Курсовая работа: Защита информации от несанкционированного доступа
Введение
Проблема защиты
информации от постороннего доступа и нежелательных воздействий на нее возникла
давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться
ею ни с кем или не с каждым человеком. С развитием человеческого общества,
появлением частной собственности, государственного строя, борьбой за власть и в
дальнейшем расширением масштабов человеческой деятельности информация
приобретает цену. Ценной становится та информация, обладание которой позволит
ее существующему и потенциальному владельцу получить какой-либо выигрыш:
материальный, политический и т.д.
В современной
российской рыночной экономике обязательным условием успеха предпринимателя в
бизнесе, получения прибыли и сохранения в целостности созданной им
организационной структуры является обеспечение экономической безопасности его
деятельности. Одна из главных составных частей экономической безопасности -
информационная безопасность, достигаемая за счет использования комплекса
систем, методов и средств защиты информации предпринимателя от возможных
злоумышленных действий конкурентов и с целью сохранения ее целостности и
конфиденциальности.
Изменения, происходящие
в экономической жизни России – создание финансово-кредитной системы,
предприятий различных форм собственности оказывают существенное влияние на
вопросы защиты информации.
В частности, к этой
ситуации относится факт хищения технической и деловой информации. Как правило,
это хищение связано с потерей стратегически важной информации, способной
привести фирму к банкротству. Это хищение можно квалифицировать как
преступление, так как ведет к потере материальных и финансовых ценностей.
Ответственность за
защиту информации лежит на низшем звене руководства. Но также кто-то должен
осуществлять общее руководство этой деятельностью, поэтому в организации должно
иметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособности
информационных систем.
«Безопасность»
необходимо рассматривать как качество развития мер безопасности, которые
направлены на предотвращение внутренних и внешних угроз.
В этой связи становится
актуальным рассмотреть вопрос, касающийся защиты документированной информации
от несанкционированного доступа, выявить основные способы защиты информации.
Глава
1. Защита от несанкционированного доступа к информации. Термины и определения
Шифр – последовательность операций,
проводимых над открытыми (закрытыми) данными и ключом с целью получения
закрытой (открытой) последовательности.
Ключ
– конкретное для
каждого нового кода значение каких-нибудь характеристик алгоритма
криптографической защиты.
Гамма
шифра – это
некоторая псевдослучайная последовательность заданной длины, используемая для
шифрования.
Гаммирование – процесс наложения гаммы шифра
на открытые данные.
Зашифровывание – процесс преобразования
открытых данных в закрытые с помощью шифра и ключа.
Расшифровывание – процедура преобразования
закрытых данных в открытые с помощью шифра и ключа.
Шифрование
– зашифровывание
и (или) расшифровывание.
Дешифрование
– совокупность
действий по преобразованию закрытых данных в открытые без знания ключа и (или)
алгоритма зашифровывания.
Имитозащита – защита от ложной информации.
Осуществляется по собственным алгоритмам, с помощью выработки имитовставки.
Имитовставка – последовательность данных
определенной длины, полученных специальными методами гаммирования из открытых
исходных данных. Содержимое имитовставки является эталоном для проверки всей
остальной информации.
Доступ к информации
(Accesstoinformation) - ознакомление
с информацией, ее обработка, в частности, копирование, модификация или
уничтожение информации.
Правила разграничения
доступа (Securitypolicy) - совокупность правил,
регламентирующих права доступа субъектов доступа к объектам доступа.
Санкционированный
доступ к информации (Authorizedaccesstoinformation) -
Доступ к информации, не нарушающий правила разграничения доступа.
Несанкционированный
доступ к информации (Unauthorizedaccesstoinformation) -
доступ к информации, нарушающий правила разграничения доступа с использованием
штатных средств, предоставляемых средствами вычислительной техники или
автоматизированными системами.
Защита от несанкционированного
доступа (Protectionfromunauthorizedaccess)
- предотвращение или существенное затруднение несанкционированного доступа.
