Исследование проблем защиты информации (Защита информации в персональных ЭВМ и ЛВС)
Содержание:
Введение
Актуальность проблемы, связанной с обеспечением безопасности информации, возрастает с каждым годом. Наиболее часто потерпевшими от реализации различных угроз безопасности являются финансовые и торговые организации, медицинские и образовательные учреждения. Если посмотреть на ситуацию десятилетней давности, то основной угрозой для организаций были компьютерные вирусы, авторы которых не преследовали каких-то конкретных целей, связанных с обогащением. Современные хакерские атаки стали более изощренными, организованными, профессиональными, разнообразными и, главное, имеющими конкретную цель, например направленными на хищение данных банковских счетов в конкретных банковских системах. Совершенствование сферы информационных услуг, особенно в сфере дистанционного банковского обслуживания, способствует развитию интеллекта киберпреступников.
Статистика подтверждает необходимость комплексной системы защиты информации (КСЗИ). В России, как и за рубежом, она обусловлена двумя во многом пересекающимися группами факторов: требованиями бизнеса и законодательства.
К требованиям бизнеса относятся:
минимизация рисков, связанных с утечками информации;
безопасность ключевых бизнес-процессов;
выполнение требований информационной безопасности в рамках договоров с контрагентами.
Должный уровень информационной безопасности организации обеспечивает дополнительную привлекательность в лице партнеров, заказчиков или инвесторов.
В части российского законодательства основным стимулом для развития информационной безопасности является Федеральный закон < от 27.07.2006 N 152-ФЗ "О персональных данных" (в ред. от 23.12.2010), требования которого распространяются практически на все российские организации. Для выполнения требований законодательства необходимо руководствоваться нормативно-методологической базой ФСТЭК России (в части, касающейся некриптографических методов защиты информации) и ФСБ России (в части, касающейся криптографических методов защиты информации), а также стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", который пока носит рекомендательный характер для финансовых организаций.
Распространение на российские организации требований международных стандартов информационной безопасности, как правило, имеет добровольный характер. Однако некоторые виды деятельности требуют обязательного выполнения международных стандартов, например стандарт PCI DSS является обязательным для выполнения банковскими организациями с собственным процессингом платежных карт.
В связи с этим тема курсовой работы является актуальной.
Целью данной курсовой работы является исследование проблемы защиты информации, выявление способов защиты информации. Для решения поставленной цели необходимо решить следующие задачи:
Выявить источники угрозы информации;
Описать способы защиты информации;
Рассмотреть правовую сторону информационной безопасности.
Глава 1. Государственная и коммерческая тайны
1.1 Понятие государственной тайны
Отнесение информации к государственной тайне осуществляется в соответствии с Федеральным Законом «О государственной тайне» от 21.07.1993 г. № 5485-1: «государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нести ущерб безопасности РФ».
В ст.5 ФЗ «О государственной тайне» изложены сведения, подлежащие отнесению к государственной тайне, которые подразделяются на четыре основные группы:
1) сведения в военной области:
2) сведения в области экономики, науки и техники:
3) сведения в области внешней политики и экономики:
4) сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности:
Основным критерием отнесения сведений к государственной тайне является необходимость обеспечения обороны безопасности государства и правоохранительной деятельности в Российской Федерации.
Данный Перечень содержит сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности государства, распространение которых может нанести ущерб безопасности Российской Федерации.
Согласно ст.8 Федерального Закона «О государственной тайне» установлено три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".
Основным критерием при отнесении сведений к тому или иному грифу секретности служит степень тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений.
Сведениям, которые составляют государственную тайну и требуют наибольшую защиту, присваивается гриф "особой важности"; требующим меньшую степень защиты - "совершенно секретно", затем "секретно".
Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности утверждены Постановлением Правительства РФ от 4 сентября 1995 г. № 870.
Данные Правила являются обязательными для исполнения органами государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, при разработке ими развернутого перечня сведений, подлежащих засекречиванию.
Перечень должен определять степень секретности конкретных сведений, а его структура - учитывать ведомственную или отраслевую специфику.
Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности РФ вследствие распространения указанных сведений.
Количественные и качественные показатели ущерба безопасности РФ определяются в соответствии с нормативно-методическими документами, которые утверждаются руководителями органов государственной власти, наделённые полномочиями по отнесению сведений к государственной тайне, и согласованными с Межведомственной комиссией по защите государственной тайны.
К сведениям особой важности следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам РФ в одной или нескольких из перечисленных областей.
К совершенно секретным сведениям следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам министерства (ведомства) или отрасли экономики РФ в одной или нескольких из перечисленных областей.
К секретным сведениям следует относить все иные сведения из числа сведений, составляющих государственную тайну. Ущербом безопасности РФ в этом случае считается ущерб, нанесенный интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной или оперативно-розыскной области деятельности.
Таким образом, отнесение сведений, составляющих государственную тайну, к той или иной степени секретности зависит от того, в насколько широкой сфере может быть причинен ущерб безопасности государства.
1.2 Защита государственной тайны
Защита государственной тайны - наиболее важное направление государственных органов. Россия тратит огромные деньги на обеспечение и защиту безопасности страны и её граждан. За понятием «государственная тайна» стоят огромные финансовые средства и активы, труд множества поколений учёных, научно-исследовательских институтов, экспериментальных баз и многое другое.
В ст.20 Федерального Закона «О государственной тайне» к органам, непосредственно обязанным защищать государственную тайну, относят:
- Межведомственную комиссию по защите государственной тайны;
- органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерство обороны Российской Федерации), Служба внешней разведки Российской Федерации, Федеральная служба по техническому и экспортному контролю и их органы на местах;
- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.
