лица и выдаваться только под расписку с письменного разрешения руководителя фирмы. На лицо, ответственное за хранение договоров (контрактов) и работу с ними, возлагается персональная ответственность за утерю договоров (контрактов) или утечку информации из них. При подписании договора (контракта) представители сторон должны ставить подписи не только в конце договора (контракта), но и на каждом листе во избежание замены одного текста другим.

Организация защиты вычислительной техники диктует необходимость придерживаться следующих принципов обеспечения безопасности информации:

— простота защиты. Простые методы защиты, как привило, являются и наиболее надежными;

— открытость проектирования и функционирования средств безопасности. Эффективность защиты не должна зависеть от секретности разработки, т. к. это позволит быстрее выявить «узкие места» и не даст возможности злоумышленнику использовать их в своих интересах;

— минимизация привилегий по доступу к информации для всех, у кого нет необходимости ею обладать;

— независимость системы управления доступом от пользователей. Все лица, связанные с разработкой и функционированием защиты, не должны быть пользователями системы;

— установка ловушек для провоцирования несанкционированных действий, когда регистрируются все, кто попытается обойти систему защиты через специально оставленное «окно»;

— всеобщность применения средств разграничения доступа ко всему множеству контролируемых объектов и субъектов. Любое исключение из этого множества снижает безопасность;

— приемлемость защиты для пользователей, т. к. в противном случае будут предприниматься попытки ее обхода;

— устойчивость защиты по времени и при неблагоприятных обстоятельствах;

— подконтрольность системы защиты;

— особая личная ответственность лиц, обеспечивающих безопасность информации;

— глубина защиты, т. е. дублирование и перекрытие защиты;

— изоляция и разделение объектов защиты на группы таким образом, чтобы нарушение защиты для одной из групп не повлияло на безопасность других;

— минимизация общих механизмов защиты, что уменьшает возможность нарушения работоспособности всей системы защиты в результате выхода из строя такого общего механизма защиты, используемого различными пользователями;

— физическая защита, позволяющая предотвращать проникновение злоумышленника в те места, откуда возможны несанкционированные действия;

— запрещение доступа к информации в случае любого сбоя средства защиты, не предусмотренного разработчиками;

— надежность системы защиты: она должна быть полностью специфицирована, протестирована как по отдельным компонентам, так и в комплексе;

— гибкость и адаптивность системы защиты, в частности, невозможность целенаправленного изменения параметров системы со стороны администрации, что делает ее более эффективной;

— система защиты должна проектироваться в расчете на возможность несанкционированных действий;

— наиболее важные решения должны приниматься человеком, т. к. компьютерная система не может предусмотреть все возможные ситуации;

— существование средств контроля не должно бросаться в глаза и подлежит сокрытию от тех, к кому они применяются;

— разработка комплекса мер безопасности по каждому новому изделию, продукции еще на стадии начала их разработок в научно-исследовательских подразделениях.

Система защиты информации предусматривает два основных направления в области защиты информации: контроль доступа и засекречивание данных.

Служба контроля доступа направлена на нейтрализацию попыток несанкционированного использования любых ресурсов информационной системы. Контроль доступа должен осуществляться проверкой полномочий объектов по доступу к ресурсам информационной системы на основе идентификации и аутентификации.

Идентификация осуществляется на основе передачи открытого имени объекта. Аутентификация осуществляется на основе кодированной передачи контрольных параметров объекта и обеспечивается средствами криптообработки. На приемной стороне выполняется дешифрация криптосообщения на основе ключей, присваиваемых по его идентификатору, и сверка контрольных параметров объекта. При совпадении полученных контрольных параметров с известными принимается решение о прохождении контроля и соответствии объекта заявленному идентификатору. Весь процесс идентификации и аутентификации носит название авторизации.

