace o ochraně informací a objektů ruských drah.

Zajistěte, aby byly počítače a telekomunikační zdroje organizace používány tak, jak je zamýšleno jejími zaměstnanci, nezávislými dodavateli. Všichni uživatelé počítačů mají odpovědnost používat počítačové zdroje účinným, etickým a zákonným způsobem. Porušení podnikové bezpečnostní politiky bude mít za následek disciplinární řízení, včetně ukončení pracovního poměru a/nebo trestní stíhání.

Bezpečnostní politika nejsou běžná pravidla, kterým stejně každý rozumí. Předkládá se ve formě seriózního tištěného dokumentu. A aby uživatelé neustále připomínali důležitost bezpečnosti, každý zaměstnanec má kopii tohoto dokumentu, aby tato pravidla měl vždy na očích na ploše.

Firemní bezpečnostní politika

· Volný přístup k informacím tvořícím bankovní, obchodní a úřední tajemství Banky je z důvodu ochrany důvěrných informací a fyzické ochrany jejich nosičů uzavřen.

· Organizace jako vlastník (vlastník) informací přijímá opatření k ochraně bankovního tajemství, osobních údajů, obchodních tajemství, svých obchodních tajemství a dalších informací v souladu s právy a povinnostmi, které jí přiznává platná legislativa.

Podobné dokumenty

Analýza obchodního a personálního systému společnosti, účetnictví, úroveň zabezpečení podnikového informačního systému osobních údajů. Vývoj subsystému technických opatření pro ochranu směrování, přepínání a firewallování ISPD.

semestrální práce, přidáno 07.08.2014


Analýza objektu informatizace. Politika bezpečnosti informací. Subsystémy ochrany technických informací: kontrola přístupu, video dohled, bezpečnost a požární hlásič, ochrana proti úniku přes technické kanály, ochrana podnikové sítě.

prezentace, přidáno 30.01.2012


Analýza modelu informačního a telekomunikačního systému podniku. Typy hrozeb informační bezpečnosti. Cíle a cíle informační bezpečnosti v podniku. Vývoj kontrolních postupů pro systém řízení bezpečnosti informací v podnikové síti.

práce, přidáno 30.06.2011


Bezpečnostní analýza podnikových sítí na bázi ATM, architektura objektů ochrany v technologii. Model pro vybudování podnikového informačního bezpečnostního systému. Metodika hodnocení ekonomické efektivity využívání systému. Metody pro snížení rizika ztráty dat.

práce, přidáno 29.06.2012


Analytický přehled podnikové sítě. Analýza stávající síť, informační toky. Požadavky na administrační systém a označování prvků LAN. Vývoj ochrany systému proti neoprávněnému přístupu. Pokyny pro správce systému.

práce, přidáno 19.01.2017


Koncepce antivirové ochrany informační infrastruktury, typy možných hrozeb. Charakteristika softwaru používaného v PJSC "ROSBANK". Prostředky ochrany informačních zdrojů banky před hrozbami porušení integrity nebo důvěrnosti.

semestrální práce, přidáno 24.04.2017


Vývoj vysokorychlostní podnikové informační sítě na bázi Ethernetových linek se segmentem mobilního obchodu pro podnik Monarch LLC. Opatření pro instalaci a provoz zařízení. Výpočet technicko-ekonomických ukazatelů projektu.

semestrální práce, přidáno 11.10.2011


Struktura podnikového informačního systému organizace. Vývoj adresního prostoru a systému DNS. Struktura domény CIS. Volba hardwarové a softwarové konfigurace pracovních stanic a hardware serveru. Konfigurace typických služeb.

semestrální práce, přidáno 29.07.2013


Fyzické médium přenosu dat v lokálních sítích. Firemní informační síť. Telekomunikační zařízení a počítače podniku. Rozvoj podnikové informační sítě na základě analýzy moderních informačních technologií.

práce, přidáno 07.06.2015


Relevance otázek bezpečnosti informací. Software a hardware sítě LLC "Minerální". Budování modelu podnikového zabezpečení a ochrany před neoprávněným přístupem. Technická řešení pro ochranu informačního systému.

POJEM INFORMAČNÍ BEZPEČNOST Informační bezpečnost (IS) je chápána jako ochrana informační a podpůrné infrastruktury před náhodnými nebo záměrnými vlivy přírodního nebo umělého charakteru směřující ke způsobení škod vlastníkům nebo uživatelům informační a podpůrné infrastruktury. Tři hlavní kategorie subjektů musí poskytovat informační bezpečnost: vládní organizace, komerční struktury a jednotliví podnikatelé.

