Защита информационной системы от несанкционированного доступа.
Опасное воздействие на информационную систему можно подразделить
-
Случайное -
-
Преднамеренное
Причинами случайных воздействий при эксплуатации информационной системы могут быть аварийные ситуации из-за стихийных бедствий и отключений электропитания/отказы и сбои аппаратуры/ошибки в программном обеспечении/ошибки в работе персонала/помехи в линиях связи из-за воздействия внешней среды.
Преднамеренное воздействие - целенаправленное действие нарушителя, в качестве нарушителя могут выступать служащие, посетители, конкуренты, наемник.
Действия нарушителя могут быть обусловлены разными мотивами:
-
Недовольство служащего своей карьерой;
-
Взяткой
-
Конкурентной борьбой
-
Стремлением самоутвердиться любой ценой
-
И иные
Гипотетическая модель потенциального нарушителя:
-
Квалификация нарушителя на уровне разработчика данной системы
-
Нарушителем может быть как постороннее лицо, так и законный пользователь системы.
-
Нарушителю известна информация о принципах работы системы.
-
Нарушитель выбирает наиболее слабое звено в защите.
Наиболее распространенным видом компьютерных нарушений является несанкционированный доступ к информации.
Несанкционированный доступ - это чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.
К перечню каналов несанкционированного доступа относятся:
-
Через человека
-
Хищение носителя информации
-
Чтение информации с экрана/клавиатуры
-
Чтение информации из распечатки
-
-
Через программы
-
Копирование информации с носителя
-
Перехват паролей
-
Дешифровка зашифрованной информации
-
-
Через аппаратуру
-
Подключение спец. Средств
-
Перехват побочных излучений, фотоаппаратуры, линий связи и сетей электропитания
-
Для защиты информации применяются организационные мероприятия, технические средства, программные средства и криптография.
Организационные мероприятия - пропускной режим/ограничение доступа лиц в компьютерное помещение/хранение носителей и устройств в сейфе.
Технические средства - фильтры и экраны на аппаратуру/ключи для блокировки клавиатуры/устройства аутентификации для чтения отпечатков пальцев, радужки глаз, скорости и приемов работы на клавиатуре/ электронные ключи на микросхемах.
Программные средства- парольный доступ/ блокировка экрана и клавиатуры с помощью комбинации клавиш/ использование средств парольной защиты на BIOS.
Криптографический способ - ее шифрование при вводе и выводе в компьютерную систему/ цифровая подпись.
Системы защиты конфиденциальной информации:
Категории конфиденциальной информации
Состав сведений, составляющих конфиденциальную информацию должен приводиться в документе, который называется перечень сведений ограниченного распространения, который утверждается руководителем организации.
В коммерческих организациях можно выделить категории данной информации
-
Сведения составляющие коммерческую тайну организации
-
Персональные данные сотрудников организации
-
Сведения, составляющие конфиденциальную информацию третьих лиц ( партнеров, клиентов, подрядчиков)
Предметом зашиты коммерческой информации являются все особенности и детали коммерческой деятельности компании, деловые связи, закупка сырья и материалов, сведения о поставщиках, предполагаемые прибыли, методика установления цен, результаты маркетинговых исследований.
Система предотвращения утечки конфиденциальной информации состоит из
-
Работа с персоналом
-
Политика безопасности
-
Сервисы безопасности
работа с персоналом:
Основным источником утечки информации из организации является ее персонал, который способен свести на нет все самые изощренные способы защиты.
Основные принципы и правила управления персоналом, с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17799:2000
Соблюдение этих правил помогает существенно снизить влияние человеческого фактора, избежать характерных ошибок и предотвратить утечку информации.
При работе с персоналом необходимо соблюдать требования
-
Ответственность за информационную безопасность должна быть включена в должностные инструкции сотрудника
-
Должны выполняться проверки сотрудников при приеме на работу
-
При приеме на работу необходимо подписание соглашения о неразглашении конфиденциальной информации
Меры пресечения
На основании статьи 192 ТК, сотрудники, нарушившие требования политики информационной безопасности могут быть подвержены дисциплинарному взысканию.
Сотрудники несут материальную ответственность в пределах своего месячного заработка, а за умышленное разглашение сведений, составляющих коммерческую тайну, сотрудники несут ответственность в полном размере причиненного ущерба. 243
В основе системы защиты информации на предприятии должны лежать внутренние нормативные документы, написанные в соответствии с международным стандартом:
-
Правило работы пользователей в корпоративной сети
-
Руководство по защите конфиденциальной информации
-
Инструкция по защите от компьютерных вирусов
-
Правила использования мобильных устройств для работы в корпоративной сети
-
Правила работы в сети интернет.