Субъект доступа
(Accesssubject) - лицо или процесс, действия которых регламентируются правилами
разграничения доступа.
Объект доступа
(Accessobject) - единица информационного ресурса автоматизированной системы,
доступ к которой регламентируется правилами разграничения доступа.
Матрица доступа
(Accessmatrix) - таблица, отображающая правила разграничения доступа.
Уровень полномочий
субъекта доступа (Subjectprivilege) - совокупность прав
доступа субъекта доступа.
Нарушитель правил
разграничения доступа (Securitypolicyviolator) - субъект
доступа, осуществляющий несанкционированный доступ к информации.
Модель нарушителя
правил разграничения доступа (Securitypolicyviolater'smodel)
- абстрактное (формализованное или неформализованное) описание нарушителя
правил разграничения доступа.
Комплекс средств защиты
(Trustedcomputingbase)
- совокупность программных и технических средств, создаваемая и поддерживаемая
для обеспечения защиты средств вычислительной техники или автоматизированных
систем от несанкционированного доступа к информации.
Система разграничения
доступа (Securitypolicyrealization) - совокупность
реализуемых правил разграничения доступа в средствах вычислительной техники или
автоматизированных системах.
Идентификатор доступа (Accessidentifier)
- уникальный признак субъекта или объекта доступа.
Идентификация
(Identification) - присвоение субъектам и объектам доступа идентификатора и
(или) сравнение предъявляемого идентификатора с перечнем присвоенных
идентификаторов.
Пароль
(Password) - идентификатор субъекта доступа, который является его (субъекта)
секретом.
Аутентификация (Authentication)
- проверка принадлежности субъекту доступа предъявленного им идентификатора,
подтверждение подлинности.
Защищенное средство
вычислительной техники (Trustedcomputersystem) - средство
вычислительной техники (автоматизированная система), в котором реализован
комплекс средств защиты.
Средство защиты от несанкционированного
доступа (Protectionfacility) - пограммное, техническое или
программно-техническое средство, направленное на предотвращение или
существенное затруднение несанкционированного доступа.
Модель защиты
(Protectionmodel) - абстрактное (формализованное или Неформализованное)
описание комплекса программно-технических средств и/или организационных мер
защиты от несанкционированного доступа.
Безопасность информации
(Informationsecurity) - состояние защищенности инфоpмации, обpабатываемой
средствами вычислительной техники или автоматизированной системы от внутpенних
или внешних угроз.
Целостность информации
(Informationintegrity) - способность средства вычислительной техники или
автоматизированной системы обеспечивать неизменность информации в условиях случайного
и (или) преднамеренного искажения (разрушения).
Конфиденциальная
информация (Sensitiveinformation) - информация, требующая
защиты.
Дискреционное
управление доступом (Discretionaryaccesscontrol) -
разграничение доступа между поименованными субъектами и поименованными
объектами. Субъект с определенным правом доступа может передать это право
любому другому субъекту.
Мандатное управление
доступом (Mandatoryaccesscontrol) - разграничение доступа
субъектов к объектам, основанное на характеризуемой меткой конфиденциальности
информации, содержащейся в объектах, и официальном разрешении (допуске)
субъектов обращаться к информации такого уровня конфиденциальности.
Многоуровневая защита
(Multilevelsecure) - защита, обеспечивающая разграничение доступа субъектов с
различными правами доступа к объектам различных уровней конфиденциальности.
Концепция диспетчера
доступа (Referencemonitorconcept)
- концепция управления доступом, относящаяся к абстрактной машине, которая
посредничает при всех обращениях субъектов к объектам.
Диспетчер доступа
(Securitykernel) - технические, программные и микропрограммные элементы
комплекса средств защиты, реализующие концепцию диспетчера доступа; ядро
защиты.
Администратор защиты
(Securityadministrator) - субъект доступа, ответственный за защиту
автоматизированной системы от несанкционированного доступа к информации.
