Курсы повышения квалификации и переподготовки для учителей. Документы об окончании по почте БЕСПЛАТНО, комфортное обучение из дома.

СДЕЛАЙТЕ СВОИ УРОКИ ЕЩЁ ЭФФЕКТИВНЕЕ, А ЖИЗНЬ СВОБОДНЕЕ

Благодаря готовым учебным материалам для работы в классе и дистанционно

Выбрать материалы

Скидки до 50 % на комплекты
только до

Готовые ключевые этапы урока всегда будут у вас под рукой

Организационный момент

Проверка знаний

Объяснение материала

Закрепление изученного

Итоги урока

Была в сети 23.03.2020 10:06

Давыдова Ольга Николаевна

учитель информатики

68 лет

11 851

2 538

Подписчики

Подписки

Местоположение

Россия, г.о.Люберцы

Специализация

Информатика

Внеурочка

Всем учителям

Прочее

Обо мне Блог Файлы Тесты Галерея Активность Награды

Авторская разработка проекта защиты информации от несанкционированного доступа

Категория: Информатика

14.02.2020 13:13

Учебник: Информатика. 11 класс. Углубленный уровень. В 2 ч. Семакин И.Г., Шеина Т.Ю., Шестакова Л.В. М.: 2014 — Ч.1 - 176с., Ч.2 - 216с.

Тема: 4.1.4. Информационное право и информационная безопасность

Разработка пректа защиты информации от несанкционированного доступа

Просмотр содержимого документа
«Авторская разработка проекта защиты информации от несанкционированного доступа»

Кузнецкий институт информационных и управленческих технологий (филиал) Пензенского государственного университета (КИИУТ)

ИНДИВИДУАЛЬНЫЙ ПРОЕКТ

по дисциплине « Информатика»

Защита информации от несанкционированного доступа

Выполнил:

Руководитель: Давыдова Ольга Николаевна, преподаватель высшей квалификационной категории

Проект защищен с оценкой __________

Дата защиты «_____» ___________ 2017 год

2017

ОГЛАВЛЕНИЕ

Введение……………………………………………………………………………стр.3 -4

Глава 1.Теоретические аспекты изучения роли защиты информации от несанкционированного доступа …………………………………………………стр.5-15

Методы защиты информации от несанкционированного доступа(НСД)…………………………………………………………...стр.5-10

1.1.1 Направления защиты информации………………………………стр.5

1.1.2 Требования к средствам защиты, их характеристики………...стр.5-6

1.1.3 Основные задачи защиты от несанкционированного

доступа………………………………………………………....стр.8-10

1.2 Законодательные меры по защите информации…………………….стр.10-12

1.3 Угроза информации и пути реализаций воздействий на

информацию……………………………………………………………….стр.12-15

Глава 2.Анализ нарушений безопасности при системе защиты информации и автоматизированных информационных технологий управления от несанкционированного доступа……………………………………………...…стр.16-18

Заключение……………………………………………………………………….стр.19-20

Список использованной литературы…………………………………………...стр.21-22

Приложение……………………………………………………………………....стр.23-24

ВВЕДЕНИЕ

Информация имеет ценность, и люди осознали это очень давно – недаром переписка сильных мира сего издавна была объектом пристального внимания их недругов и друзей. Тогда-то и возникла задача защиты этой переписки от чрезмерно любопытных глаз. Древние пытались использовать для решения этой задачи самые разнообразные методы, и одним из них была тайнопись – умение составлять сообщения таким образом, чтобы его смысл был недоступен никому кроме посвященных в тайну. Есть свидетельства тому, что искусство тайнописи зародилось еще в доантичные времена. На протяжении всей своей многовековой истории, вплоть до совсем недавнего времени, это искусство служило немногим, в основном верхушке общества, не выходя за пределы резиденций глав государств, посольств и – конечно же – разведывательных миссий. И лишь несколько десятилетий назад все изменилось коренным образом – информация приобрела самостоятельную коммерческую ценность и стала широко распространенным, почти обычным товаром. Ее производят, хранят, транспортируют, продают и покупают, а значит – воруют и подделывают – и, следовательно, ее необходимо защищать.

