Основы информационной и компьютерной
БЕЗОПАСНОСТИ
Если говорить о проблемах компьютерной безопасности, то просматриваются несколько аспектов, а именно: информационная безопасность, безопасность самого компьютера и организация безопасной работы человека с компьютерной техникой.
15.1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Важно уметь не только работать на компьютере, но и защитить ваши документы от чужих глаз.
Абсолютной защиты быть не может. Бытует такое мнение: установил защиту и можно ни о чем не беспокоиться. Полностью защищенный компьютер — это тот, который стоит под замком в бронированной комнате в сейфе, не подключен ни к какой сети (даже электрической) и выключен. Такой компьютер имеет абсолютную защиту, однако использовать его нельзя.
Первой угрозой безопасности информации можно считать некомпетентность пользователей. Если мы говорим об информации, хранящейся в компьютере на рабочем месте, то также серьезную угрозу представляют сотрудники, которые чем-либо не довольны, например зарплатой.
Это интересно
В 1996 г. Федеральное бюро расследований совместно с Институтом компьютерной безопасности США провело исследование, результаты которого свидетельствуют о том, что почти в половине всех известных случаев попытки проникновения к информации в организации предпринимались внутри самой организации.
Одна из проблем подобного рода — это так называемые слабые пароли. Пользователи для лучшего запоминания выбирают легко угадываемые пароли. Причем проконтролировать сложность пароля невозможно. Другая проблема — пренебрежение требованиями
338
безопасности. Например, опасно использовать непроверенное или пиратски изготовленное программное обеспечение. Обычно пользователь сам «приглашает» в систему вирусы и «троянских коней».
Чем шире развивается Интернет, тем больше возможностей для нарушения безопасности наших компьютеров, даже если мы и не храним в них сведения, содержащие государственную или коммерческую тайну. Нам угрожают хулиганствующие хакеры, рассылающие вирусы, чтобы просто позабавиться; бесконечные любители пожить за чужой счет; нам угрожают наша беспечность (ну что стоит раз в день запустить антивирус!) и беспринципность (как же отказаться от дешевого пиратского ПО, возможно, зараженного вирусами?).
За последнее время в Интернете резко увеличилось число вирусных, а также «шпионских» программ типа «троянского коня» и просто краж паролей нечистоплотными пользователями.
15.1.1. Безопасность в информационной среде
Любая технология на каком-то этапе своего развития приходит к тому, что соблюдение норм безопасности становится одним из важнейших требований. И лучшая защита от нападения — не допускать нападения. Не стоит забывать, что мешает работе не система безопасности, а ее отсутствие.
С точки зрения компьютерной безопасности каждое предприятие обладает своим собственным корпоративным богатством — информационным. Его нельзя спрятать, оно должно активно работать. Средства информационной безопасности должны обеспечивать содержание информации в состоянии, которое описывается тремя категориями требований: доступность, целостность и конфиденциальность. Основные составляющие информационной безопасности сформулированы в Европейских критериях, принятых ведущими странами Европы:
• доступность информации — обеспечение готовности систе-мы к обслуживанию поступающих к ней запросов;
• целостность информации — обеспечение существования ин-формации в неискаженном виде;
• конфиденциальность информации — обеспечение доступа кинформации только авторизованному кругу субъектов.
15.1.2. Классификация средств защиты
Классификацию мер защиты можно представить в виде трех уровней.
Законодательный уровень. В Уголовном кодексе РФ имеется глава 28. Преступления в сфере компьютерной информации. Она содержит три следующих статьи: •••• •
339
статья 272. Неправомерный доступ к компьютерной информа-
ции;
статья 273. Создание, использование и распространение вредо-
носных программ для ЭВМ; статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Административный и процедурный уровни. На административном и процедурном уровнях формируются политика безопасности и комплекс процедур, определяющих действия персонала в штатных и критических ситуациях. Этот уровень зафиксирован в руководящих документах, выпущенных Гостехкомиссией РФ и ФАПСИ.
Программно-технический уровень. К этому уровню относятся программные и аппаратные средства, которые составляют технику информационной безопасности. К ним относятся и идентификация пользователей, и управление доступом, и криптография, и экранирование, и многое другое.
И если законодательный и административный уровни защиты не зависят от конкретного пользователя компьютерной техники, то программно-технический уровень защиты информации каждый пользователь может и должен организовать на своем компьютере.
15.1.3. Программно-технический уровень защиты
Не будем рассматривать существующие сложные программноаппаратные криптографические комплексы, ограничивающие доступ к информации за счет шифров, а также программы тайнописи, которые могут «растворять» конфиденциальные материалы в объемных графических и звуковых файлах. Использование таких программ может быть оправдано лишь в исключительных случаях. Обычный пользователь, такой как мы с вами, как правило, не является профессиональным шифровальщиком или программистом, поэтому нас интересуют «подручные» средства защиты информации. Рассмотрим средства защиты информации и попробуем оценить их надежность. Ведь знание слабых мест защиты может уберечь нас от многих неприятностей.
Первое, что обычно делает пользователь персонального компьютера — ставит два пароля: один пароль в настройках BIOS и другой — на заставку экрана. Защита на уровне BIOS будет требовать ввод пароля при загрузке компьютера, а зашита на заставке экрана перекроет доступ к информации при прошествии определенного, вами заданного, времени бездействия компьютера.
Установка пароля на уровне BIOS — достаточно тонкий процесс, требующий определенных навыков работы с настройками компьютера, поэтому желательно его устанавливать с коллегой, имеющим достаточный опыт такой деятельности. Пароль на за-
340
Рис. 15.1. Окно Свойства экрана
ставку экрана поставить не так сложно, и его может поставить сам пользователь.
Для задания пароля на заставку необходимо выполнить следующие действия: нажмите кнопку Пуск, выберите команды Настройка и Панель управления, дважды щелкните по значку Экран и в открывшемся окне Свойства экрана (рис. 15.1) выберите вкладку Заставка. Задайте вид заставки, установите временной интервал (предположим, 1 мин), установите флажок Пароль и нажмите на кнопку Изменить.
В открывшемся окне Изменение пароля (рис. 15.2) введите пароль на заставку экрана, затем повторно его наберите для подтверждения и нажмите на кнопку ОК.
Рис. 15.2. Окно для ввода и подтверждения пароля программы-заставки
341