На первом месте среди органов защиты государственной тайны находится Межведомственная комиссия по защите государственной тайны. Данный орган носит надведомственный характер и занимается исключительно вопросами защиты государственной тайны в отличие от других органов защиты государственной тайны, в функции которых входит исполнение также иных обязанностей согласно их основному профилю.
Решения Межведомственной комиссии по защите государственной тайны, принятые в соответствии с ее полномочиями, являются обязательными для исполнения федеральными органами государственной власти, органами государственной власти субъектов РФ, органами местного самоуправления, организациями, должностными лицами и гражданами. Руководство деятельностью Межведомственной комиссии осуществляет Президент Российской Федерации, что подчеркивает особую важность и значимость данного органа.
В ч. 3 ст. 7 Закона "О федеральной службе безопасности" также указано, что граждане РФ, допущенные к сведениям об органах федеральной службы безопасности, составляющим государственную тайну, несут за их разглашение ответственность, предусмотренную законодательством Российской Федерации.
Нарушение законодательства о государственной тайне может совершаться как умышленно, так и неосторожно. За умышленное нарушение законодательства о государственной тайне в виде государственной измены, шпионажа, разглашения государственной тайны предусмотрена уголовная ответственность ст. ст. 275, 276, 283 УК РФ соответственно. Также уголовная ответственность предусмотрена и за такое деяние, как утрата документов, содержащих государственную тайну, ст. 284 УК РФ. Однако это преступление совершается с неосторожной формой вины.
Нарушение правил защиты информации, и незаконная деятельность в области защиты информации могут совершаться как умышленно, так и неосторожно и влекут административную ответственность, предусмотренную ст. ст. 13.12, 13.13 КоАП РФ.
Однако приходится констатировать, что, во-первых, правоохранительные органы не умеют и не хотят пресекать распродажу государственных секретов, которые принимают массовый, рыночный характер. На сегодняшний день отсутствует классификатор, т.е. методика расчёта ущерба, причинённого преступным посягательством, что не позволяет оценить тяжесть последствий. Правовая база, регламентирующая охрану государственной тайны, недоработана и не соответствует имеющейся нормативной базе, а именно - ФЗ «О государственной тайне» и указу Президента об утверждении перечня сведений, отнесённых к государственной тайне.
Как следует из ФЗ «О государственной тайне», Правительство РФ должно устанавливать порядок определения размера ущерба, наступившего в результате несанкционированного распространения сведений, составляющих государственную тайну, а также ущерба, наносимого собственнику информации в результате её засекречивания.
На сегодняшний день отсутствие методик расчёта ущерба приводит к незащищённости государственной тайны. Одним из основных квалифицирующих признаков таких преступлений, как государственная измена и шпионаж, является наличие ущерба, определить которых в настоящее время не представляется возможным. Отсутствует чёткое законодательное регулирование таких основных вопросов: что есть государственная измена, а что - разглашение гостайны, кто несёт ответственность, какой ущерб причинён безопасности и обороноспособности страны. К сожалению, пока ответы на эти важные вопросы, от которых зависят не только государственные интересы, но судьбы граждан, решаются по усмотрению и настроению суда, а не по чётким и однозначным регламентациям в законе.
Таким образом, рядовой человек, не знакомый с перечнем министерства, ведомств и других субъектов, наделённых правом засекречивания, не в состоянии определить, что есть государственный секрет, а что нет. Парадоксальная вещь: кража мешка картошки или мелочи из кармана уголовным законодательством более урегулирована, чем противоправная распродажа гостайны стоимостью в миллионы и миллиарды долларов. Правоохранительная система в связи с правовой неурегулированностью пока не может расставить барьеры для предотвращения утечки гостайны и госсекретов. Безнаказанность истинных виновных способствует совершению подобных преступлений снова и снова.
На содержание аппаратов министерств ведомств идут огромные бюджетные средства, но ответственность за сохранение гостайны несут, к сожалению, не чиновники, а простые граждане.
1.3 Понятие коммерческой тайны
В пункте 2 ч.1 ст.3 Федерального Закона от 29.07.2004 г. №98-ФЗ «О коммерческой тайне» информация, составляющая коммерческую тайну, определяется как научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны. Ст.139 ГК РФ, полностью повторяя первые два из перечисленных условий отнесения информации к коммерческой тайне, в качестве третьего закрепляет принятие обладателем информации мер к охране её конфиденциальности. При этом ГК РФ не приводит границы между коммерческой и служебной тайной, распространяя одинаковые признаки на оба понятия. Таким образом, законодательство использует фактически одинаковые признаки для определения трёх понятий: информация, составляющая секрет производства (ноу-хау); информация, составляющая коммерческую тайну; информация, составляющая служебную тайну.
Исходя из изложенного, возникают некоторые вопросы. Во-первых, есть ли различия между информацией, составляющей коммерческую и служебную тайну или это синонимы? На наш взгляд, признак коммерческой ценности к служебной тайне неприменим Однако информация, составляющая служебную тайну, может иметь экономическую ценность в том смысле, что лицо, получившее к ней доступ, может продать её за определённую сумму третьим лицам, неправомерно получив тем самым доход.. Указанная ценность есть свойство приносить прибыль от использования информации её обладателем в процессе предпринимательской деятельности. Служебную же тайну составляют сведения, доступ к которым ограничен органами государственной власти Поэтому то, что названо служебной информацией на рынке ценных бумаг в гл.8 Федерального Закона от 22.04.1996г. №39-ФЗ «О рынке ценных бумаг» (действует в редакции от 28.07.2004г.), на самом деле является информацией, связанной с профессиональной деятельностью.. Следовательно, такая информация используется этими органами для государственно-властных (публичных) функций, а потому несовместима с предпринимательской деятельностью. Мы видим, что коммерческая тайна отличается от служебной тайной как минимум по двум признакам:
a) по субъекту, устанавливающему перечень сведений, относимых к служебной или коммерческой тайне;
b) по сфере использования.
