Смекни!
smekni.com
Остальные рефераты

«Защита персональных данных» (стр. 4 из 5)

Для аутентификации субъекта чаще всего используются атрибутивные идентификаторы, которые делятся на следующие категории:

- пароли;

- съемные носители информации;

- электронные жетоны;

- пластиковые карты;

- механические ключи.

Одним из надежных способов аутентификации является биометрический принцип, использующий некоторые стабильные биометрические показатели пользователя, например, отпечатки пальцев, рисунок хрусталика глаза, ритм работы на клавиатуре и др. Для снятия отпечатков пальцев и рисунков хрусталика требуются специальные устройства, которые устанавливаются на компьютерных системах высших уровней защиты.

2) Проверка прав доступа субъекта к объекту – в модель информационной безопасности введены определения объекта и субъекта доступа. Каждый объект имеет некоторые операции, которые над ним может производить субъект доступа, и которые могут быть разрешены или запрещены данному субъекту или множеству субъектов. Возможность доступа обычно выясняется на уровне операционной системы компьютерной системы и определяется архитектурой операционной системы и текущей политикой безопасности.

Существует несколько моделей разграничения доступа. Наиболее распространенными являются:

- дискреционная модель разграничения доступа;

- полномочная (мандатная) модель разграничения доступа;

Дискреционная модель, или избирательное разграничение доступа, характеризуется следующим набором правил:

- для любого объекта существует владелец;

- владелец может произвольно ограничивать доступ субъектов к данному объекту;

- для каждой тройки субъект – объект – метод возможность доступа определена однозначно;

- существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.

В этой модели для определения прав доступа используется матрица доступа, строки которой – субъекты, а столбцы – объекты. В каждой ячейке хранится набор прав доступа данного субъекта к данному объекту. Типичный объем матрицы доступа для современной операционной системы составляет десятки мегабайт.

Полномочная (мандатная) модель характеризуется следующим набором правил:

- каждый объект имеет гриф секретности. Чем выше его числовое значение, тем секретнее объект;

- каждый субъект доступа имеет уровень допуска.

Допуск субъекта к объекту в этой модели разрешен только в том случае, если субъект имеет значение уровня допуска не менее, чем значение грифа секретности объекта. Достоинством этой модели являются отсутствие необходимости хранить большие объемы информации о разграничении доступа. каждый субъект хранит только значение своего уровня доступа, а каждый объект – значение своего грифа секретности.

3) Ведение журнала учета действий субъекта – политика безопасности предполагает контроль за работой компьютерных систем и ее компонентов, который заключается в фиксировании и последующем анализе событий в специальных журналах – журналах аудита. Периодически журнал просматривается администратором операционной системы или специальным пользователем – аудитором, которые анализируют сведения, накопленные в нем.

2.2.2. Криптографические методы защиты данных

Криптографические методы являются наиболее эффективными средствами защиты информации в автоматизированных системах, при передаче же по протяженным линиям связи они являются единственным реальным средством предотвращения несанкционированного доступа к ней. Метод шифрования характеризуется показателями надежности и трудоемкости.

Важнейшим показателем надежности криптографического закрытия информации является его стойкость – тот минимальный объем зашифрованного текста, который можно вскрыть статистическим анализом. Таким образом, стойкость шифра определяет допустимый объем информации, зашифровываемый при использовании одного ключа.

Шифрование – процесс преобразования открытого сообщения в шифрованное сообщение (криптограмму, шифртекст) с помощью определенных правил, содержащихся в шифре.

Трудоемкость метода шифрования определяется числом элементарных операций, необходимых для шифрования одного символа исходного текста.

На рис. 2 показана схема основных методов криптографического закрытия информации.[15]

Основные требования к криптографическому закрытию информации:

1. Сложность и стойкость криптографического закрытия данных должны выбираться в зависимости от объема и степени секретности данных.

2. Надежность закрытия должна быть такой, чтобы секретность не нарушалась даже в том случае, когда злоумышленнику становится известен метод шифрования.

3. Метод закрытия, набор используемых ключей и механизм их распределения не должны быть слишком сложными.

4. Выполнение процедур прямого и обратного преобразований должно быть формальным. Эти процедуры не должны зависеть от длины сообщений.

5. Ошибки, возникающие в процессе преобразования, не должны распространяться по всему тексту.

6. Вносимая процедурами защиты избыточность должна быть минимальной.

Рис. 2. Классификация основных методов криптографического закрытия

2.3. Контроль защиты информации

С целью взаимопонимания между руководством фирмы и работником всех рангов, а также службе безопасности для защиты конфиденциальной информации следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основные формы контроля:

· аттестация работников;

· отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;

· регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации;

· самоконтроль.

При работе с персоналом фирмы необходимо уделять внимание не только сотрудникам, работающим с конфиденциальной информацией. Под контролем должны находиться и лица, не имеющие доступа к секретам фирмы. Также необходимо учитывать, что эти работники могут быть посредниками в действиях злоумышленника.

Кроме того, нужно всегда помнить, что работники, владеющие конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Необходимо сделать так, чтобы психологический настрой коллектива и отдельных работников всегда находился в центре внимания руководства фирмы и службы безопасности.

В случае установления фактов невыполнения любым из руководителей или работников требований по защите информации к ним обязательно должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Очень важно, чтобы наказание было обязательным и своевременным, не взирая на должнос тной уровень работника и его взаимоотношения с руководством фирмы.

Одновременно с виновным лицом ответственность за разглашение сведений, являющихся секретами фирмы, несут руководители фирмы и ее структурных подразделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы.

По фактам разглашения или утечки конфиденциальной информации, а также другим грубым нарушениям правил защиты информации организуется служебное расследование.

Данное расследование проводит специальная комиссия, которая формируется приказом первого руководителя фирмы. Расследование необходимо для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба.

План проведения служебного расследования:

· определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разгла шение и т.д.);

· определение конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);

· назначение ответственных лиц за проведение каждого мероприятия;

· указание сроков проведения мероприятия;

· определение порядка документирования;

· обобщение и анализ выполненных действий по всем мероприятиям;

· установление причин утраты информации, виновных лиц, вида и объема ущерба;

· передача материалов служебного расследования с заключительными вывода ми первому руководителю фирмы для принятия решения.

При проведении служебного расследования все мероприятия в обязательном порядке документируются с целью последующего комплексного анализа выявленного факта. Обычно анализируются следующие виды документов:

· письменные объяснения опрашиваемых лиц, составляемые в произвольной форме;

· акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и Дата;

· другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.).

Служебное расследование проводится в очень краткие сроки. По результатам анализа составляется заключение о результатах проведенного служебного расследования, в нем очень подробно описы вается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего.[16]

2.4. Ответственность за нарушение правил работы с персональными данными

Статья 90 ТК РФ предусматривает ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может нести дисциплинарную, административную, гражданско-правовую и уголовную ответственность.

 
назад
читать дальше
1
2
3
4
5
НАПИШИТЕ НАМ
Copyright © Smekni.com. All rigths reserved.