2.3.2 Меры защиты информационной безопасности
Необходимо:
1. Контролировать доступ как к информации в компьютере, так и к прикладным программам. Необходимо иметь иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям.
Идентификация пользователей
- требуйте, чтобы пользователи выполняли процедуры входа в компьютер, и используйте это как средство для идентификации в начале работы. Чтобы эффективно контролировать микрокомпьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему. Обычно у микрокомпьютера нет процедур входа в систему, право использовать систему предоставляется простым включением компьютера.
Аутентификация пользователей
- используйте уникальные пароли для каждого пользователя, которые не являются комбинациями личных данных пользователей, для аутентификации личности пользователя. Внедрите меры защиты при администрировании паролей, и ознакомьте пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению..
Другие меры защиты:
-пароли - только один из типов идентификации - что-то, что знает только пользователь. Двумя другими типами идентификации, которые тоже эффективны, являются что-то, чем владеет пользователь( например, магнитная карта), или уникальные характеристики пользователя(его голос).
Если в компьютере имеется встроенный стандартный пароль( пароль, который встроен в программы и позволяет обойти меры по управлению доступом), обязательно измените его. Сделайте так, чтобы программы в компьютере после входа пользователя в систему сообщали ему время его последнего сеанса и число неудачных попыток установления сеанса после этого. Это позволит сделать пользователя составной частью системы проверки журналов.
Защищайте ваш пароль:
- не делитесь своим паролем ни с кем;
- выбирайте пароль трудно угадываемым;
- попробуйте использовать строчные и прописные буквы, цифры, или выберите знаменитое изречение и возьмите оттуда каждую четвертую букву. А еще лучше позвольте компьютеру самому сгенерировать ваш пароль;
- не используйте пароль, который является вашим адресом, псевдонимом, именем жены, телефонным номером или чем-либо очевидным.
- используйте длинные пароли, так как они более безопасны, лучше всего от 6 до 8 символов;
- обеспечьте неотображаемость пароля на экране компьютера при его вводе;
-обеспечьте отсутствие паролей в распечатках
не записывайте пароли на столе, стене или терминале. Держите его в памяти
Серьезно относитесь к администрированию паролей:
- периодически меняйте пароли и делайте это не по графику;
- шифруйте или делайте что-нибудь еще с файлами паролей, хранящимися в компьютере, для защиты их от неавторизованного доступа;
- назначайте на должность администратора паролей только самого надежного человека;
- не используйте один и тот же пароль для всех сотрудников в группе
меняйте пароли, когда человек увольняется;
- заставляйте людей расписываться за получение паролей
установите и внедрите правила работы с паролями и обеспечьте, чтобы все знали их;
Процедуры авторизации
- разработайте процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям - и используйте соответствующие меры по внедрению этих процедур в организации;
- установите порядок в организации, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля требуется разрешение тех или иных начальников;
Защита файлов
Помимо идентификации пользователей и процедур авторизации разработайте процедуры по ограничению доступа к файлам с данными:
- используйте внешние и внутренние метки файлов для указания типа информации, который они содержат, и требуемого уровня безопасности;
- ограничьте доступ в помещения, в которых хранятся файлы данных, такие как архивы и библиотеки данных;
- используйте организационные меры и программно-аппаратные средства для ограничения доступа к файлам только авторизованных пользователей;
Предосторожности при работе:
- отключайте неиспользуемые терминалы;
- закрывайте комнаты, где находятся терминалы;
- разворачивайте экраны компьютеров так, чтобы они не были видны со стороны двери, окон и тех мест в помещениях, которые не контролируются;
- установите специальное оборудование, такое как устройства, ограничивающие число неудачных попыток доступа, или делающие обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру программируйте терминал отключаться после определенного периода неиспользования если это возможно, выключайте систему в нерабочие часы.
2. Необходимо защищайте целостность информации. Вводимая информация должна быть авторизована, полна, точна и должна подвергаться проверкам на ошибки.
