Преподаватель который помогает студентам и школьникам в учёбе.

Исследование проблем защиты информации (Методы и средства защиты информации)

Содержание:

ВВЕДЕНИЕ

В современный век информационных систем и технологий особую роль стремительно занимает исследование проблем защиты информации.

Данная работа посвящена исследованию проблем защиты информации.

Тема данной работы: "Исследование проблем защиты информации" является одной из самых актуальных в настоящее время, так как проблема исследования проблем защиты информации стоит сегодня как никогда остро.

Целью исследования является: изучение темы исследование проблем защиты информации.

Для достижения указанной цели необходимо будет решить следующие задачи:

рассмотреть основные понятия информационной безопасности;
рассмотреть классификацию угроз информационной безопасности;
представить основные способы и средства защиты информации;
проанализировать технологии обеспечения безопасности;
познакомиться с криптографической защитой информации.

Объектом исследования является проблемы защиты информации.

Предметом данного исследования являются теоретические и практические аспекты в области изучения проблем защиты информации.

Работа включает в себя: введение, основную часть, состоящую из двух глав, заключение, список использованных источников, а также приложение.

Во введении обосновываются актуальность выбранной темы, излагаются цели и задачи исследования, объект и предмет исследования, приводиться характеристика основных источников информации.

В первой главе рассмотрены рассмотрены основные понятия информационной безопасности, а также классификация угроз информационной безопасности;

Вторая глава посвящена основным способам и средствам защиты информации, также рассмотрены технологии обеспечения безопасности.

В заключении сделаны выводы по цели и задачам работы.

В списке использованных источников содержится перечень документов, использованных при выполнении данной работы. Приводятся источники и книги, на которые ссылается данная работа.

В приложении представлена практическая часть на тему исследование проблем защиты информации.

Источниковую базу исследования непосредственно составили научные труды Щербакова А. Ю. по теме "Современная компьютерная безопасность. Теоретические основы. Практические аспекты", а также работы Макаренко С. И. "Информационная безопасность".

Таким образом, данная тема особо актуальна в настоящее время и ей стоит уделить особое внимание.

Глава 1. Угроза информационной безопасности

1.1. Основные понятия

Для начала стоит познакомиться с основными понятиями компьютерной безопасности.

Информация - это результат отражения и обработки в человеческом сознании многообразия внутреннего и окружающего мира, это сведения об окружающих человека предметах, явлениях природы, деятельности других людей, а также сведения о его внутреннем состоянии^[1].

Под информационной безопасностью понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс её функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физическою разрушения ее компонентов, т.е. способность противодействовать различным возмущающим воздействиям на информационную систему.

Под угрозой информационной безопасности понимаются события или действия, которые могут привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Таким образом, мы рассмотрели основные понятия компьютерной безопасности.

Далее следуем познакомиться с классификацией угроз информационной безопасности.

1.2. Классификация угроз информационной безопасности

Угрозы информационной безопасности могут быть классифицировать по различным признакам^[2]:

По аспекту информационной безопасности, на который направлены угрозы:

угрозы конфиденциальности (неправомерный доступ к информации);
угрозы целостности (неправомочное изменение данных);
угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы).

По степени преднамеренности действий:

случайные (неумышленные действия, например, сбои в работе систем, стихийные бедствия);
преднамеренные (умышленные действия, например, шпионаж и диверсии).

По расположению источника угроз:

внутренние (источники угроз располагаются внутри системы);
внешние (источники угроз находятся вне системы).

По размерам наносимого ущерба:

общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба);
локальные (причинение вреда отдельным частям объекта безопасности);
частные (причинение вреда отдельным свойствам элементов объекта безопасности).

По степени воздействия на информационную систему:

пассивные (структура и содержание системы не изменяются);
активные (структура и содержание системы подвергается изменениям).

Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу:

сбор;
модификация;
утечка;
уничтожение.

Придерживаясь принятой классификации, будем разделять все источники угроз на внешние и внутренние.

Источниками внутренних угроз являются:

сотрудники организации;
программное обеспечение;
аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

ошибки пользователей и системных администраторов;
нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;
ошибки в работе программного обеспечения;
отказы и сбои в работе компьютерного оборудования.