Разновидностью коммерческой или служебной тайны нельзя считать банковскую тайну. Банковская тайна - обособленная группа сведений, связанных с профессиональной деятельностью кредитных организаций, Банка России и Агентства по страхованию вкладов (АСВ), доступ к которой ограничен на основании ст.857 ГК РФ и ст.26 Федерального закона от 2.12.1990 г. № 395-I «О банках и банковской деятельности» (действует в редакции с 29.07.2004 г.).
Во-вторых, как соотносятся понятия «коммерческая тайна» и «информация, составляющая секрет производства (ноу-хау)? До принятия ФЗ «О коммерческой тайне» буквальное толкование ст.151 Основ гражданского законодательства и ст.139 ГК РФ позволяло прийти к выводу о совпадении указанных понятий. Теперь в ст.3 ФЗ «О коммерческой тайне» чётко закреплено, что ноу-хау - один из видов информации, составляющей коммерческую тайну. Понятие «ноу-хау» дословно означает «знать, как» (сокращённо от «знать, как делать»). Впервые этот термин был применён в американской судебной практике в 1916 г. и стал использоваться в правовой литературе большинства стран.
В-третьих, идентичны ли понятия «коммерческая тайна» и «информация, составляющая коммерческую тайну»? Полагаем, что они соотносятся как форма и содержание. Иными словами, коммерческая тайна - содержание конфиденциальности информации, формализованное соответствующим грифом, в то время как информация, составляющая коммерческую тайну - это соответствующие сведения. Согласно п.1 ч.1 ст.3 ФЗ «О коммерческой тайне», коммерческая тайна - конфиденциальность информации, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Такая формулировка подчёркивает цель и значение коммерческой тайны, а также её неразрывную связь с предпринимательской деятельностью.
1.4 Режим коммерческой тайны и ответственность за нарушение режима коммерческой тайны
Режим коммерческой тайны, в соответствии со ст.3 ФЗ «О коммерческой тайне», - это правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране её конфиденциальности. Именно установление основ правового режима коммерческой тайны и составляет предмет регулирования ФЗ «О коммерческой тайне». Анализ его норм позволяет выделить следующие составляющие правового режима коммерческой тайны:
· виды информации, которые могут быть отнесены к коммерческой тайне;
· перечень сведений, которые не могут составлять коммерческую тайну;
· порядок отнесения сведений к информации, составляющей коммерческую тайну;
· порядок предоставления информации, составляющей коммерческую тайну;
· меры по охране коммерческой тайны.
Режим коммерческой тайны не может быть установлен в отношении сведений, перечисленных в ст.5 ФЗ «О коммерческой тайне». Правом относить ту или иную информацию (с учётом перечня сведений, не могущих составлять коммерческую тайну) к информации, составляющей коммерческую тайну, и определять её перечень и состав, наделён обладатель информации. Для того чтобы режим коммерческой тайны мог считаться установленным, необходимо принятие мер по охране конфиденциальности информации, которые можно свести в три группы:
1. меры, вводимые локальным актом юридического лица. К ним относится определение перечня информации, составляющей коммерческую тайну; установление порядка обращения с этой информацией, т.е. ограничение доступа к ней; учёт лиц, получивших доступ к информации, составляющей коммерческую тайну.
2. меры договорно-правового характера, регулирующие отношения по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и конрагентами на основании гражданско-правовых, в том числе предпринимательских, договоров.
3. меры формально-информационного характера - вводятся путём нанесения на документы грифа «Коммерческая тайна» с указателем обладателя этой информацией (для юридических лиц - полное наименование и местонахождение; для индивидуальных предпринимателей - фамилия, имя, отчество и место жительство).
Следует обратить внимание, что согласно ч.2.ст.10 ФЗ «О коммерческой тайне» режим коммерческой тайны считается установленным только после принятия всех перечисленных мер в совокупности: введение одной или нескольких мер не влечёт признание данного режима установленным. Исключение сделано для индивидуальных предпринимателей, не имеющих работников.
Говоря о возникновении и пределах ответственности за нарушение режима коммерческой тайны (нарушение может выражаться в разглашении коммерческой тайны, передаче информации третьим лицам, а также в использовании информации в личных целях), следует различать 3 ситуации:
1. лицо получило доступ к коммерческой тайне в результате своих противоправных действий;
2. контрагент нарушил режим коммерческой тайны, к которой он имел доступ на основе договора о передаче коммерческой тайны;
3. работник нарушил режим служебной коммерческой тайны, к которой он имел доступ.
В первом случае, противоправный доступ к коммерческой тайне порождает гражданско-правовое обязательство, возникающее вследствие причинения вреда. Ответственность нарушителя заключается в обязанности возместить обладателю коммерческой тайны причинённый ущерб в полном объёме (п.1 ст.1064 ГК). Существует два способа возмещения вреда: возмещение вреда в натуре и возмещение убытков (ст.1082 ГК). Убытки включают реальный ущерб и упущенную стоимость. П.7 ч.2 ст.7 ФЗ «О коммерческой тайне» также устанавливает, что обладатель информации, составляющей коммерческую тайну, имеет право требовать возмещение убытков от лица, которое разгласило, незаконно получило или незаконно использовало указанную информацию.
Во втором случае, нарушение режима коммерческой тайны договорным контрагентом влечёт ответственность в соответствии с законом ( глава 25 ГК «Ответственность за нарушение обязательств; ст.12 ФЗ «О коммерческой тайне»). Основания и размер этой ответственности могут быть изменены договором. В ст.393 ГК указывается, что должник обязан возместить кредитору убытки, причинённые неисполнением или ненадлежащим исполнением обязательства. Таким образом, из ст.393 ГК автоматически вытекает право потерпевшей стороны требовать от нарушителя - договорного контрагента - полного возмещения ущерба. Основная сложность, связанная с судебным взысканием убытков, состоит в необходимости доказывания их размера. Обладатель коммерческой тайны должен с помощью документов доказать величину своих убытков.