Целостность информации:
- проверяйте точность информации с помощью процедур сравнения результатов обработки с предполагаемыми результатами обработки. Например, можно сравнивать суммы или проверять последовательные номера;
- проверяйте точность вводимых данных, требуя от служащих выполнять проверки на корректность, такие как:
- проверки на нахождение символов в допустимом диапазоне символов(числовом или буквенном)
- проверки на нахождение числовых данных в допустимом диапазоне чисел
- проверки на корректность связей с другими данными, сравнивающими входные данные с данными в других файлах
- проверки на разумность, сравнивающие входные данные с ожидаемыми стандартными значениями
- ограничения на транзакции, сравнивающие входные данные с административно установленными ограничениями на конкретные транзакции
Трассируйте транзакции в системе:
- делайте перекрестные проверки содержимого файлов с помощью сопоставления числа записей или контроля суммы значений поля записи.
3. Необходимо защищать системные программы. Если ПО используется совместно, защищайте его от скрытой модификации при помощи политики безопасности, мер защиты при его разработке и контроле за ним в его жизненном цикле, а также обучения пользователей в области безопасности.
Меры защиты при разработке программ и соответствующие политики должны включать процедуры внесения изменений в программу, ее приемки и тестирования до ввода в эксплуатацию. Политики должны требовать разрешения ответственного лица из руководства для внесения изменений в программы, ограничения списка лиц, кому разрешено вносить изменения и явно описывать обязанности сотрудников по ведению документации.
Должен быть разработан и поддерживаться каталог прикладных программ.
Должны быть внедрены меры защиты по предотвращению получения, изменения или добавления программ неавторизованными людьми через удаленные терминалы.
4. Сделайте меры защиты более адекватными с помощью привлечения организаций, занимающихся тестированием информационной безопасности, при разработке мер защиты в прикладных программах и консультируйтесь с ними при определении необходимости тестов и проверок при обработке критических данных. Контрольные журналы, встроенные в компьютерные программы, могут предотвратить или выявить компьютерное мошенничество и злоупотребление.
Должны иметься контрольные журналы для наблюдения за тем, кто из пользователей обновлял критические информационные файлы
Если критичность информации, хранимой в компьютерах, требует контрольных журналов, то важны как меры физической защиты, так и меры по управлению доступом.
В компьютерной сети журналы должны храниться на хосте, а не на рабочей станции.
Контрольные журналы не должны отключаться для повышения скорости работы.
Распечатки контрольных журналов должны просматриваться достаточно часто и регулярно.
5. Необходимо рассмотреть вопрос о коммуникационной безопасности. Данные, передаваемые по незащищенным линиям, могут быть перехвачены.
Физическая безопасность.
Традиционная безопасность: замки, ограждение и охрана.
Физическая безопасность означает лишь содержание компьютера и информации в нем в безопасности от физических опасностей с помощью замков на входах в помещение, где он находится, строительства ограждения вокруг зданий и размещения охраны вокруг помещения. Но физическая безопасность сейчас изменилась из-за современной компьютерной среды - среды, которая часто представляет собой офис с большим числом персональных ЭВМ или терминалов. Физическая безопасность связана с внедрением мер защиты, которые защищают от стихийных бедствий(пожаров, наводнений, и землетрясений), а также всяких случайных инцидентов. Меры физической безопасности определяют, каким будет окружение компьютера, вводимые данные, и результаты обработки информации. Помимо помещений, где размещено компьютерное оборудование, окружение включает в себя библиотеки программ, журналы, магнитные носители, помещения для архивов, и помещения для ремонта техники. Меры физической защиты должны отвечать требованиям современной действительности и сочетать эффективность с невысокой ценой. Например, установка дорогой противопожарной системы может быть необходимой для защиты большого компьютера, обрабатывающего критические данные, но оказаться неоправданно дорогой при защите одной персональной ЭВМ.
Меры физической безопасности
1. Предотвратить злонамеренные разрушения, неавторизованное использование или кражу. ПЭВМ могут быть заперты в комнатах и доступ к ним может быть ограничен с помощью устройств блокировки клавиатуры и т.п. Удостоверьтесь, что люди соблюдают свои обязанности по использованию компьютеров и их можно проконтролировать.