Современное общество все в большей степени становится информационно–обусловленным, успех любого вида деятельности все сильней зависит от обладания определенными сведениями и от отсутствия их у конкурентов. И чем сильней проявляется указанный эффект, тем больше потенциальные убытки от злоупотреблений в информационной сфере, и тем больше потребность в защите информации. Возникновение индустрии обработки информации с железной необходимостью привело к возникновению индустрии средств защиты информации.

Цель: изучить роль защиты информации от несанкционированного доступа в деятельности человека.

Задачи:

Раскрыть определение понятия «несанкционированный доступ к информации».
Изучить методы защиты информации от несанкционированного доступа(НСД).
Выяснить значение законодательных мер по защите информации.
Проанализировать нарушения безопасности при системе защиты информации и автоматизированных информационных технологий управления от несанкционированного доступа.

Объект исследования: защита информации.

Предмет исследования: роль защиты информации от несанкционированного доступа.

Гипотеза исследования: можно предположить, что защита информации от несанкционированного доступа играет большую роль в процессе деятельности человека.

ГЛАВА 1.ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ИЗУЧЕНИЯ РОЛИ защиты информации от несанкционированного доступа

1.1 Методы защиты информации от несанкционированного доступа (НСД)

Несанкционированный доступ к информации — это незапланированное ознакомление, обработка, копирование, применение различных вирусов, в том числе разрушающих программные продукты, а также модификация или уничтожение информации в нарушение установленных правил разграничения доступа.

Поэтому, в свою очередь, защита информации от несанкционированного доступа призвана не допустить злоумышленника к носителю информации.

Направления защиты информации

В защите информации компьютеров и сетей от НСД можно выделить три основных направления:

– ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах опознавания пользователя;

– связано с защитой вычислительной среды и основывается на создании специального программного обеспечения;

– связано с использованием специальных средств защиты информации компьютеров от несанкционированного доступа.

Следует иметь в виду, что для решения каждой из задач применяются как различные технологии, так и различные средства.

1.1.2 Требования к средствам защиты, их характеристики

Требования к средствам защиты, их характеристики, функции ими выполняемые и их классификация, а также термины и определения по защите от несанкционированного доступа приведены в руководящих документах Государственной технической комиссии:

– «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации»;

– «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

– «Защита от несанкционированного доступа к информации. Термины и определения». Технические средства, реализующие функции защиты можно разделить на:

- встроенные;

- внешние.

К встроенным средствам защиты персонального компьютера и программного обеспечения относятся средства парольной защиты BIOS, операционной системы, СУБД. Данные средства могут быть откровенно слабыми — BIOS с паролем супервизора, парольная защита, но могут быть и значительно более стойкими — BIOS без паролей супервизора, парольная защита Windows , СУБД. Использование сильных сторон этих средств позволяет значительно усилить систему защиты информации от НСД.

Внешние средства призваны подменить встроенные средства с целью усиления защиты, либо дополнить их недостающими функциями.

К ним можно отнести:

– аппаратные средства доверенной загрузки;

– аппаратно-программные комплексы разделения полномочий пользователей на доступ;

– средства усиленной аутентификации сетевых соединений.

Аппаратные средства доверенной загрузки представляют собой изделия, иногда называемые «электронным замком», чьи функции заключаются в надежной идентификации пользователя, а также в проверке целостности программного обеспечения компьютера. Обычно это плата расширения персонального компьютера, с необходимым программным обеспечением, записанным либо во Flash-память платы, либо на жесткий диск компьютера.

Принцип их действия простой. В процессе загрузки стартует BIOS и платы защиты от НСД. Он запрашивает идентификатор пользователя и сравнивает его с хранимым во Flash-памяти карты. Идентификатор дополнительно можно защищать паролем. Затем стартует встроенная операционная система платы или компьютера, после чего стартует программа проверки целостности программного обеспечения. Как правило, проверяются системные области загрузочного диска, загрузочные файлы и файлы, задаваемые самим пользователем для проверки. Если в результате сравнения при проверке идентификатора или целостности системы выявится различие с эталоном, то плата заблокирует дальнейшую работу, и выдаст соответствующее сообщение на экран. Если проверки дали положительный результат, то плата передает управление персональному компьютеру для дальнейшей загрузки операционной системы.