В последнем случае, ответственность работника за нарушение режима служебной коммерческой тайны регулируется в основном статьями 11 и 14 ФЗ «О коммерческой тайне». Рассматривая вопрос об ответственности работника за разглашение служебной коммерческой тайны, надо различать два случая:
· разглашение имело место в период трудового договора;
· разглашение имело место после прекращения (или расторжения) трудового договора.
Если работник разгласил служебную коммерческую тайну в период действия трудового договора, то он обязан возместить работодателю причинённый ущерб (а не убытки!) - п.4 я.3. ст.11 ФЗ «О коммерческой тайне». Под ущербом здесь понимается «реальный ущерб», как он определяется в ст.15 ГК РФ - это расходы, которые обладатель коммерческой тайны произвёл или должен будет произвести для восстановления нарушенного права. Кроме взыскания ущерба с работника, к нему в соответствии с ч.2 ст.14 ФЗ «О коммерческой тайне» могут быть применены меры дисциплинарной ответственности, т.е. замечание, выговор или увольнение.
Если работник разгласил служебную коммерческую тайну в тот период, когда он уже не состоит в трудовых отношениях, но ещё обязан хранить тайну (3 года - по Закону или в течение иного срока - по соглашению), то он обязан возместить убытки работодателя (ч.4 ст.11 ФЗ «О коммерческой тайне»)
Глава 2. Основные нормативные документы по оценке безопасности
«При оценке надежности различных средств защиты информации применяются определенные критерии.
Вводится иерархия функциональных классов безопасности, где каждому классу соответствует конкретное множество обязательных функций. Конкретное средство разграничения доступа относится к тому классу, в котором реализованы все соответствующие ему функции безопасности.
В разных странах разрабатывают соответствующие документы и проверяют средства разграничения доступа на соответствие требованиям, указанным в этих документах, определенные организации.
Так, Министерство обороны США в 2003 г. Опубликовало посвященную вопросам информационной безопасности книгу «Критерии оценки безопасности компьютерных систем», названную по цвету обложки «Оранжевой книгой». В США выпущены и другие руководящие документы: «Программы оценки безопасности продуктов», «Руководство по применению критерия оценки безопасности компьютерных систем в специфических средах» («Желтая книга»), серия материалов по безопасности информации в компьютерах, сетях и базах данных («Радужная серия»), состоящая из 28 нормативных методических документов.
В «Оранжевой книге», оказавшей огромное влияние на работы по информационной безопасности во всем мире, изложены единые требования к обеспечению безопасности компьютерных систем и порядок определения их защищенности.
Государственной технической комиссией при Президенте РФ в 1992 г. опубликовано множество руководящих документов, относящихся к проблеме защиты информации от несанкционированного доступа.
Идейной основой всего набора документов является руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».
Концепция устанавливает два направления в области защиты информации:
Защита средств вычислительной техники, обеспечиваемая комплексом программно - технических средств защиты;
Защита автоматизированных систем, обеспечиваемая организационными мерами.
В концепции сформулированы основные принципы защиты от несанкционированного доступа к информации:
Защита автоматизированных систем должна обеспечиваться на всех этапах работы и режима функционирования (включая проведение ремонтных и регламентных работ);
Защита автоматизированных систем должна предусматривать контроль (периодический или по мере необходимости) эффективности средств защиты от несанкционированного доступа;
Комплексы программно - технических средств защиты не должны существенно ухудшать функциональные характеристики автоматизированных систем (надежность, быстродействие, возможность изменения конфигурации и др.);
Неотъемлемой частью работ по защите является оценка эффективности средств защиты по методике, которая учитывает технические характеристики оцениваемого объекта, технические решения и практическую реализацию средств защиты.» [5, стр. 445].
Глава 3. Защита информации в персональных ЭВМ и ЛВС
«Персональная ЭВМ является тем основным базовым элементом, на основе которого строятся все современные вычислительные системы, комплексы и сети, представляющие собой основу автоматизированных информационных систем соответствующего уровня. Поэтому степень защищенности персональной ЭВМ очень влияет на общий уровень защищенности любой автоматизированной информационной системы.»
3.1 Потенциальные угрозы безопасности информации в ЛВС
«Локально вычислительная сеть (ЛВС) характеризуется следующими потенциальными угрозами безопасности информации:
Большим количеством возможных каналов преднамеренного несанкционированного доступа к информации;
Доступом в ЛВС со стороны штатной персональной ЭВМ (включая серверы), возможным по каналам несанкционированного доступа к информации самой персональной ЭВМ. Но в ЛВС также необходимо защищаться и от пользователя - нарушителя, допущенного только к определенной информации файл - сервера, и/или ограниченного круга пользователей данной ЛВС;
Доступом со стороны кабельных линий связи;
Доступом со стороны штатного пользователя - нарушителя одной персональной ЭВМ при обращении к информации другой персональной ЭВМ, в том числе к файл - серверу;
Подключением посторонней персональной ЭВМ и другой непредусмотренной аппаратуры к ЛВС;
Побочными электромагнитными излучениями и наводками;
Аварийной ситуации, отказом аппаратуры, ошибками операторов и разработчиков программного обеспечения ЛВС, потерей информации в результате ее случайного стирания или пожара.» [5, стр. 454].
3.2 Система защиты информации от несанкционированного доступа в ЛВС
«Угроза несанкционированного доступа со стороны пользователя - нарушителя требует создания системы опознания и разграничения доступа к информации со всеми ее атрибутами (системами идентификации и аутентификации пользователей, а также разграничением их полномочий по доступу к информации файл - сервера и/или другим персональным ЭВМ данной ЛВС).