К внешним источникам угроз относятся:

компьютерные вирусы и вредоносные программы;
организации и отдельные лица;
стихийные бедствия.

Формами проявления внешних угроз являются:

заражение компьютеров вирусами или вредоносными программами;
несанкционированный доступ (НСД) к корпоративной информации;
информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
аварии, пожары, техногенные катастрофы.

Все перечисленные виды угроз (формы проявления) можно разделить на умышленные и неумышленные.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации:

информационные;
программные;
физические;
радиоэлектронные;
организационно-правовые.

К информационным угрозам относятся:

несанкционированный доступ к информационным ресурсам;
незаконное копирование данных в информационных системах;
хищение информации из библиотек, архивов, банков и баз данных;
нарушение технологии обработки информации;
противозаконный сбор и использование информации;
использование информационного оружия.

К программным угрозам относятся:

использование ошибок и "дыр" в программном обеспечении;
компьютерные вирусы и вредоносные программы;
установка "закладных" устройств.

К физическим угрозам относятся:

уничтожение или разрушение средств обработки информации и связи;
хищение носителей информации;
хищение программных или аппаратных ключей и средств криптографической защиты данных;
воздействие на персонал.

К радиоэлектронным угрозам относятся:

внедрение электронных устройств перехвата информации в технические средства и помещения;
перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

закупки несовершенных или устаревших информационных технологий и средств информатизации;
нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

Таким образом, данный параграф был посвящен классификации угроз информационной безопасности.

Далее стоит рассмотреть основные способы и средства информационной безопасности.

Глава 2. Методы и средства защиты информации

2.1. Основные способы и средства защиты информации

Развитие информационных систем и технологий, их проникновение во все сферы человеческой деятельности приводит к тому, что проблемы информационной безопасности с каждым годом становятся всё более и более актуальными – и одновременно более сложными. Чтобы защитить информацию, необходимо знать методы и средства защиты информации, которые можно рассмотреть на рисунке 1^[3].

Рисунок 1. Способы и средства защиты информации

Перечислим основные способы защиты информации^[4]:

1) препятствие - метод физического преграждения злоумышленнику пути к защищаемой информации (к аппаратуре, носителям);

2) управление доступом - метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает такие функции защиты, как:

идентификация пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
проверка полномочий, т.е. проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту;
разрешение и создание условий работы в пределах установленного регламента;
регистрация (протоколирование) обращений к защищаемым ресурсам;
регистрация (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий;

3) маскировка - метод защиты информации путем ее криптографического закрытия. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным;

4) регламентация - метод защиты информации, при котором возможности несанкционированного доступа сводятся к минимуму;

5) принуждение - метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации, чтобы не подвергнуться материальной, административной или уголовной ответственности;

6) побуждение - метод защиты информации, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Средства защиты информации^[5]:

Физические средства - механические, электрические, электромеханические, электронные, электронно-механические устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.
Аппаратные средства - различные электронные и электронно-механические устройства, схемно-встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации.
Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации. Из средств программного обеспечения системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности и аутентичности (подлинности) передаваемых сообщений.
Организационные средства - организационно-технические мероприятия, специально предусматриваемые в технологии функционирования системы с целью решения задач защиты информации.
Законодательные средства - нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности.
Психологические (морально-этические средства) - сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

В данной подглаве рассмотрены основные способы и средства защиты информации.

2.2. Технологии обеспечения безопасности

При использовании любой информационной технологии следует обращать внимание на наличие средств защиты данных, программ, компьютерных систем. Безопасность данных включает обеспечение достоверности данных и защиту данных и программ от несанкционированного доступа, копирования, изменения^[6].

Достоверность данных контролируется на всех этапах технологического процесса эксплуатации электронных информационных систем. Различают визуальные и программные методы контроля. Визуальный контроль выполняется на домашинном и заключительном этапах^[7]. Программный – на внутримашинном этапе. При этом обязателен контроль при вводе данных, их корректировке, т.е. везде, где есть вмешательство пользователя в вычислительный процесс. Контролируются отдельные реквизиты, записи, группы записей, файлы. Программные средства контроля достоверности данных закладываются на стадии рабочего проектирования^[8].