Все процессы идентификации и проверки целостности фиксируются в журнале. Достоинства устройств данного класса — их высокая надежность, простота и невысокая цена. При отсутствии многопользовательской работы на компьютере функций защиты данного средства обычно достаточно.

Аппаратно-программные комплексы разделения полномочий на доступ используются в случае работы нескольких пользователей на одном компьютере, если встает задача разделения их полномочий на доступ к данным друг друга. Решение данной задачи основано на: 01 запрете пользователям запусков определенных приложений и процессов; Q разрешении пользователям и запускаемым ими приложениям лишь определенного типа действия с данными.

Реализация запретов и разрешений достигается различными способами. Как правило, в процессе старта операционной системы запускается и программа защиты от несанкционированного доступа. Она присутствует в памяти компьютера, как резидентный модуль и контролирует действия пользователей на запуск приложений и обращения к данным. Все действия пользователей фиксируются в журнале, который доступен только администратору безопасности. Под средствами этого класса обычно и понимают средства защиты от несанкционированного доступа. Они представляют собой аппаратно-программные комплексы, состоящие из аппаратной части — платы доверенной загрузки компьютера, которая проверяет теперь дополнительно и целостность программного обеспечения самой системы защиты от НСД на жестком диске, и программной части — программы администратора, резидентного модуля. Эти программы располагаются в специальном каталоге и доступны лишь администратору. Данные системы можно использовать и в однопользовательской системе для ограничения пользователя по установке и запуску программ, которые ему не нужны в работе.

Средства усиленной аутентификации сетевых соединений применяются в том случае, когда работа рабочих станций в составе сети накладывает требования для защиты ресурсов рабочей станции от угрозы несанкционированного проникновения на рабочую станцию со стороны сети и изменения либо информации, либо программного обеспечения, а также запуска несанкционированного процесса. Защита от НСД со стороны сети достигается средствами усиленной аутентификации сетевых соединений. Эта технология получила название технологии виртуальных частных сетей.

1.1.3 Основные задачи защиты от несанкционированного доступа

Одна из основных задач защиты от несанкционированного доступа — обеспечение надежной идентификации пользователя и возможности проверки подлинности любого пользователя сети, которого можно однозначно идентифицировать по тому, что он:

– знает;

– имеет;

– из себя представляет.

Пользователь знает свое имя и пароль. На этих знаниях основаны схемы парольной идентификации. Недостаток этих схем — ему необходимо запоминать сложные пароли, чего очень часто не происходит: либо пароль выбирают слабым, либо его просто записывают в записную книжку, на листок бумаги и т. п. В случае использования только парольной защиты принимают надлежащие меры для обеспечения управлением создания паролей, их хранением, для слежения за истечением срока их использования и своевременного удаления. С помощью криптографического закрытия паролей можно в значительной степени решить эту проблему и затруднить злоумышленнику преодоление механизма аутентификации.

Пользователь имеет специальный ключ — уникальный идентификатор, такой, например, как таблетка touch memory (I-button), e-token, смарт-карта, или криптографический ключ, на котором зашифрована его запись в базе данных пользователей. Такая система наиболее стойкая, однако, требует, чтобы у пользователя постоянно был при себе идентификатор, который чаще всего присоединяют к брелоку с ключами и либо часто забывают дома, либо теряют. Будет правильно, если утром администратор выдаст идентификаторы и запишет об этом в журнале и примет их обратно на хранение вечером, опять же сделав запись в журнале.

Признаки, которые присущи только этому пользователю, только ему, обеспечивающие биометрическую идентификацию. Идентификатором может быть отпечаток пальца, рисунок радужной оболочки глаз, отпечаток ладони и т. п. В настоящее время — это наиболее перспективное направление развития средств идентификации. Они надежны и в то же время не требуют от пользователя дополнительного знания чего-либо или постоянного владения чем-либо. С развитием технологи и стоимость этих средств становится доступной каждой организации.