Dostupnost (schopnost obdržet požadovanou informační službu v přiměřené době); integrita (relevance a konzistence informací, jejich ochrana před zničením a neoprávněnými změnami); mlčenlivost (ochrana před neoprávněným seznámením).

Přístupem k informacím se rozumí seznámení s informacemi, jejich zpracování, zejména kopírování, pozměňování nebo ničení informací. Autorizovaný přístup k informacím je přístup k informacím, který neporušuje stanovená pravidla řízení přístupu. Neoprávněný přístup k informacím se vyznačuje porušením stanovených pravidel řízení přístupu. Útok na informační systém (síť) je akce provedená útočníkem za účelem nalezení a zneužití té či oné systémové zranitelnosti.

Konstruktivní, kdy hlavním účelem neoprávněného přístupu je získání kopie důvěrných informací, tzn. můžeme hovořit o rekognoskačním charakteru destruktivního dopadu, kdy neoprávněný přístup vede ke ztrátě (změně) dat nebo ukončení služby.

Harmonizace národní legislativy pro boj proti počítačové kriminalitě s požadavky mezinárodního práva; vysoká odborná příprava vymáhání práva od vyšetřovatele k soudnímu systému; spolupráce a právní mechanismus pro interakci orgánů činných v trestním řízení různých států.

ETAPA VÝVOJE POČÍTAČOVÉ KRIMINALITY 1. Využití informačních technologií při páchání takových tradičních trestných činů, jako jsou krádeže, poškozování a podvody. 2. Vznik specifických počítačových zločinů. 3. Přerůstání počítačové kriminality v počítačový terorismus a extremismus. 4. Přeměna počítačového terorismu a extremismu v informační války.

OPATŘENÍ A PROSTŘEDKY SOFTWAROVÉ A TECHNICKÉ ÚROVNĚ Aplikace zabezpečených virtuálních privátních sítí VPN k ochraně informací přenášených otevřenými komunikačními kanály Aplikace firewallů k ochraně podnikové sítě před vnějšími hrozbami při připojení k veřejným komunikačním sítím; kontrola přístupu na uživatelské úrovni a ochrana před neoprávněným přístupem k informacím; zaručená identifikace uživatele pomocí tokenů; ochrana informací na úrovni souborů (šifrováním souborů a adresářů); ochrana proti virům pomocí specializovaných komplexů antivirové prevence a ochrany; technologie detekce narušení a aktivní výzkum bezpečnosti informačních zdrojů; kryptografická transformace dat pro zajištění integrity, pravosti a důvěrnosti informací

ORGANIZAČNÍ A EKONOMICKÉ ÚDRŽBA BEZPEČNOSTI standardizace metod a prostředků ochrany informací certifikace počítačových systémů a sítí a jejich prostředků ochrany licencování činností v oblasti ochrany informací pojištění informačních rizik spojených s fungováním počítačových systémů a sítí kontrola nad akce personálu v zabezpečených informačních systémech organizační podpora fungování systémů ochrany informací.

PRÁVNÍ BEZPEČNOST BEZPEČNOST Federální zákon Ruské federace ze dne 27. července 2006 N 149-FZ „O informacích, informačních technologiích a ochraně informací“. upravuje právní vztahy vznikající v procesu tvorby a využívání dokumentovaných informací a informačních zdrojů; tvorba informačních technologií, automatizovaných nebo automatických informačních systémů a sítí; stanovuje postup při ochraně informačního zdroje, jakož i práva a povinnosti subjektů účastnících se procesů informatizace.

Definice Informační bezpečnost organizace je stav bezpečnosti informačního prostředí organizace, který zajišťuje jeho utváření, využívání a rozvoj. Ochrana informací - je činnost k zamezení úniku chráněných informací, neoprávněným a neúmyslným dopadům na chráněné informace, tedy proces směřující k dosažení tohoto stavu. 2

Komponenty informační bezpečnosti. důvěrnost – dostupnost informací pouze určitému okruhu osob; integrita (integrita) - záruka existence informace v původní podobě; dostupnost (availability) - schopnost získat informace oprávněným uživatelem ve správný čas pro něj. autenticita - možnost zjištění autora informace; apelativnost – schopnost prokázat, že autorem je deklarovaná osoba a nikdo jiný. 3

Modely řízení přístupu pro použití důvěrnosti, integrity a dostupnosti: Povinné řízení přístupu Selektivní řízení přístupu Řízení přístupu na základě rolí 4