В частности, в сети Net Ware защита данных файл - сервера в различных сочетаниях четырьмя способами:
1)Входным паролем. Чтобы войти в сеть необходимо знать свое «имя» и пароль.
2)Попечительской защитой данных, которая используется для управления возможностями работы индивидуальных пользователей с файлами в заданном каталоге. Пользователь - это пользователь которому предоставлены все привилегии или определенное количество соответствующих прав для работы с каталогами и файлами внутри этого каталога;
3)Защитой в каталоге - каждый каталог имеет «маску максимальных прав». Когда создается каталог, маска прав содержит также разновидности прав, что и попечитель. Ограничения каталога применяются только в одном заданном каталоге. Защита в каталоге не распространяется на его под каталоги;
4)Защитой атрибутами файлов. Используется в основном для предотвращения случайных изменений или удаления отдельных файлов.
Чтобы исключить возможность обхода систем опознания и разграничения доступа в персональной ЭВМ и ЛВС путем применения отладочных программ, а также проникновения компьютерных вирусов, рекомендуется, если это возможно, в данной ЛВС применять персональные ЭВМ без дисководов или по крайней мере хотя бы заблокировать их механической крышкой, опечатываемой оператором безопасности.» [5, стр. 455].
Глава 4. Основы вирусной безопасности
«Проблема « Компьютерных вирусов» получила широкое распространение с момента своего возникновения. В 1988 году с появлением в сети «Вируса (червя) Морриса», который инфицировал 6200 компьютеров, началось целенаправленное развитие антивирусных средств.
Вирусы представляют собой программы, злонамеренно внедряемые в систему с целью нанесения вреда или разрушений, которые распространяются за счет самокопирования и подсоединения копий к другим программам. Вирусы исторически можно разделить на поколения:
«Троянские кони» - программы скрытые от пользователя деструктивными функциями (в настоящее время устарели);
«Логические бомбы» - участок программного кода или программы на деструктивные функции которых проявляются не сразу, а при наступлении определенного внешнего события (например, активизация по дате);
Автономные репликативные программы - самовоспроизводящиеся и самопроизвольно распространяющиеся программы, несанкционированно использующие вычислительные ресурсы.
Среди автономных репликативных программ выделяют программы -репликаторы (потомки «троянских коней»), являющиеся цельными программами, обеспечивающими распространение в распределенной сети, и вирусы - потомки «логических бомб», которые являются «врезками» чужеродного кода в программу - носитель.
С первыми автономными репликативными программами начали появляются и программы защиты, позволяющие обнаружить вирусную атаку, а в ряде случаев и ликвидировать ее последствия.
Основное назначение программ защиты - это предупреждение пользователя о вирусной атаке на ее ранних стадиях, а также принятие мер по ее срыву.» [5, стр. 464].
4.1 Компьютерные вирусы
«Использование высокоэффективных информационных систем является обязательным условием успешной деятельности, современных предприятий и организаций. Безопасность информации - это один из показателей качества информационной системы. По данным статистики, наиболее успешными методами реализации угроз безопасности информации в автоматизированных системах являются вирусные атаки. На их долю приходится около 57% инцидентов с безопасностью информации и около 60% реализованных угроз из числа зафиксированных и попавших в статистические обзоры.
Поэтому одной из основных задач защиты информации является организация эффективной антивирусной защиты информационных рабочих станций, локальных и корпоративных компьютерных сетей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.
Что же такое компьютерный вирус? Формальное определение этого понятия до сих пор не придумано, и есть серьезные сомнения, что оно вообще может быть дано. Многочисленные попытки дать «современное» определение вируса не привели к успеху. Поэтому ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить как о некотором определенном классе программ.
Прежде всего, вирус - это программа. Такое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может повернуть изображение на вашем мониторе, но не может повернуть сам монитор. Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество других программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ними не совпадать!
Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна - вирус должен каким - нибудь способом обеспечить себе передачу управления. информационный безопасность криптография атака
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению , вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.
Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения: ЕХЕ, СОМ, SYS, ВАТ. Редко заражаются текстовые файлы.
После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, не забывает возвратить управление той программе, из которой он был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести:
Прекращение работы или неправильная работа ранее успешно функционировавших программ;
Медленная работа компьютера;
Невозможность загрузки операционной системы;
Исчезновение файлов и каталогов или их содержимого;
Изменение даты и времени модификации файлов;
Изменение размера файлов;
Неожиданное значительное искажение файлов на диске;
Существенное уменьшение размера свободной оперативной памяти;
Вывод на экран непредусмотренных сообщений или изображений;
Частые зависания и сбои в работе компьютера.» [9, стр. 150].