Метка
конфиденциальности (Sensitivitylabel) - элемент
информации, который характеризует конфиденциальность информации, содержащейся в
объекте.
Верификация
(Verification) - процесс сравнения двух уровней спецификации средств
вычислительной техники или автоматизированных систем на надлежащее
соответствие.
Класс защищенности
средств вычислительной техники
(Protectionclassofcomputersystems) - определенная совокупность требований по
защите средств вычислительной техники (автоматизированной системы) от
несанкционированного доступа к информации.
Показатель защищенности
средств вычислительной техники
(Protectioncriterionofcomputersystems) - характеристика средств вычислительной
техники, влияющая на защищенность и описываемая определенной группой
требований, варьируемых по уровню, глубине в зависимости от класса защищенности
средств вычислительной техники.
Система защиты
секретной информации (Secretinformationsecuritysystem) -
комплекс организационных мер и программно-технических (в том числе
криптографических) средств обеспечения безопасности информации в
автоматизированных системах.
Система защиты
информации от несанкционированного доступа (Systemofprotectionfromunauthorizedaccesstoinformation)
- комплекс организационных мер и программно-технических (в том числе
криптографических) средств защиты от несанкционированного доступа к информации
в автоматизированных системах.
Средство
криптографической защиты информации (Cryptographicinformationprotectionfacility)
- средство вычислительной техники, осуществляющее криптографическое
преобразование информации для обеспечения ее безопасности.
Сертификат защиты (Protectioncertificate)
- документ, удостоверяющий соответствие средства вычислительной техники или
автоматизированной системы набору определенных требований по защите от
несанкционированного доступа к информации и дающий право разработчику на
использование и/или распространение их как защищенных.
Сертификация уровня
защиты (Protectionlevelcertification)
- процесс установления соответствия средства вычислительной техники или
автоматизированной системы набору определенных требований по защите.
Глава
2. Основы правового регулирования отношений, связанных с конфиденциальной
информацией
Законодательством
Российской Федерации установлено, что документированная информация (документы),
является общедоступной, за исключением отнесенной законом к категории ограниченного
доступа.
При этом
документированная информация с ограниченным доступом подразделяется на
информацию, отнесенную к государственной тайне, и конфиденциальную информацию.
Оба указанных вида информации подлежат защите от незаконного распространения
(разглашения) и относится к охраняемой законодательством тайне.
Отношения, возникающие
при создании, накоплении, обработке, хранении и использовании документов,
содержащих информацию, составляющую государственную тайну, регулируются
соответствующими законодательными актами. Основным из них является Закон
Российской Федерации “О государственной тайне” от 21 июля 1993 г. № 5485-1, с
внесенными в него последующими изменениями. Имеется ряд подзаконных правовых
нормативных актов, регламентирующих организацию защиты государственной тайны,
ведение секретного делопроизводства, порядок допуска к государственной тайне
должностных лиц и граждан Российской Федерации.
Порядок обращения с
документированной конфиденциальной информацией регламентирован в целом ряде
законодательных актов и, в первую очередь, в Конституции Российской Федерации.
Так, Конституцией Российской
Федерации (ст.23) установлено право граждан на неприкосновенность личной жизни,
личной и семейной тайны, тайны переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщений. При этом ограничение этого права допускается
только на основании судебного решения.
В Федеральном законе
“Об информации, информатизации и защите информации” конфиденциальная информация
определяется как документированная информация, доступ к которой ограничивается
в соответствии с законодательством Российской Федерации (ст.2).
Обобщенное понятие
конфиденциальной информации в значительной мере конкретизировано в перечне
сведений конфиденциального характера, утвержденном Указом Президента Российской
Федерации от 6 марта 1997 г. № 188. Согласно данному перечню сведения
конфиденциального характера группируются по нескольким основным категориям.
Во-первых, это сведения
о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие
идентифицировать его личность, за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных федеральными
законами случаях.
Страницы: 1, 2
| 