Povinná kontrola přístupu. Povinná kontrola přístupu, MAC - diferenciace přístupu subjektů k objektům na základě přidělení označení důvěrnosti informacím obsaženým v objektech a udělení úředních povolení (povolení) subjektům pro přístup k informacím tohoto stupně utajení. Někdy se také překládá jako nucená kontrola přístupu. Jedná se o kombinaci ochrany a omezení práv uplatňovaných na počítačové procesy, data a systémová zařízení a je navržen tak, aby zabránil jejich nežádoucímu použití 5

Selektivní řízení přístupu (DAC) je řízení přístupu subjektu k objektům na základě seznamů řízení přístupu nebo přístupové matice. Pro každou dvojici (subjekt - objekt) musí být uveden explicitní a jednoznačný výčet povolených typů přístupu (čtení, zápis atd.), tedy těch typů přístupů, které jsou pro daný subjekt (jednotlivce nebo skupiny přístupů) autorizovány. jednotlivci) k danému zdroji (objektu) 7

8

Role Based Access Control (RBAC) - vývoj selektivní politiky řízení přístupu, přičemž přístupová práva subjektů systému k objektům jsou seskupena s ohledem na specifika jejich aplikace, tvořící role, např. Administrátor, 1 uživatel atd. Formace rolí Má definovat jasná a srozumitelná pravidla pro řízení přístupu pro uživatele. 9

Zajištění bezpečnosti při přenosu Implementace - Šifrování - metoda transformace informací používaná k ukládání důležitých informací do nespolehlivých zdrojů nebo k jejich přenosu prostřednictvím nezabezpečených komunikačních kanálů. Zahrnuje 2 procesy, - proces šifrování a dešifrování Metodický základ - kryptografie. 10

Definování klíče Klíč je tajná informace používaná kryptografickým algoritmem při šifrování/dešifrování zpráv, vytváření a ověřování digitálního podpisu a výpočtu ověřovacích kódů (MAC). Při použití stejného algoritmu závisí výsledek šifrování na klíči. Pro moderní algoritmy V silné kryptografii ztráta klíče prakticky znemožňuje dešifrování informací. Množství informací v klíči se obvykle měří v bitech. Pro moderní šifrovací algoritmy je hlavní charakteristikou šifrovací síly délka klíče. Šifrování s klíči 128 bitů nebo více je považováno za silné, protože výkonným superpočítačům trvá roky, než dešifrují informace bez klíče.

Metody šifrování symetrické šifrování: neoprávněné osoby mohou znát šifrovací algoritmus, ale malá část tajných informací je neznámá – klíč je stejný pro odesílatele i příjemce zprávy; asymetrické šifrování: neoprávněné osoby mohou znát šifrovací algoritmus a možná i veřejný klíč, ale ne soukromý klíč, který zná pouze příjemce. 12

Prostředky k zajištění pravosti: Podpis Digitální podpis Podpis - unikátní sada znaků psaná ručně za použití určitých technik designu, která slouží k identifikaci osoby. Vlastnosti dobrého podpisu Odolné proti padělání. Opakovatelnost. Identifikovatelnost (podpis obvykle připomíná křestní jméno, příjmení). Rychlost psaní 13

Elektronický digitální podpis (EDS) je atribut elektronického dokumentu určený k ochraně tohoto elektronického dokumentu před paděláním, získaný v důsledku kryptografické transformace informací pomocí soukromého klíče elektronického digitálního podpisu a umožňující identifikovat vlastníka podpisového klíče. certifikát, jakož i prokázat absenci zkreslení informací v elektronickém dokumentu a také zajistit neodvratitelnost podepsané osoby. Vzhledem k tomu, že podepsané dokumenty mají proměnlivou (a poměrně velkou) délku, ve schématech EDS se podpis často neumisťuje na samotný dokument, ale na jeho hash. K výpočtu hashe se používají kryptografické hašovací funkce Hašování je transformace pole vstupních dat libovolné délky na výstupní bitový řetězec pevné délky. Takové transformace se také nazývají hashovací funkce. Jakékoli změny v dokumentu vedou ke změnám hashe 14

Schéma elektronického podpisu zahrnuje: algoritmus generování klíče; funkce výpočtu podpisu; funkce ověřování podpisu. Funkce výpočtu založená na dokumentu a tajném klíči uživatele vypočítá podpis sama. Funkce ověření podpisu zkontroluje, zda se daný podpis shoduje s daným dokumentem a veřejným klíčem uživatele. Veřejný klíč uživatele je dostupný všem, takže podpis na tomto dokumentu může ověřit kdokoli 15