4.2 Защиты от компьютерных вирусов
«Для решения задач антивирусной защиты должен быть реализован комплекс известных и хорошо отработанных организационно-технических мероприятий:
Использование сертифицированного программного обеспечения;
Организация автономного испытательного стенда для проверки на вирусы нового программного обеспечения и данных. Предварительная проверка на автономном стенде нового программного обеспечения и данных позволяет значительно снизить вероятность проникновения в систему вирусов при ошибочных действиях пользователей. Это мероприятие эффективно для систем, обрабатывающих особо ценную информацию. Однако в случае эксплуатации компьютерной сети проверка на стенде входящих данных значительно снижает оперативность обработки информации;
Ограничение пользователей системы на ввод программ и данных с посторонних носителей информации. Отключение пользовательских дисководов для магнитных и оптических носителей информации, которые являются основным каналом проникновения вируса в систему, позволяет значительно повысить уровень антивирусной защиты при работе в компьютерной сети. Особенно эффективным это мероприятие становится при переходе на технологию электронного документооборота;
Запрет на использование инструментальных средств для создания программ. Такой запрет необходим для того, чтобы исключить возможность создания пользователем вирусных программ в самой системе;
Резервное копирование рабочего программного обеспечения и данных. Правильная организация резервного копирования позволяет восстановить работоспособность системы и сохранить ценные данные в случае успешной вирусной атаки. Для критических систем рекомендуется циклическая схема тройного копирования данных, когда рабочая копия файла хранится на диске рабочей станции, одна архивная опия - на съемном носителе информации. При этом периодичность и порядок обновления архивных копий регламентируется специальной инструкцией. «О резервных копиях пользователи начинают задумываться только тогда когда потеря уже произошла. А что стоило сохранить данные на СD- или DVD-дисках? Зачем хранить все цифровые фотографии, фильмы или важные документы на жестком диске? Подумайте сами и найдите для этого время. Тогда в случае катастрофы сможете восстановить данные» [10, стр. 168];
Подготовка администраторов безопасности и пользователей по вопросам антивирусной защиты. Низкая квалификация администраторов безопасности пользователей по вопросам антивирусной защиты приводит к ошибочным действиям при настройке системы в случае возникновения нештатных ситуаций. Обучение пользователей могут осуществлять специалисты службы защиты информации, прошедшие соответствующую подготовку в лицензированном учебном центре.» [9, стр. 152].
4.3 Криптография и её применение
«Для большинства организаций защита сетевых ресурсов от несанкционированного доступа становиться одной из наиболее острых проблем. Особую тревогу вызывает тот факт, что Интернет в настоящее время используется для транспортировки и хранения различных данных и конфиденциальной корпоративной информации.
Задача защиты информации особенно актуальна для владельцев онлайновых информационных баз данных, издателей электронных журналов и т.п.
Основные методы защиты информации базируются на современных методах криптографии - науке о принципах, средствах и методах преобразования информации для защиты ее от несанкционированного доступа и искажения, - которые должны решить в первую очередь два главных вопроса: надежность и быстродействие. Разработка шифров и программного обеспечения, отвечающих этим условиям, находиться в центре внимания многих исследователей.
Очевидная тенденция к переходу на цифровые методы передачи и хранения информации позволяет применять унифицированные методы и алгоритмы для защиты дискретной (текст, факс, телекс) и непрерывной (речь) информации.
С помощью криптографических методов возможно:
Шифрование информации;
Реализация электронной подписи;
Распределение ключей шифрования;
Защита от случайного или умышленного изменения информации;
К алгоритмам шифрования предъявляют определенные требования:
Высокий уровень защиты данных против дешифрования и возможной модификации;
Защищенность информации должна основывать только на знании ключа и не зависеть от того, известен алгоритм или нет;
Малое изменение исходного текста или ключа должно приводить к значительному изменению шифрованного текста;
Область значений ключа должна исключать возможность дешифрования данных путем перебора значений ключа;
Экономичность реализации алгоритма при достаточном быстродействии;
Стоимость дешифрования данных без знания ключа должна превышать стоимость данных.» [9, стр. 157].
Глава 5. Защита информации в сети Internet
«Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.
Обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.
Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка".
Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.
Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.
5.1 Типичными угрозами в среде Интернета являются
Сбой в работе одной из компонент сети. Сбой из-за ошибок при проектировании или ошибок оборудования или программ может привести к отказу в обслуживании или компрометации безопасности из-за неправильного функционирования одной из компонент сети. Выход из строя брандмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев, которые оказывают влияние на безопасность.
Сканирование информации. Неавторизованный просмотр критической информации злоумышленниками или авторизованными пользователями может происходить, с использованием различных механизмов - электронное письмо с неверным адресатом, распечатка принтера, неправильно сконфигурированные списки управления доступом, совместное использование несколькими людьми одного идентификатора и т.д.
Использование информации не по назначению - использование информации для целей, отличных от авторизованных, может привести к отказу в обслуживании, излишним затратам, потере репутации. Виновниками этого могут быть как внутренние, так и внешние пользователи.
Неавторизованное удаление, модификация или раскрытие информации - специальное искажение информационных ценностей, которое может привести к потере целостности или конфиденциальности информации.
Проникновение - атака неавторизованных людей или систем, которая может привести к отказу в обслуживании или значительным затратам на восстановление после инцидента.
Маскарад - попытки замаскироваться под авторизованного пользователя для кражи сервисов или информации, или для инициации финансовых транзакций, которые приведут к финансовым потерям или проблемам для организации.
5.2 Обнаружение атак
Исторически так сложилось, что технологии, по которым строятся системы обнаружения атак, принято условно делить на две категории: обнаружение аномального поведения (anomaly detection) и обнаружение злоупотреблений (misuse detection). Однако в практической деятельности применяется другая классификация, учитывающая принципы практической реализации таких систем: обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые - регистрационные журналы операционной системы или приложения. Необходимо заметить, что лишь некоторые системы обнаружения атак могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себя возможности нескольких категорий. Тем не менее эта классификация отражает ключевые возможности, отличающие одну систему обнаружения атак от другой.
В настоящий момент технология обнаружения аномалий не получила широкого распространения, и ни в одной коммерчески распространяемой системе она не используется. Связано это с тем, что данная технология красиво выглядит в теории, но очень трудно реализуется на практике. Сейчас, однако, наметился постепенный возврат к ней (особенно в России), и можно надеяться, что в скором времени пользователи смогут увидеть первые коммерческие системы обнаружения атак, работающие по этой технологии.
Другой подход к обнаружению атак - обнаружение злоупотреблений, которое заключается в описании атаки в виде шаблона (pattern) или сигнатуры (signature) и поиска данного шаблона в контролируемом пространстве (сетевом трафике или журнале регистрации). Антивирусные системы являются ярким примером системы обнаружения атак, работающей по этой технологии.