Защита данных и программ от несанкционированного доступа, копирования, изменения реализуется программно-аппаратными методами и технологическими приемами. К программно-аппаратным средствам защиты относят пароли, электронные ключи, электронные идентификаторы, электронную подпись, средства кодирования, декодирования данных. Для кодирования, декодирования данных, программ и электронной подписи используются криптографические методы. Например, в США применяется криптографический стандарт, разработанный группой IETF. Экспорту он не подлежит. Разработаны в том числе и отечественные электронные ключи, например, Novex Key для защиты программ и данных в системах Windows, DOS, Netware. Данные ключи рассмотрены в Приложении 2. Средства защиты аналогичны, по словам специалистов, дверному замку. Замки взламываются, но никто не убирает их с двери, оставив квартиру открытой^[9].

Технологический контроль заключается в организации многоуровневой системы защиты программ и данных как средствами проверки паролей, электронных подписей, электронных ключей, скрытых меток файла, использованием программных продуктов, удовлетворяющих требованиям компьютерной безопасности, так и методами визуального и программного контроля достоверности, целостности, полноты данных^[10].

Безопасность обработки данных зависит от безопасности использования компьютерных систем. Компьютерной системой называется совокупность аппаратных и программных средств, различного рода физических носителей информации, собственно данных, а также персонала, обслуживающего перечисленные компоненты^[11].

В настоящее время в США разработан стандарт оценок безопасности компьютерных систем – критерии оценок пригодности. В нем учитываются четыре типа требований к компьютерным системам:

требования к проведению политики безопасности – security policy;
ведение учета использования компьютерных систем – accounts;
доверие к компьютерным системам;
требования к документации.

Требования к проведению последовательной политики безопасности и ведение учета использования компьютерных систем зависят друг от друга и обеспечиваются средствами, заложенными в систему, т.е. решение вопросов безопасности включается в программные и аппаратные средства на стадии проектирования. Нарушение доверия к компьютерным системам, как правило, бывает вызвано нарушением культуры разработки программ: отказом от структурного программирования, неисключением заглушек, неопределенным вводом. Для тестирования на доверие нужно знать архитектуру приложения, правила устойчивости его поддержания, тестовый пример. Требования к документации означают, что пользователь должен иметь исчерпывающую информацию по всем вопросам. При этом документация должна быть лаконичной и понятной.

Только после оценки безопасности компьютерной системы она может поступить на рынок.

Во время эксплуатации информационной системы наибольший вред и убытки приносят вирусы. Защиту от вирусов можно организовать так же, как и защиту от несанкционированного доступа. Технология защиты является многоуровневой и содержит следующие этапы:

Входной контроль нового программного обеспечения или дискеты, который осуществляется группой специально подобранных детекторов, ревизоров и фильтров. Например, в состав группы можно включить Scan, Aidstest, TPU8CLS. Можно провести карантинный режим. Для этого создается ускоренный компьютерный календарь. При каждом следующем эксперименте вводится новая дата и наблюдается отклонение в старом программном обеспечении. Если отклонения нет, то вирус не обнаружен.

Сегментация жесткого диска. При этом отдельным разделам диска присваивается атрибут Read Only. Для сегментации можно использовать, например, программу Manager^[12].

Систематическое использование резидентных, программ-ревизоров и фильтров для контроля целостности информации, например Check21, SBM, Antivirus2.

Архивирование. Ему подлежат и системные, и прикладные программы. Если один компьютер используется несколькими пользователями, то желательно ежедневное архивирование. Для архивирования можно использовать PKZIP^[13].

Эффективность программных средств защиты зависит от правильности действий пользователя, которые могут быть выполнены ошибочно или со злым умыслом. Поэтому следует предпринять следующие организационные меры защиты:

общее регулирование доступа, включающее систему паролей и сегментацию винчестера;
обучение персонала технологии защиты;
обеспечение физической безопасности компьютера и магнитных носителей;
выработка правил архивирования;
хранение отдельных файлов в шифрованном виде;
создание плана восстановления винчестера и испорченной информации.

Для шифровки файлов и защиты от несанкционированного копирования разработано много программ, например Catcher, Exeb. Одним из методов защиты является скрытая метка файла: метка (пароль) записывается в сектор на диске, который не считывается вместе с файлом, а сам файл размещается с другого сектора, тем самым файл не удается открыть без знания метки.