2. Стихийные бедствия могут нанести большой ущерб как большим, так и маленьким компаниям.
Примите меры по предотвращению, обнаружению и минимизации ущерба от пожара, наводнения, загрязнения окружающей среды, высоких температур и скачков напряжения. Защищайте ПЭВМ с помощью кожухов, чтобы они не были повреждены системой пожаротушения. Не храните горючие материалы в этих помещениях.
Статическое электричество может очистить память в ПЭВМ. Антистатические коврики могут предотвратить это.
Скачки напряжения могут очистить память, изменить программы и разрушить микросхемы. Устройство бесперебойного питания( УБП) дает достаточно времени, чтобы отключить компьютер без потери данных.
Температура в помещении может контролироваться кондиционерами и вентиляторами, а также хорошей вентиляцией в помещении. Проблемы с чрезмерно высокой температурой могут возникнуть в стойках периферийного оборудования или из-за закрытия вентиляционного отверстия в терминалах или ПЭВМ.
Воздушные фильтры могут очистить воздух от вредных веществ в нем, которые могут нанести вред компьютерам и дискам. Следует запретить курить возле ПЭВМ.
Размещайте компьютеры подальше от того, что может явиться источником большого количества воды, например трубопроводов, обычно затапливаемых помещений или не используйте систему пожаротушения, если есть другие способы защиты от пожара.
Держите еду и напитки подальше от компьютера.
3. Защищайте все носители информации( исходные документы, ленты, картриджи, диски, распечатки)
4. Удостоверьтесь, что существуют адекватные планы действий при ЧП(планы обеспечения непрерывной работы). Помните, что целью этих планов являются гарантии того, что пользователи смогут продолжать выполнять самые главные свои обязанности в случае невозможности работы по информационной технологии.
Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
невозможность миновать защитные средства; усиление самого слабого звена;
невозможность перехода в небезопасное состояние;
минимизация привилегий; разделение обязанностей;
эшелонированность обороны; разнообразие защитных средств;
простота и управляемость информационной системы; обеспечение всеобщей поддержки мер безопасности.
- Автономная некоммерческая организация
- Содержание:
- 2. Характеристика системы "человек - среда обитания"
- 3. Влияние микроорганизмов на жизнедеятельность организма человека
- 4. Роль флоры и фауны в жизнедеятельности человека
- 5. Влияние социальных, духовных и политических факторов на жизнедеятельность человека
- 6. Мотивация риска
- 7. Методы и средства обеспечения безопасной деятельности
- 8. Основные причины деградации окружающей среды
- 9. Современное состояние биосферы. Ноосфера - эволюционное состояние биосферы
- Тема 2. Взаимодействие человека и техносферы. План
- 1. Различные условия нахождения потоков энергии, веществ и информации.
- 2. Опасности.
- 3. Объекты защиты.
- 4. Проблемы в системах безопасности.
- 5.Задачи, связанные с обеспечением безопасности жизнедеятельности человека.
- Тема 3. Теоретические основы учения о безопасности жизнедеятельности человека План
- Возникновение учений о безопасности жизнедеятельности
- 2. Цель изучения науки о безопасности жизнедеятельноcти
- 3. Ноксология – наука об опасностях
- 4. Закон толерантности
- Раздел II. Управление безопасностью жизнедеятельности
- Тема 4. Управление безопасностью жизнедеятельности План
- 1. Обеспечение безопасности жизнедеятельности
- 2. Основные законодательные акты и нормативные документы
- 3. Надзор и контроль за соблюдением законодательства о труде и о безопасности труда.
- 4. Стандартизация в области безопасности труда
- 4. Расследование и учет несчастных случаев
- 5. Эффективность мероприятий по обеспечению безопасности на производстве
- 7. Принципы построения и функционирования системы управления безопасностью труда
- Тема 3. Единая государственная система предупреждения и ликвидации последствий чрезвычайных ситуаций (рсчс ) и гражданской обороны (го) План
- 1. Единая государственная система предупреждения и ликвидации последствий чрезвычайных ситуаций (рсчс)
- 2. Гражданская оборона (го), её роль и место в Российской Федерации.