Как уже было отмечено выше, существует два класса систем, обнаруживающих атаки на сетевом и операционном уровне. Принципиальное преимущество сетевых (network-based) систем обнаружения атак состоит в том, что они идентифицируют нападения прежде, чем те достигнут атакуемого узла. Эти системы более просты для развертывания в крупных сетях, потому что не требуют установки на различные платформы, используемые в организации. В России наибольшее распространение получили операционные системы MS-DOS, Windows 95, NetWare и Windows NT. Различные диалекты UNIX у нас пока не столь широко распространены, как на Западе. Кроме того, системы обнаружения атак на уровне сети практически не снижают производительности сети.
Системы обнаружения атак на уровне хоста создаются для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения. Например, мне не известна ни одна система этого класса, функционирующая под управлением MS-DOS или Windows for Workgroups (а ведь эти операционные системы еще достаточно распространены в России). Используя знание того, как должна «вести» себя операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако зачастую это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения подобного рода обнаружения, существенно снижает производительность защищаемого хоста. Такие системы сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высококритичных систем, работающих в режиме реального времени (например, система «Операционный день банка» или система диспетчерского управления). Однако, несмотря ни на что, оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут стать неплохим выбором. Но если вы хотите защитить большую часть сетевых узлов организации, то системы обнаружения атак на уровне сети, вероятно, будут наилучшим выбором, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемом при помощи системы обнаружения атак. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей на уровне хостов, понадобится ее установка и настройка на каждый защищаемый хост. Идеальным решением стала бы система обнаружения атак, объединяющая в себе оба эти подхода. Существующие сегодня на рынке коммерческие системы обнаружения атак (Intrusion Detection Systems, IDS) используют для распознавания и отражения атак либо сетевой, либо системный подход. В любом случае эти продукты ищут сигнатуры атак, специфические шаблоны, которые обычно указывают на враждебные или подозрительные действия. В случае поиска этих шаблонов в сетевом трафике, IDS работает на сетевом уровне. Если IDS ищет сигнатуры атак в журналах регистрации операционной системы или приложения, то это системный уровень. Каждый подход имеет свои достоинства и недостатки, но они оба дополняют друг друга. Наиболее эффективной является система обнаружения атак, которая использует в своей работе обе технологии. В данном материале обсуждаются различия в методах обнаружения атак на сетевом и системном уровнях с целью демонстрации их слабых и сильных сторон. Также описываются варианты применения каждого из способов для наиболее эффективного обнаружения атак.
5.3 Защититься от удаленных атак в сети Internet
Особенность сети Internet на сегодняшний день состоит в том, что 99% процентов информационных ресурсов сети являются общедоступными. Удаленный доступ к этим ресурсам может осуществляться анонимно любым неавторизованным пользователем сети. Примером подобного неавторизованного доступа к общедоступным ресурсам является подключение к WWW- или FTP-серверам, в том случае, если подобный доступ разрешен. Определившись, к каким ресурсам сети Internet пользователь намерен осуществлять доступ, необходимо ответить на следующий вопрос: а собирается ли пользователь разрешать удаленный доступ из сети к своим ресурсам? Если нет, то тогда имеет смысл использовать в качестве сетевой ОС "чисто клиентскую" ОС (например, Windows '95 или NT Workstation), которая не содержит программ-серверов, обеспечивающих удаленный доступ, а, следовательно, удаленный доступ к данной системе в принципе невозможен, так как он просто программно не предусмотрен (например, ОС Windows '95 или NT, правда с одним но: под данные системы действительно нет серверов FTP, TELNET, WWW и т. д., но нельзя забывать про встроенную в них возможность предоставления удаленного доступа к файловой системе, так называемое разделение (share) ресурсов. А вспомнив по меньшей мере странную позицию фирмы Microsoft по отношению к обеспечению безопасности своих систем, нужно серьезно подумать, прежде чем остановить выбор на продуктах данной фирмы. Последний пример: в Internet появилась программа, предоставляющая атакующему несанкционированный удаленный доступ к файловой системе ОС Windows NT 4.0!). Выбор клиентской операционной системы во многом решает проблемы безопасности для данного пользователя (нельзя получить доступ к ресурсу, которого просто нет!). Однако в этом случае ухудшается функциональность системы. Здесь своевременно сформулировать, на наш взгляд, основную аксиому безопасности:
Аксиома безопасности. Принципы доступности, удобства, быстродействия и функциональности вычислительной системы антагонистичны принципам ее безопасности.
Данная аксиома, в принципе, очевидна: чем более доступна, удобна, быстра и многофункциональна ВС, тем она менее безопасна. Примеров можно привести массу. Например, служба DNS: удобно, но опасно.
Вернемся к выбору пользователем клиентской сетевой ОС. Это, кстати, один из весьма здравых шагов, ведущих к сетевой политике изоляционизма. Данная сетевая политика безопасности заключается в осуществлении как можно более полной изоляции своей вычислительной системы от внешнего мира. Также одним из шагов к обеспечению данной политики является, например, использование систем Firewall, позволяющих создать выделенный защищенный сегмент (например, приватную сеть), отделенный от глобальной сети. Конечно, ничто не мешает довести эту политику сетевого изоляционизма до абсурда - просто выдернуть сетевой кабель (полная изоляция от внешнего мира!). Не забывайте, это тоже "решение" всех проблем с удаленными атаками и сетевой безопасностью (в связи c полным отсутствием оных).