Восстановление информации на винчестере – трудная задача, доступная системным программистам с высокой квалификацией. Поэтому желательно иметь несколько комплектов дискет для архива винчестера и вести циклическую запись на эти комплекты. Например, для записи на трех комплектах дискет можно использовать принцип "неделя-месяц-год". Периодически следует оптимизировать расположение файлов на винчестере с помощью утилиты Speed Disk, что существенно облегчает их восстановление.

Рассмотрены технологии обеспечения информации. Следующим пунктром бедет рассмотрена криптографическая защита информации.

2.3. Криптографическая защита информации

Криптография является методологической основой современных систем обеспечения безопасности информации в компьютерных системах и сетях. Исторически криптография (в переводе с греческого этот термин означает "тайнопись") зародилась как способ скрытой передачи сообщений^[14].

Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы защитить эти данные, сделав их бесполезными для незаконных пользователей. Такие преобразования обеспечивают решение трех главных проблем защиты данных:

обеспечение конфиденциальности;
целостности;
подлинности передаваемых или сохраняемых данных.

Для обеспечения безопасности данных необходимо поддерживать три основные функции:

защиту конфиденциальности передаваемых или хранимых в памяти данных;
подтверждение целостности и подлинности данных;
аутентификацию абонентов при входе в систему и при установлении соединения.

Для реализации указанных функций используются криптографические технологии шифрования, цифровой подписи и аутентификации.

Конфиденциальность обеспечивается с помощью алгоритмов и методов симметричного и асимметричного шифрования, а также путем взаимной аутентификации абонентов на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт.

Целостность и подлинность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на односторонних функциях и асимметричных методах шифрования.

Аутентификация разрешает устанавливать соединения только между легальными пользователями и предотвращает доступ к средствам сети нежелательных лиц. Абонентам, доказавшим свою легальность (аутентичность), предоставляются разрешенные виды сетевого обслуживания^[15].

Обеспечение конфиденциальности, целостности и подлинности, передаваемых и сохраняемых данных осуществляется, прежде всего, правильным использованием криптографических способов и средств защиты информации. Основой большинства криптографических средств защиты информации является шифрование данных^[16].

Под шифром понимают совокупность процедур и правил криптографических преобразований, используемых для зашифровывания и расшифровывания информации по ключу шифрования. Под зашифровыванием информации понимается процесс преобразования открытой информации (исходный текст) в зашифрованный текст (шифр-текст). Процесс восстановления исходного текста по криптограмме с использованием ключа шифрования называют расшифровыванием (дешифрованием)^[17].

Обобщенная схема криптосистемы шифрования показана на рисунке 2. Исходный текст передаваемого сообщения (или хранимой информации) М зашифровывается с помощью криптографического преобразования Ек с получением в результате шифр-текста С:

C=Eki(Nf) (1)

где-параметр функции Е, называемый ключом шифрования.

$F:\Практика\image012.jpg$

Рис. 2. Обобщенная схема криптосистемы шифрования

Шифр-текст С, называемый также криптограммой, содержит исходную информацию М в полном объеме, однако последовательность знаков в нем внешне представляется случайной и не позволяет восстановить исходную информацию без знания ключа шифрования кх.

Ключ шифрования является тем элементом, с помощью которого можно варьировать результат криптографического преобразования. Данный элемент может принадлежать конкретному пользователю или группе пользователей и являться для них уникальным. Зашифрованная с использованием конкретного ключа информация может быть расшифрована только его владельцем (или владельцами)^[18].

Обратное преобразование информации выглядит следующим образом:

M’ = Dki(C) (2)

Функция D является обратной к функции Е и производит расшифровывание шифр-текста. Она также имеет дополнительный параметр в виде ключа к2. Ключ расшифровывания к2 должен однозначно соответствовать ключу к1 в этом случае полученное в результате расшифровывания сообщение М’ будет эквивалентно М. При отсутствии верного ключа к2 получить исходное сообщение М’ = М с помощью функции D невозможно.

Была рассмотрена криптографическая защита информации.

В Приложении представлена практическая часть курсовой работы, а именно инструкция по порядку использования персонального ключевого носителя и проверке наличия сертификата на персональном ключевом носителе и его срока действия для пользователя на предприятии ООО "Газпром трансгаз Самара" филиал "Управление материально-технического снабжения и комплектации".