- 2.2 Понятия го
- 2.3 Организация и ведение го.
- 3. Основы государственной политики в го. Принципы организации ведения го
- 4. Степени готовности го и их краткая характеристика
- Раздел III. Основы физиологии труда и комфортные условия жизни
- Тема 4.Основы физиологии труда и комфортные условия жизни План
- 1. Анализаторы человеческого организма.
- 2. 1 Виды деятельности человека
- 2.2 Физический и умственный труд
- 2.3 Физиологические изменения в организме при работе
- 3. Понятие микроклимата, его параметры.
- 3.1 Общие требования к параметрам микроклимата
- 3.2 Терморегуляция организма
- 3.3 Методы и приборы измерения параметров микроклимата
- Аспирационный психрометр
- Дистанционный психрометр
- Крыльчатый анемометр -
- Термоанемометр по своей сути является акустическим прибором, то есть использует определение характеристик звука (а именно скорость звука), а затем эту информацию преобразует в нужный сигнал.
- 5. Общие санитарно - технические требования к производственным помещениям и рабочим местам
- 6. Приемы и способы создания комфортных условий для работы в производственных помещениях.
- 7. Порядок организации оптимального освещения рабочих мест, способы определения качества естественного освещения и коэффициента освещенности
- Раздел IV. Воздействие на человека вредных и опасных факторов среды обитания
- 1.2 Повседневные абиотические факторы
- 1.3 Литосферные опасности
- 1.3.1 Землетрясение
- 1.3.2 Сели
- 1.3.3 Снежные лавины
- 1.3.4 Извержение вулканов
- 1.3.5 Оползни
- 1.4 Гидросферные опасности
- 1.4.1 Наводнения
- 1.4.2 Цунами
- 1.5 Атмосферные опасности
- 1.6 Космические опасности
- 1.2 Природные пожары
- 1.2.1 Понятие «пожар» и «пожарная безопасность».
- 1.2.2 Причины возникновения пожаров.
- Источники возникновения лесных пожаров. Основными источниками (местами возникновения) антропогенных пожаров являются:
- 1.2.3 Лесные пожары в России.
- Лесные пожары - одна из серьезнейших проблем российских лесов.
- 1.2.4 Приемы и средства ликвидации последствий лесных пожаров.
- 1.3. Массовые заболевания. Правила поведения населения при проведении изоляционно - ограничительных мероприятий
- 3.1 Массовые заболевания
- 1.3.2 Противоэпидемические и санитарно-гигиенические мероприятия в очаге бактериального заражения
- 1.3.3 Правила поведения населения при проведении изоляционно - ограничительных мероприятий
- 2. Техногенные опасности.
- 2.1 Вредные вещества.
- 2.1.1 Показатели токсичности химических веществ
- 4.1.2 Факторы, определяющие токсическое действие химических веществ
- 2.1.3 Гигиеническое регламентирование химических факторов среды обитания
- 2.1.4 Классификация промышленных ядов по характеру действия на организм человека
- 2.1.5. Комбинированное действие промышленных ядов
- 2.1.6 Пути поступления ядов в организм
- 2.1.7. Распределение ядов в организме, превращение и выведение
- 2.1.8. Оценка реальной опасности химических веществ
- 2.1.9. Защита от воздействия вредных веществ
- 2.2 Вибрация
- 2.3 Акустический шум
- 2.3.1 Акустические загрязнения
- 2.4 Инфразвук
- 2.4.1 Инфразвук в нашем повсевдневном окружении
- 2.4.2 Технотронные методики
- 2.4.3 Исследования медиков в области влияния на человека инфразвука.
- 2.4.4 Некоторые меры борьбы с инфразвуком
- 2.5 Электромагнитные поля и излучения
- 2.5.1 Воздействие электромагнитных полей
- 2.5.2 Воздействие электромагнитного излучения
- 2.6 Лазерное излучение
- 2.7 Электрический ток
- 2.7.1 Условия существования электрического тока
- 2.7.2 Основы электробезопасности
- 2.8 Механическое воздействие
- 2.8.1 Классификация и характеристика чрезвычайных ситуаций техногенного характера.