Гарантированная проверка личности пользователя является задачей различных механизмов идентификации и аутентификации.

Каждому пользователю (группе пользователей) сети назначается определенный отличительный признак — идентификатор и он сравнивается с утвержденным перечнем. Однако только заявленный идентификатор в сети не может обеспечить защиту от несанкционированного подключения без проверки личности пользователя.

Процесс проверки личности пользователя получил название — аутентификации. Он происходит с помощью предъявляемого пользователем особого отличительного признака — аутентификатора, присущего именно ему. Эффективность аутентификации определяется, прежде всего, отличительными особенностями каждого пользователя.

Конкретные механизмы идентификации и аутентификации в сети могут быть реализованы на основе следующих средств и процедур защиты информации:

– пароли;

– технические средства;

– средства биометрии;

– криптография с уникальными ключами для каждого пользователя.

Вопрос о применимости того или иного средства решается в зависимости от выявленных угроз, технических характеристик защищаемого объекта. Нельзя однозначно утверждать, что применение аппаратного средства, использующего криптографию, придаст системе большую надежность, чем использование программного.

1.2 Законодательные меры по защите информации

Законодательные меры по защите информации от НСД заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц—пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.

Следует выделить информационные ресурсы, нуждающиеся в защите и оценить важность защищаемой информации.

Чтобы определить информацию, подлежащую защите в администрации необходимо обратиться к следующим нормативным документам:

- Указ Президента РФ от 6 марта 1997г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями на 23 сентября 2005 г.);

- Федеральный закон от 25 июля 2011г. № 152 «О персональных данных»;

- Приказ ФСТЭК РФ от 5 февраля 2005г. №58;

На основании этих документов можно выделить следующие виды информации, подлежащей защите:

- персональные данные сотрудников администрации района;

- сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);

- служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

сведения, относящиеся к государственной тайне;

- сведения, связанные с профессиональной деятельностью, доступ которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами.

Таким образом, по степени секретности информация, обрабатываемая в информационной системе, делится на:

- общедоступную информацию;

- персональные данные;

- сведения, составляющие служебную тайну;

- сведения, составляющие коммерческую тайну;

- секретные сведения.

В состав АС входят следующие технические средства:

- серверы;

- сетевое оборудование;

- рабочие станции пользователей.

Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей. В настоящее время в проекте нового Уголовного кодекса предусматривается глава, посвященная компьютерным преступлениям.

Общий подход к разработке концепции безопасности информации для указанных АСОД заключается в анализе этого элемента, разработке концептуальных основ защиты информации на его уровне и затем на уровне вычислительной сети и АСУ.

Такой подход удобен переходом от простого к сложному, а также и тем, что позволит получить возможность распространения полученных результатов на персональную ЭВМ и локальную вычислительную сеть, рассматривая первую как АСОД с централизованной, а вторую — с децентрализованной обработкой данных.

Однако следует принять во внимание, что понятие «вычислительная система» используется и в более широком смысле, а также и то, что в последнее время в качестве такого элемента могут выступать локальные вычислительные сети. Поэтому для представления АСОД с децентрализованной обработкой данных используем известное понятие «комплекс средств автоматизации (КСА) обработки данных», которое может включать либо упомянутую вычислительную систему, либо локальную вычислительную сеть, либо их сочетание, либо несколько таких систем. Принадлежность их к одному КСА будет отличать выполнение общей задачи, линии связи между собой и общий выход в каналы связи сети передачи данных, а также расположение на одной контролируемой владельцем КСА территории. Постановление Правительства России от 15 сентября 2008 г № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».¹

Угроза информации и пути реализаций воздействий на информацию

Угроза информации - пути реализации воздействий, которые считаются опасными для информационной системы. По характеру возникновения их можно разделить на 2 вида:

преднамеренные и непреднамеренные.