ЗАКЛЮЧЕНИЕ

В век информационных систем и технологий особую роль стремительно занимает исследование проблем защиты информации.

Данная работа посвящена исследованию проблем защиты информации.

Целью исследования являлось: изучение темы исследование проблем защиты информации.

Для достижения указанной цели необходимо было решить следующие задачи:

рассмотреть основные понятия информационной безопасности;
рассмотреть классификацию угроз информационной безопасности;
представить основные способы и средства защиты информации;
проанализировать технологии обеспечения безопасности;
познакомиться с криптографической защитой информации.

Объектом исследования является проблемы защиты информации.

В первой главе рассмотрены основные понятия информационной безопасности, а также классификация угроз информационной безопасности;

Вторая глава посвящена основным способам и средствам защиты информации, также рассмотрены технологии обеспечения безопасности. Рассмотрена криптографическая защита информации.

В заключении сделаны выводы по цели и задачам работы.

Таким образом, данная тема особо актуальна в настоящее время и ей стоит уделить особое внимание.

СПИСОК ЛИТЕРАТУРЫ

Бирюков А. А. Информационная безопасность. Защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2015. - 474 c.

Большая российская энциклопедия [Электронный ресурс] / Режим доступа: https://bigenc.ru (дата обращения 07.05.19)

Брэгг Р. Безопасность сетей: полное руководство / Р. Брэгг, М. Родс-Оусли, К. Страссберг. - М.: ЭКОМ, 2016. - 912 c.

Буленок В.Г., Пьяных Е.Г. Сжатие и архивирование: Учебное пособие - Москва: 2008. - 40 с.

Васильков А. В. Безопасность и управление доступом в информационных системах / А.В. Васильков, И.А. Васильков. - М.: Форум, 2017. - 368 c.

Гатчин Ю. А., Сухостат В. В. Теория информационной безопасности и методология защиты информации. -СПб.: СПбГУ ИТМО, 2015. - 98 с.

Гришина Н. В. Аутентификация. Учебное пособие / Н.В. Гришина. - М.: Форум, 2015. - 240 c.

Девянин П.Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах: моногр. / П.Н. Девянин. - М.: ИЛ, 2016. - 176 c.

Емельянова Н. З. Защита информации в персональном компьютере / Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2017. - 368 c.

Завьялов П. С., Демидов В. Е. Сегментация. – М.: Международные отношения, 2015. – 416с.

Конотопов, М.В. Информационная безопасность. Лабораторный практикум / М.В. Конотопов. - М.: КноРус, 2016. - 136 c.
Макаренко С. И. Информационная безопасность: учебное пособие для студентов вузов. - Ставрополь: СФ МГГУ им. М. А. Шолохова, 2017. - 372 с.
Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации / А.А. Малюк. - М.: ГЛТ, 2014. - 280 c.
Семененко В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2016. - 277 c.
Урсул А. Д. Проблема информации в современной науке. - М.: Наука, 2017.
Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ Инфра-М, 2018. - 416 c.
Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2017. - 352 с.

ПРИЛОЖЕНИЕ

Инструкции по порядку использования персонального ключевого носителя

и проверке наличия сертификата на персональном ключевом носителе и его срока действия для пользователя

Доступ работников ООО "Газпром трансгаз Самара" к сервисам и информационным ресурсам осуществляется по персональному уникальному имени (учетная запись пользователя) на основе двухфакторной аутентификации с использованием персонального электронного ключа (смарт-карта eToken). Для входа в операционную систему персонального компьютера пользователь должен подключить ключ к считывающему устройству и ввести PIN-код (личный пароль). Порядок использования персонального ключевого носителя приведен в данной работе. После подключения ключа необходимо проверить наличие сертификатов и срока их действия.

Практической частью моей работы являются инструкции по порядку использования персонального ключевого носителя и проверке наличия сертификата и его срока действия для пользователя.

Инструкции представляют собой порядок и способ осуществления доступа работников к информационным ресурсам данного предприятия, требования к PIN-коду и его смене, права и обязанности пользователей. Проверка наличия сертификатов на персональном ключевом носителе выполняется в программе SafeNet Authentication Client, которая предназначена для обеспечения работы USB-ключей и смарт-карт eToken (рисунок 3).