Итак, пусть пользователь сети Internet решил использовать для доступа в сеть только клиентскую сетевую ОС и осуществлять с помощью нее только неавторизованный доступ. Проблемы с безопасностью решены? Ничуть! Все было бы хорошо, если бы ни было так плохо. Для атаки "Отказ в обслуживании" абсолютно не имеет значения ни вид доступа, применяемый пользователем, ни тип сетевой ОС (хотя клиентская ОС с точки зрения защиты от атаки несколько предпочтительнее). Эта атака, используя фундаментальные пробелы в безопасности протоколов и инфраструктуры сети Internet, поражает сетевую ОС на хосте пользователя с одной единственной целью - нарушить его работоспособность. ля атаки, связанной с навязыванием ложного маршрута при помощи протокола ICMP, целью которой является отказ в обслуживании, ОС Windows '95 или Windows NT - наиболее лакомая цель. Пользователю в таком случае остается надеяться на то, что его скромный хост не представляет никакого интереса для атакующего, который может нарушить его работоспособность разве что из желания просто напакостить.
5.4 Административные методы защиты от удаленных атак в сети Internet
Самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с вами постарается решить весь комплекс задач по обеспечению требуемого необходимого уровня безопасности для вашей распределенной ВС. Это довольно сложная комплексная задача, для решения которой необходимо определить, что (список контролируемых объектов и ресурсов РВС), от чего (анализ возможных угроз данной РВС) и как (выработка требований, определение политики безопасности и выработка административных и программно-аппаратных мер по обеспечению на практике разработанной политики безопасности) защищать. Пожалуй, наиболее простыми и дешевыми являются именно административные методы защиты от информационно-разрушающих воздействий.» [13].
Заключение
В настоящее время деятельность любой компании тем либо иным образом связана с получением и передачей информации, которая в современном постиндустриальном обществе является стратегически важным товаром. При этом потеря информационных ресурсов, особенно это касается организаций финансовой отрасли, или завладение секретной информацией конкурентами, как правило, наносят компаниям серьезный ущерб. Нередко это приводит не только к значительным денежным потерям, но и к банкротству.
В России до сих пор не все руководители и лица, ответственные за развитие компаний, осознают важность защиты собственных данных. Как показывают различные опросы среди представителей бизнес-сообщества страны, только в третьей части компаний всерьез задумываются об информационной безопасности, имея при этом специальный отдел, который занимается защитой их интересов. Такие цифры выглядят странными на фоне того, что эти же исследования показывают, что с проблемой утечек конфиденциальной информации сталкивались более половины опрошенных. Однако в последние годы наметились тенденции, которые можно считать обнадеживающими.
Актуальность проблемы, связанной с обеспечением безопасности информации, возрастает с каждым годом. Следовательно данная курсовая работа является актуальной и интересной в рассмотрении.
Целью курсовой работы являлось исследование проблемы защиты информации. Данная цель достигнута. Также решены следующие задачи:
Выявлены источники угрозы информации;
Рассмотрены некоторые способы защиты информации;
Рассмотрена правовая сторона информационной безопасности.
Важную роль в борьбе с похитителями информации должен сыграть и вступивший в силу 27 января 2011 г. Федеральный закон "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации", в котором определены действия, признаваемые манипулированием рынком.
Список используемой литературы
1.Федеральный закон РФ № 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации»;
2.Федеральный закон № 211-ФЗ от 24.07.2007 г. «О средствах массовой информации»;
3. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (в ред. от 23.12.2010),
4.Указ Президента РФ № 1111 от 23.09.2005 г. «Об утверждении применения сведений конфиденциального характера»;
5.Данчул А.Н. «Информатика», издательство РАГС 2010 г., 528стр.;
6.Колесников В.И. академик РАИ «Информатика», Москва 2009 г. 400 стр.;
7.Маркова Н.В. «Информатика», Москва 2010 г. 443 стр.;
8.Романова Ю.Д. «Информатика и информационные технологии», издательство «Эксмо», 2010 г., 544 стр.;
9.Безмалый Владимир «Угрозы домашнему компьютеру», журнал «Компьютер пресс», 11 ноября 2010 г. стр. 166;
10.статья.Комплексная система защиты информации (Ерошкин П.) ("Финансовая газета. Региональный выпуск", 2011, N 10)
10.статья. Защита информации - безопасность для бизнеса (Варакса Е.) ("Финансовая газета", 2011, N 8)
11.статья. Информационная безопасность, комплексная защита информации - насколько актуальны сегодня эти вопросы? (Засецкая К.) ("Управление персоналом", 2010, N 11)
12. Базарова С. Шпион с классификатором // Ваше право. - 2002 г. - №39. - с.13.
13. Гаврилов Э.П. «О коммерческой тайне» // Юридическая пресса. - 2004 г.
14. Правоведение // Под. ред. М.Б. Смоленского. - Ростов-на-Дону: «Феникс», 2005 г.
15. Пыхтин С.В. Правовой режим коммерческой тайны // Закон. - 2005 г. - №2. - с.94-99.
- Сущность, необходимость и классификация личного страхования в Российской Федерации.
- Общая характеристика основных современных правовых семей(ОБЩАЯ ХАРАКТЕРИСТИКА ПРАВОВОЙ СЕМЬИ)
- Программа пенсионной реформы и пути ее реализации (Сравнительный анализ практики Пенсионного обеспечения в России и за рубежом)
- Менеджмент как организационно-целевое управление (Анализ эффективности системы менеджмента в ВТБ 24 ПАО)
- Теоретические основы разработки стратегии управления персоналом
- Общие положения права о наследовании
- Формы международных расчетов и перспективы их изменения (Формы международных расчетов )
- Федеральное казначейство РФ и его роль в управлении движением государственных финансов
- Основные причины и закономерности возникновения государства и права
- Недвижимость: понятие, виды, общие положения о правовом режиме(НЕДВИЖИМОСТЬ: ПОНЯТИЕ, ВИДЫ)
- Понятие и механизм возникновения несостоятельности (банкротства) организации
- Проектирование реализации операций бизнес-процесса «Управление персоналом» (Характеристика документооборота, возникающего при решении задачи)