Непреднамеренные угрозы - это случайные действия, выраженные в неадекватной поддержке механизмов защиты или ошибками в управлении.

Преднамеренные - это несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами, самими системами.

По типу реализации угрозы можно различать:

-программные;

-непрограммные.

К программным относят те, которые реализованы в виде отдельного программного модуля или модуля в составе программного обеспечения. К непрограммным относят злоупотребления, в основе которых лежит использование технических средств информационной системы (ИС) для подготовки и реализации компьютерных преступлений (например, несанкционированное подключение к коммуникационным сетям, съем информации с помощью специальной аппаратуры и др.).

Преследуя различные цели, компьютерные злоумышленники используют широкий набор программных средств. Исходя из этого, представляется возможным объединение программных средств в две группы:

-тактические;

-стратегические.

К тактическим относят те, которые преследуют достижение ближайшей цели (например, получение пароля, уничтожение данных и др.). Они обычно используются для подготовки и реализации стратегических средств, которые направлены на реализацию далеко идущих целей и связаны с большими финансовыми потерями для ИС. К группе стратегических относятся средства, реализация которых обеспечивает возможность получения контроля за технологическими операциями преобразования информации, влияние на функционирование компонентов ИС (например, мониторинг системы, вывод из строя аппаратной и программной среды и др.).

Потенциальными программными злоупотреблениями можно считать программные средства, которые обладают следующими функциональными возможностями:

-искажение произвольным образом, блокирование и/или подмена выводимого во внешнюю память или в канал связи массива информации, образовавшегося в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных;

-сокрытие признаков своего присутствия в программной среде ЭВМ;

-разрушение (искажение произвольным образом) кодов программ в оперативной памяти;

-сохранение фрагментов информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);

-обладание способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные области оперативной или внешней памяти.(Приложение 1.1)

Рассмотрев основные методы и виды несанкционированного доступа обратимся к определению модели нарушителя, совершающего вышеперечисленные действия.

При разработке модели нарушителя определяются: 1) предположения о категориях лиц, к которым может принадлежать нарушитель; 2) предположения о мотивах действий нарушителя (целях, преследуемых нарушителем); 3) предположения о квалификации нарушителя и его технической оснащенности (методах и средствах, используемых для совершения нарушения); 4) ограничения и предположения о характере возможных действий нарушителя. По отношению к автоматизированным информационным технологиям управления (АИТУ) нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренними нарушителями могут быть лица из следующих категорий персонала:

-пользователи (операторы) системы;

-персонал, обслуживающий технические средства (инженеры, техники);

-сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);

-технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компоненты АИТУ);

-сотрудники службы безопасности АИТУ;

-руководители различного уровня должностной иерархии.

Посторонние лица, которые могут быть внешними нарушителями:

-клиенты (представители организаций, граждане);

-посетители (приглашенные по какому-либо поводу);

представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжение и т.п.);

-представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;

-лица, случайно или умышленно нарушившие пропускной режим (без цели нарушения безопасности АИТУ);

-любые лица за пределами контролируемой территории.

Можно выделить три основных мотива нарушений: а) безответственность; б) самоутверждение; в) корыстный интерес. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.²

ГЛАВА 2.АНАЛИЗ НАРУШЕНИЙ БЕЗОПАСНОСТИ ПРИ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ И АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ УПРАВЛЕНИЯ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.

Нарушение безопасности автоматизированных информационных технологий управления (АИТУ) может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АИТУ информации. Даже если АИТУ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Всех нарушителей можно классифицировать по четырем параметрам (уровню знаний об АИТУ, уровню возможностей, времени и методу действия).

1. По уровню знаний об АИТУ различают нарушителей:

-знающих функциональные особенности АИТУ, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеющих пользоваться штатными средствами;

-обладающих высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

обладающих высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

-знающих структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

2. По уровню возможностей (используемым методам и средствам) нарушителями могут быть:

-применяющие чисто агентурные методы получения сведений;

-применяющие пассивные средства (технические средства перехвата без модификации компонентов системы);

-использующие только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

-применяющие методы и средства активного воздействия (модификация и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных «закладок» и использование специальных инструментальных и технологических программ).