Рисунок 3. SafeNet Authentication Client

Порядок использования персонального ключевого носителя.

Общие сведения.

Доступ работников ООО "Газпром трансгаз Самара" к сервисам и информационным ресурсам организуется по персональному уникальному имени (учетная запись пользователя) на основе двухфакторной аутентификации с использованием персонального электронного ключа.

В качестве персонального электронного ключа используется смарт-карта (еТокеn) (рисунок 4).

Рисунок 4. Смарт-карта (еТокеn)

Для входа в операционную систему персонального компьютера и подключению к информационным ресурсам, пользователь должен подключить персональный электронный ключ еТокеn к считывателю компьютера и ввести PIN-код (рисунок 5).

$C:\Users\Samsung-PC\Desktop\Мои фотки\Газпром\2015-07-07 10.39.52.jpg$

Рисунок 5. Подключение персонального носителя к считывателю

Требования к PIN-коду и его смене

pin-код должен быть известен только лично пользователю. допускается запись pin-кода на бумажном носителе при условии хранения таких носителей в личном сейфе (сейфе начальника подразделения) в запечатанном конверте, подписанном работником.
длина pin-кода - не менее 6 (шесть) символов.
в pin-коде должны присутствовать символы как минимум 3 категорий из 4 предложенных:
заглавные буквы английского алфавита (a-z);
строчные буквы английского алфавита (a-z);
цифры (0-9);
символы, не принадлежащие к алфавитно-цифровому набору (@, #, $, &, *).
минимальное количество цифр в pin-коде – 2.
минимальное количество специальных символов в pin-коде – 2.
pin-код не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования арм и т.д.), общепринятые сокращения (эвм, user и т.п.), позиционные сочетания клавиш клавиатуры (qwerty и т.п.).
смена pin-кода не реже 1 раза в квартал.
при смене pin-кода их значения не должны повторять ранее использованные комбинации и должны отличаться от предыдущего не менее чем в 4 позициях.
при последовательном пятикратном неправильном вводе pin-кода персональный ключевой носитель блокируется.
pin-код должен меняться пользователем самостоятельно не реже 1 раза в квартал, а также немедленно, в случае их компрометации (подозрения на его компрометацию). под компрометацией понимается утрата пользователем доверия к тому, что используемые pin-код недоступен посторонним лицам.
первоначально выданный пользователю pin-код (12qw!@) используется разово и при первом входе в систему должен быть заменен на новый, известный только пользователю.
порядок смены pin-кода приведен в пункте 6.

Обязанности Пользователей:

обеспечить физическую сохранность персонального ключевого носителя и не допускать его утери.
хранить в тайне pin-код.
соблюдать требования по сложности pin-кода, по его периодической смене.
в случае компрометации (подозрении на компрометацию) pin-кода незамедлительно сообщить в отдел по защите информации службы безопасности.

Действия, запрещенные Пользователям:

хранить pin-код в доступных другим лицам местах.
разглашать pin-код своего электронного ключа etoken (разглашение pin-кода ведет к компрометации учетной записи).
передавать кому-либо электронный ключ etoken. только так можно быть уверенным, что никто не сможет действовать в среде обработки информации от вашего имени.
оставлять электронный ключ etoken подключенным к рабочей станции при покидании рабочего места. несоблюдение этого правила может привести к тому, что в отсутствие пользователя можно воспользоваться его электронным ключом etoken.

Ответственность Пользователей:

Пользователи несут ответственность за сохранность персонального ключевого носителя и считывателя электронного ключа eToken.
Процедура смены PIN-кода
Для смены PIN-кода нужно щелкнуть правой кнопкой по значку "eToken PKI Client" (рисунок 6).

Рисунок 6. Значок "eToken PKI Client"

в появившемся меню выбрать Изменить пароль eToken/ ChangeeTokenPassword (рисунок 7).

Безымянный

Рисунок 7. Смена пароля

в появившемся окне введите текущий PIN-код (верхнее поле), новый PIN-код (среднее поле) и Подтверждение нового PIN-кода (нижнее поле). После этого нажимаем на кнопку "OK" и входим в систему с использованием нового PIN-кода (рисунок 8).