Основные правила обращения с конфиденциальной информацией:
-
Маркирование документов - все документы, содержащие конфиденциальную информацию должны иметь соответствующий гриф
-
Закрытое обсуждение - не обсуждать конфиденциальную информацию в присутствии посторонних лиц или в общественных местах, в том числе в столовой или курилке.
-
Шифрование - электронный обмен конфиденциальной информацией с внешними респондетнами должен вестись в зашифрованном виде.
-
Использование соглашения о конфиденциальности - Передача сведений, содержащих конфиденциальную информацию третьей стороне должна выполняться только после заключения подобного соглашения.
-
Ограничение доступа к информации - требования не хранить электронные документы, содержащие конфиденциальную информацию в общедоступных местах.
-
Информирование - Требуется не только владеть методами защиты информации, но и следить за их выполнением другими сотрудниками и обо всех фактах утечки информации следует незамедлительно сообщать.
Информационные технологии в юриспруденции (лекция от 6.12.12) |
Система электронного документооборота (продолжение)
Классификация систем электронного документооборота
-
Системы с развитыми средствами хранения и поиска информации (электронные архивы) - предназначен для эффективного хранения и поиска информации.
-
Системы с развитыми средствами управления потоками.
-
Системы ориентированные на поддержку управления организаций и накопление знаний. - эти системы активно используются в государственных структурах управления.
-
Системы ориентированные на поддержку совместной работы - сервисы хранения и публикации документов в интранет. Используются в коммерческих компаниях и крупных фирмах.
Основные системы электронного документооборота, используемые в России.
-
Docs Open - самый популярный электронный архив. Эффективно применяется как в крупных организациях, так и в небольших фирмах. Реализована на архитектуре "клиент-сервер" и не предназначена для территориально-распределенных организаций.
-
Documentum - включает в себя маршрутизацию, утверждение, распределение, уведомление и контроль исполнения. Недостаток - высокая стоимость внедрения. Поэтому используется преимущественно в крупных корпорациях.
-
Босс-Референт - разработана компанией "IТ". Относится к категории систем, ориентированных на поддержку управления организацией, эффективной работы сотрудников и накопление знаний. В ней реализованы функции контроля договоров, учет материальных ценностей, потоковое сканирование и распознавание, автоматизация деятельности бюро пропусков и генератор отчетов.
-
Дело - разработчик - компания "Электронные офисные системы" эта система интересна для организаций, в которых необходимо внедрить централизованное делопроизводство для канцелярии, секретариата и общих отделов. Функции хранения и контроля исполнения.
-
Евфрат - выполнена по архитектуре "Клиент-сервер" и представляет собой средство сканирования, распознавания, регистрации документов и полнотекстового поиска. В ней реализована функция контроля исполнения задания.
Правовая статистика.
Предметом правовой статистики служат количественная сторона качественно-однородных, массовых правовых и юридически-значимых явлений.
В составе правовой статистики выделяются 3 правовые части
-
Уголовно-правовая статистика
-
Объект - количественная сторона преступности, судимости и мероприятия по ее предупреждению.
-
Гражданско-правовая статистика
-
Задача - учет гражданско-правовых споров, находящихся на рассмотрении арбитражных судов и судов общей юрисдикции
-
Административно-правовая статистика
-
Объект - количественная сторона административных нарушений, по видам, причиненному ущербу и мероприятиям по борьбе с ними.
Самостоятельным разделом правовой статистики является статистика прокурорского надзора.
Отличают три метода правовой статистики.
-
Массовое статистическое наблюдение
-
Сводка и группировка
-
Обобщение и анализ собранных и сгруппированных данных, на основе применения обобщающих статистических показателей.
Статистический анализ позволяет выявить причинно-следственные связи, установить закономерности и зависимости и оценить эффективность борьбы с преступностью.
Наиболее распространенным способом изображения статистической информации являются диаграммы.
-
Линейные диаграммы применяются для характеристики динамики, изменения, и оценки выполнения плановых заданий.
-
Статистические карты представляют собой графические изображения статистических данных на схематических контурных картах.
-
Картограмма - план местности на которой штриховкой различной частоты и расцветки показывается сравнительная интенсивность, какого показателя в пределах каждой единицы территориального деления.