Digitální podpis poskytuje důkaz o původu dokumentu. V závislosti na detailech definice dokumentu lze podepsat pole jako „autor“, „provedené změny“, „časové razítko“ atd. Ochrana proti změnám dokumentu. Jakákoli změna dokumentu (nebo podpisu) náhodně nebo úmyslně změní hash, a proto zneplatní podpis. Nemožnost zřeknutí se autorství. Protože je možné vytvořit správný podpis pouze v případě, že je znám soukromý klíč a zná jej pouze vlastník, nemůže vlastník svůj podpis na dokumentu odmítnout. 16

Způsoby autorizace a autentizace: Heslo je tajné slovo nebo sada znaků používaných k ověření identity nebo oprávnění. Prolomení hesel je úkol náročný na zdroje, obvykle řešený metodou tzv. brute force – tedy prostým výčtem.Klíčem jsou tajné informace známé omezenému okruhu lidí, obvykle používané v zašifrované podobě. Biometrie je technologie identifikace osobnosti, která využívá fyziologické parametry subjektu (otisky prstů, duhovka atd.). 17

Ochrana dat v počítačové sítě se stává jedním z nejotevřenějších problémů moderních informačních a výpočetních systémů. Dosud byly formulovány tři základní principy informační bezpečnosti, jejichž úkolem je zajistit: - integritu dat - ochranu před poruchami vedoucími ke ztrátě informací nebo jejich zničení; - důvěrnost informací; - dostupnost informací pro oprávněné uživatele.

Prostředky ochrany - prostředky fyzické ochrany; - software (antivirové programy, systémy diferenciace pravomocí, software pro kontrolu přístupu); - administrativní ochranná opatření (přístup do prostor, rozvoj firemních bezpečnostních strategií atd.).

prostředky fyzické ochrany jsou systémy archivace a duplikace informací. V lokálních sítích, kde je nainstalován jeden nebo dva servery, se systém nejčastěji instaluje přímo do volných serverových slotů. Ve velkých podnikových sítích se dává přednost specializovanému archivačnímu serveru, který automaticky archivuje informace z pevných disků serverů a pracovních stanic v určitou dobu nastavenou správcem sítě a vydává zprávu o záloze. Nejběžnější modely archivovaných serverů jsou Intel ARCserve pro Windows Storage Express System.

K boji proti počítačovým virům se nejčastěji používají antivirové programy, méně často - nástroje ochrany hardwaru. V poslední době se však objevuje trend ke kombinaci metod ochrany softwaru a hardwaru. Z hardwarových zařízení se používají speciální antivirové desky, vložené do standardních počítačových rozšiřujících slotů. Společnost Intel Corporation navrhla slibnou technologii ochrany před viry v sítích, jejíž podstatou je skenování počítačových systémů ještě před jejich spuštěním. Kromě antivirových programů je problém ochrany informací v počítačových sítích řešen zavedením řízení přístupu a vymezením uživatelských pravomocí. K tomu slouží vestavěné nástroje síťových operačních systémů, jejichž největším výrobcem je Novell Corporation.

Pro vyloučení neoprávněného průniku do počítačové sítě se používá kombinovaný přístup - heslo + identifikace uživatele osobním "klíčem". "Klíč" je plastová karta (magnetická nebo se zabudovaným mikroobvodem - čipová karta) nebo různá zařízení pro identifikaci osoby pomocí biometrických informací - podle duhovky, otisků prstů, velikosti rukou atd. Servery a síťové pracovní stanice vybavené čipovou kartou čtečky a speciální software, výrazně zvyšují stupeň ochrany před neoprávněným přístupem. Inteligentní karty řízení přístupu umožňují implementovat funkce, jako je řízení přístupu, přístup k zařízením PC, programům, souborům a příkazům.

systém Kerberos, - databáze, která obsahuje informace o všech síťových zdrojích, uživatelích, heslech, informačních klíčích atd.; - autorizační server (autentizační server), jehož úkolem je zpracovávat požadavky uživatelů na poskytování určitého typu síťových služeb. Po obdržení požadavku přistoupí k databázi a určí oprávnění uživatele k provedení určité operace. Uživatelská hesla nejsou přenášena po síti, čímž se zvyšuje stupeň zabezpečení informací; - Vstupenkový server (server pro vydávání povolení) obdrží od autorizačního serveru „průchod“ s uživatelským jménem a jeho síťová adresa, čas požadavku a jedinečný „klíč“. Paket obsahující „průchod“ je také přenášen v zašifrované podobě. Server udělující oprávnění po obdržení a dešifrování „průchodu“ zkontroluje požadavek, porovná „klíče“ a pokud jsou shodné, dá souhlas k použití síťového zařízení nebo programů.