смена пин кода

Рисунок 8. Порядок смены PIN-кода

Порядок использования персонального ключевого носителя рассмотрен.

Инструкция по проверке наличия сертификата на смарт-карте и его срока действия для пользователя

Для того чтобы проверить имеется ли на смарт-карте сертификат и какой его срок действия, необходимо сделать следующее:

вставить интересующую нас смарт-карту в считыватель (рисунок 9).

Рисунок 9. Подключение персонального носителя к считывателю

запустить "eToken PKI Client". Нажать правой кнопкой мыши на значок в правом нижнем углу экрана, как показано на рисунке 10.

Рисунок 10. Запуск "eToken PKI Client"

выбрать "Открыть eTokenProperties" (рисунок 11).

Рисунок 11. Выбор "Открыть eTokenProperties"

появится окно программы (рисунок 12).

Рисунок 12. Окно программы " SafeNet Authentication Client"

выбрать пункт "AdvancedView" или "Подробный вид" (значок ) (рисунок 13).

Рисунок 13. Выбор пункта "Подробный вид"

если на смарт-карте имеются сертификаты, они будут показаны (рисунок 14).

Рисунок 14. Просмотр имеющихся сертификатов на смарт-карте

выбираем строку "Сертификаты пользователей" и просматриваем информацию об имеющихся на карте сертификатов. Нас интересует сертификат, выданный "CA-Samtg" и срок его действия (рисунок 15).

Рисунок 15. Просмотр срока действия выбранного сертификата

Если Срок действия сертификата истекает в ближайшие 7 дней, необходимо:

Обратиться в отдел поддержки пользователей – составив заявку через портал (рисунок 16).

Рисунок 16. Обращение в отдел поддержки пользователей

Обработав Вашу заявку, специалист отдела поддержки пользователей (либо программист филиала) свяжется с вами и даст Вам инструкции, что делать дальше.

подробные сведения о сертификате (рисунок 17).

Рисунок 17. Просмотр сведений о сертификате

Проверка наличия сертификата и его срока действия для пользователя выполнена.

Большая российская энциклопедия [Электронный ресурс] / Режим доступа: https://bigenc.ru (дата обращения 07.05.19) ↑
Макаренко С. И. Информационная безопасность: учебное пособие для студентов вузов. - Ставрополь: СФ МГГУ им. М. А. Шолохова, 2017. - 372 с. ↑
Гатчин Ю. А., Сухостат В. В. Теория информационной безопасности и методология защиты информации. -СПб.: СПбГУ ИТМО, 2015. - 98 с. ↑
Урсул А. Д. Проблема информации в современной науке. - М.: Наука, 2017. ↑
Конотопов М.В. Информационная безопасность. Лабораторный практикум / М.В. Конотопов. - М.: КноРус, 2016. - 136 c. ↑
Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации / А.А. Малюк. - М.: ГЛТ, 2014. - 280 c.

⁹ Семененко В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2016. - 277 c.

1⁰ Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ Инфра-М, 2018. - 416 c. ↑
↑
↑
Бирюков А. А. Информационная безопасность. Защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2015. - 474 c. ↑
Брэгг Р. Безопасность сетей: полное руководство / Р. Брэгг, М. Родс-Оусли, К. Страссберг. - М.: ЭКОМ, 2016. - 912 c. ↑
Васильков А. В. Безопасность и управление доступом в информационных системах / А.В. Васильков, И.А. Васильков. - М.: Форум, 2017. - 368 c. ↑
Завьялов П. С., Демидов В. Е. Сегментация. – М.: Международные отношения, 2015. – 416с. ↑
Буленок В.Г., Пьяных Е.Г. Сжатие и архивирование: Учебное пособие - Москва: 2008. - 40 с. ↑
Большая российская энциклопедия [Электронный ресурс] / Режим доступа: https://bigenc.ru (дата обращения 07.05.19) ↑
Гришина Н. В. Аутентификация. Учебное пособие / Н.В. Гришина. - М.: Форум, 2015. - 240 c. ↑
Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2017. - 352 с. ↑
Емельянова Н. З. Защита информации в персональном компьютере / Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2017. - 368 c. ↑
Девянин П.Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах: моногр. / П.Н. Девянин. - М.: ИЛ, 2016. - 176 c. ↑