Засекречивание данных (шифрование) направлено на их защиту от несанкционированного доступа модификации и навязывания ложной информации. Шифрование обеспечивается программными, аппаратными и аппаратно-программными средствами непосредственно на рабочих местах. Предпочтительно использовать стандартизованные алгоритмы шифрования.

Формы зашиты, используемые для систем на базе отдельного персонального компьютера, предусматривают:

— авторизацию пользователя, получающего доступ к данному персональному компьютеру (ПК);

— распознание прав доступа пользователя к ресурсам данного ПК;

— защиту программного обеспечения ПК от несанкционированных действий с ним;

— защиту данных, содержащихся на жестких и гибких носителях ПК, от несанкционированных действий;

— аудит доступа пользователя ПК к программам и данным.

Функции и возможности системы защиты компьютерной информации от несанкционированного доступа могут быть следующими:

— запрет загрузки ПК с жесткого диска неавторизированным пользователем;

— аппаратный метод — установка в ПК дополнительного аппаратного модуля;

— программный метод — процесс авторизации пользователя выполняется программным обеспечением системы защиты до загрузки операционной системы;

— запрет загрузки ПК с гибкого магнитного диска (ГМД) неавторизованным пользователям;

— аппаратный метод — выполняется блокировка возможности загрузки с дискеты при установленном модуле;

— программный метод — несанкционированная загрузка с дискеты приводит к «зависанию» ПК;

— обеспечение надежности авторизации пользователя:

а) идентификационная информация вводится с физического идентификатора и недоступна пользователю при модификации;

б) аутентификационная информация вводится с клавиатуры ПК непосредственно пользователем и доступна для изменения. В открытом виде идентификационная и аутентификационная информации не должны быть доступны даже администратору системы;

в) возможность установки авторизационных характеристик пользователя на нескольких ПК;

г) возможность использования одного ПК несколькими пользователями;

— количество уровней разграничения полномочий пользователя по доступу к ресурсам ПК;

— введение системных журналов;

— установка системной защиты сетевых элементов идентификации и аутентификации пользователя на основе ввода авторизационной информации с применением физического идентификатора;

— администрирование в системе;

— самоконтроль целостности системы;

— сохранность функций защиты при разрушении (удалении файлов) аппаратных модулей системы защиты;

— возможность восстановления системы защиты при ее частичном разрушении;

— помехоустойчивое кодирование информации;

— возможность постановки цифровой подписи на любой файл;

— возможность криптографического шифрования любого файла;

— блокировка работы клавиатуры с одновременным гашением экрана по «горячей» комбинации клавиш и/или по времени;

— «гостевой» режим доступа к ПК без предъявления информации авторизации с минимальным правом доступа к его ресурсам;

— возможность гарантированного стирания информации при удалении файлов.

Для защиты информации при ее передаче целесообразно обратиться к шифрованию: данные шифруются перед вводом в канал связи, а расшифровываются на выходе из него непосредственно тем, кому эта информация предназначена.

Примерный перечень мер безопасности предусматривает:

— информирование всех сотрудников фирмы об опасности и возможном ущербе в случае вирусных атак;

— не осуществление неофициальных связей с другими организациями по обмену (получению) программным обеспечением. Запрещение сотрудникам приносить программы «со стороны» для установки их в системах. Должны использования только официально распространяемые программы;

— запрещение сотрудникам использования и хранения компьютерных игр;

— предостережение сотрудников фирм от использования программ и дисков из вузов для выполнения домашних работ на ПК фирмы;

— если в процессе работы возникнет необходимость использовать сторонние информационные сети, то для этих целей целесообразно выделить специальное стендовое оборудование;

— создание архива копий программ и данных;

— регулярное просматривание «ранимых» в системе файлов и, по возможности, использование защиты «Только чтение» для предупреждения изменений в данных и копирования материалов;

— периодически проведение проверки контрольным суммированием или сравнением с «чистым» используемого программного обеспечения. По каждому факту проверки составляется акт с отражением результатов проверки;

— использование для