- 3.Защита и действия населения
- 3.1 Мероприятия по защите населения
- 3.1.1 Оповещение
- 3.1.2 Эвакуационные мероприятия
- 3.1.3 Укрытие населения в защитных сооружениях
- 3.2 Медицинские мероприятия по защите населения
- Тема 8. Основы социальной, медицинской и пожарной безопасности План
- 1. Виды социальных опасностей проживания человека в городских условиях
- 2. Виды психического воздействия на человека и защита от них
- 2.1 Защита от опасностей, связанных с физическим насилием
- 2.1.1 Насилие над детьми
- 2.1.2 Суицид
- 2.1.3 Сексуальное насилие
- 2.2 Психическое состояние человека, его безопасность.
- 2.2.1 Определение психических состояний
- 2.2.2 Типичные положительные психические состояния человека
- 2.2.3 Отрицательные психические состояния
- 2.2.4 Персеверация и ригидность
- 2.2.5 Основы информационной безопасности
- 2.2.4 Меры защиты: четыре уровня защиты
- 2.3 Основы информационной безопасности
- 2.3.1 Информационная безопасность
- 2.3.2 Меры защиты информационной безопасности
- 3. Оказание первой доврачебной помощи
- 3.1. Оказание первой помощи
- 3.1.2 Искусственное дыхание и непрямой массаж сердца
- 3.1.3 Остановка кровотечения
- 3.1.4 Наиболее распространенные виды травм, их симптомы и оказание первой помощи
- 3.1.5 Оказание первой доврачебной помощи при переломах, вывихах, ушибах и растяжении связок
- 3.1.5 Оказание первой доврачебной помощи при химических отравлениях
- 3.1.6 Оказание первой доврачебной помощи при поражении электрическим током
- 3.1.7 Учреждения, оказывающие первую медицинскую помощь
- 4. Основы пожарной безопасности
- 4.1 Основные нормативные документы, регламентирующие требования пожарной безопасности
- 4.2 Организационные противопожарные мероприятия по обеспечению пожарной безопасности в зданиях и помещениях с массовым пребыванием людей
- 4.3.Первичные средства пожаротушения
- 4.3.1 Огнетушащие свойства воды
- 4.3.2 К первичным средствам пожаротушения относятся:
- 4.3.3 Огнетушители
- 4.3.4 Оказание доврачебной помощи при пожаре
- Раздел V. Безопасность населения и территорий в чрезвычайных ситуациях
- 1. Транспортные аварии
- 2.Внезапное обрушение сооружений и зданий
- 2. Чрезвычайные ситуации природного характера
- Природные пожары.
- 3. Возможный характер будущей войны
- 4. Понятие оружия массового поражения.
- 4.1 Ядерное оружие
- 4.2 Химическое оружие
- 4.3 Бактериологическое (биологическое) оружие
- 5. Основные способы защиты населения
- 6. Основы организации аварийно-спасательных работ при ликвидации последствий чрезвычайных обстоятельств
- Раздел VI. Экстремальные ситуации криминального характера
- Тема 10. Основы безопасности жизнедеятельности в городских условиях План
- 1. Общая классификация опасностей (признаки и виды).
- 2. Источники опасностей.
- 3. Естественные опасности
- 4. Техногенные опасности
- 5. Антропогенные опасности
- 6. Система обеспечения безопасности
- Тема 11. Основы личной безопасности от преступлений террористического характера План
- Терроризм и его виды
- 1.2. Формы терроризма
- 1.2.1 Меры защиты при проведении террористических актов
- 1.2.2 Угон воздушного судна и иное преступное вмешательство в деятельность гражданской авиации
- 1.2.3 Захват и угон морского судна, и иное преступное вмешательство в деятельность международного судоходства
- 1.2.4 Захват заложников
- Необходимо усвоить следующие правила:
- 1.2.5 Иные формы терроризма
- 1.2.6 Причины терроризма
- 2. Нападение на особо опасные объекты.
- 2.1 Категория опасных объектов
- 2.2 Обеспечение антитеррористической защищенности промышленных объектов и объектов инфраструктуры