S tím, jak se rozšiřují aktivity podniků, roste počet předplatitelů a objevují se nové pobočky, je nutné organizovat přístup vzdáleným uživatelům (skupinám uživatelů) k výpočetním nebo informačním zdrojům do firemních center. Pro organizaci vzdálený přístup nejčastěji se používají kabelová vedení a rádiové kanály. V tomto ohledu vyžaduje ochrana informací přenášených prostřednictvím kanálů vzdáleného přístupu zvláštní přístup. Mosty a routery pro vzdálený přístup využívají segmentaci paketů – jejich oddělení a paralelní přenos po dvou linkách – což znemožňuje „zachytávání“ dat, když se „hacker“ nelegálně připojí k jedné z linek. Kompresní procedura přenášených paketů použitá při přenosu dat zaručuje nemožnost dešifrování „zachycených“ dat. Mosty a routery pro vzdálený přístup lze naprogramovat tak, aby vzdálení uživatelé neměli přístup ke všem zdrojům firemního centra.

V současné době byla vyvinuta speciální zařízení pro kontrolu přístupu počítačové sítě přes komutované linky. Příkladem je modul Remote Port Securiti Device (PRSD) vyvinutý společností AT&T, který se skládá ze dvou jednotek o velikosti běžného modemu: RPSD Lock (zámek) nainstalovaný v centrále a RPSD Key (klíč) připojený k vzdálenému uživateli. modem. RPSD Key and Lock umožňuje nastavit několik úrovní ochrany a řízení přístupu: - šifrování dat přenášených po lince pomocí generovaných digitálních klíčů; - kontrola přístupu na základě dne v týdnu nebo denní doby

S tématem bezpečnosti přímo souvisí strategie vytváření záloh a obnovy databází. Obvykle se tyto operace provádějí v mimopracovní době v dávkovém režimu. Ve většině DBMS je zálohování a obnova dat povolena pouze uživatelům s širokými pravomocemi (přístupová práva na úrovni správce systému nebo vlastníka databáze), je nežádoucí uvádět takto zodpovědná hesla přímo v souborech pro dávkové zpracování. Aby se heslo neukládalo explicitně, doporučuje se napsat jednoduchý aplikační program, který by sám volal nástroje pro kopírování/obnovu. V tomto případě musí být systémové heslo „napevno zabudováno“ do kódu zadané aplikace. Nevýhodou této metody je, že při každé změně hesla by měl být tento program překompilován

V každém podniku, bez ohledu na jeho velikost, druh vlastnictví a směr činnosti, se používá stejný typ metod a způsobů ochrany, které implementují model systému ochrany. Blokem způsobů ochrany jsou překážky, regulace, kontrola přístupu, maskování, podněcování a donucení.

Překážky (fyzická metoda), například instalace plotů kolem podniků, omezení přístupu do budovy a prostor, instalace alarmů, zabezpečení fyzickým způsobem a software a hardware Maskování zahrnuje použití kryptografického softwaru. Motivace - dodržování etických norem ze strany uživatelů při zpracování a využívání informací. Regulace implikuje existenci pokynů a předpisů pro zpracování informací, zatímco zákaz implikuje existenci právních norem zakotvených v normativní dokumenty a vymezení právní odpovědnosti v případě jejich porušení.

Výše uvedené metody a metody ochrany jsou kombinovány do čtyř subsystémů, které jsou instalovány v informačních systémech: Subsystém řízení přístupu Registrační a účetní subsystém Kryptografický subsystém Subsystém zajištění integrity

Subsystém řízení přístupu chrání vstup do informačního systému pomocí softwaru (hesel) a softwarových nástrojů ( elektronické klíče, klíčové diskety, biometrická zařízení pro rozpoznávání uživatelů atd.).

Registrační a účetní subsystém eviduje ve speciálním elektronickém protokolu uživatele a programy, kteří získali přístup do systému, souborů, programů nebo databází, čas vstupu a výstupu ze systému a další operace prováděné uživateli.

Kryptografický subsystém je sada speciálních programů, které šifrují a dešifrují informace. Přítomnost kryptografického subsystému je nezbytná zejména v informačních systémech používaných pro elektronické podnikání.

Subsystém pro zajištění integrity informací zahrnuje přítomnost fyzické ochrany počítačového vybavení a médií, dostupnost nástrojů pro testování programů a dat, využití ověřené fondy ochrana