3. По времени действия различают нарушителей, действующих:

-в процессе функционирования АИТУ (во время работы компонентов системы);

-в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);

-как в процессе функционирования АИТУ, так и в период неактивности компонентов системы.

4. По месту действия нарушители могут быть:

-не имеющие доступа на контролируемую территорию организации;

-действующие с контролируемой территории без доступа в здания и сооружения;

-действующие внутри помещений, но без доступа к техническим средствам АИТУ;

-действующие с рабочих мест конечных пользователей (операторов) АИТУ;

-имеющие доступ в зону данных (баз данных, архивов и т.п.);

-имеющие доступ в зону управления средствами обеспечения безопасности АИТУ.³

При этом могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей: (Приложение 1.2)

-работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;

-нарушитель, планируя попытку несанкционированного доступа к информации, скрывает свои неправомерные действия от других сотрудников;

-несанкционированный доступ к информации может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатком принятой технологии обработки информации и т.д.

Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.

ЗАКЛЮЧЕНИЕ

Анализ защищенности информационного объекта и выявление угроз его безопасности — крайне сложная процедура. Не менее сложная процедура — выбор технологий и средств защиты для ликвидации выявленных угроз.

Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи.

Таким образом, для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа. Основные типовые пути несанкционированного получения информации:

-хищение носителей информации и производственных отходов;

-копирование носителей информации с преодолением мер защиты;

-маскировка под зарегистрированного пользователя;

-мистификация (маскировка под запросы системы);

-использование недостатков операционных систем и языков программирования;

-использование программных закладок и программных блоков типа "троянский конь";

-перехват электронных излучений;

-перехват акустических излучений;

-дистанционное фотографирование;

-применение подслушивающих устройств;

-злоумышленный вывод из строя механизмов защиты и т.д..

Для защиты информации от несанкционированного доступа применяются:

1) организационные мероприятия;

2) технические средства;

3) программные средства;

4) щифрование.

Организационные мероприятия включают в себя:

-пропускной режим;

-хранение носителей и устройств в сейфе;

-ограничение доступа лиц в компьютерные помещения и т.д..

Технические средства включают в себя:

-ключ для блокировки клавиатуры;

-устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;

электронные ключи на микросхемах и т.д.

Программные средства включают в себя:

-парольный доступ – задание полномочий пользователя;

-блокировка экрана и клавиатуры с помощью комбинации клавиш ;

-использование средств парольной защиты BIOS – на сам BIOS и на ПК в целом и т.д.

Из изложенного выше видно, что защита информации от несанкционированного доступа очень значима и может стать эффективной на всех этапах обработки информации. Таким образом, цель работы достигнута. Гипотеза о том, что защита информации от несанкционированного доступа играет большую роль в процессе деятельности человека, подтверждена.

Данный материал может быть полезен как в практической работе, так и в теоретическом освещении данной проблемы .

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Страсбург, 28 января 1981 года.

2. Конституция Российской Федерации, 12 декабря 1993 г.

3. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ТК РФ).

4. Гражданский кодекс Российской Федерации (ГК РФ) от 30.11.1994 № 51-ФЗ.

5. ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения.

6. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения.

7. Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

8. Постановление Правительства России от 15 сентября 2008 г № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

9. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14 февраля 2016 г..

10. Постановление Правительства Российской Федерации от 6 июля 2008 г № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

11. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), введено приказом ФСБ России от 9 февраля 2005 г. № 66.

12. «Типовые требования по Организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», ФСБ России, № 149/6/6-622.

13. http://www.uhlib.ru

ПРИЛОЖЕНИЕ

Приложение 1

Р исунки вспомогательного характера

Рисунок 1-Программная сфера защиты

Рисунок 2-Состав защиты информации от несанкционированного действия

1 . Постановление Правительства России от 15 сентября 2008 г № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

2 ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения.

3 Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14 февраля 2016 г